Digitale Bedrohungen und Europas Verteidigung

Tobias Grimm:
Deutschland ist jeden Tag das Ziel von Tausenden Cyberangriffen. Dahinter stecken Kriminelle, aber auch von anderen Staaten gesteuerte Akteure. Wie also müssen sich Unternehmen, Politik und Behörden richtig aufstellen?
 

Felix Kuhlenkamp:
"Ich würde einen Dreiklang empfehlen. Der beginnt einmal damit, sich ganz klar mit seinem Krisen- und Notfallmanagement auseinanderzusetzen. Hat man überhaupt einen Plan in der Schublade, falls eine Krise eintritt?"
 

Tobias Grimm:
Felix Kuhlenkamp, Sicherheitsexperte des Bitkom, mit Antworten auf die Frage, wo die kritischen Schwachstellen der deutschen Infrastruktur liegen und wie man sie schützen sollte. Themen wie diese und viele weitere Fragen rund um die europäische Sicherheits- und Verteidigungspolitik stehen in wenigen Tagen im Zentrum der 62. Münchner Sicherheitskonferenz. Welche Schwerpunkte dort gesetzt werden sollten und welche Fragen dringend beantwortet werden müssen, dazu mehr von Susanne Dehmel aus der Geschäftsleitung des Bitkom.
 

Susanne Dehmel:
"Wie bereiten wir uns auf Krisen und Angriffe von außen besser vor? Wie gehen wir mit den fortlaufend schon passierenden Nadelstichen um, die gegen unsere Infrastrukturen gerichtet sind?"
 

Tobias Grimm:
Und damit herzlich willkommen zu Tech Weekly, dem Podcast des Bitkom mit mir, Tobias Grimm. 

Politik

Tobias Grimm:
Hybride Angriffe, Cyberattacken und Sabotageversuche gehören inzwischen zur geopolitischen Lage. Sie treffen Wirtschaft, Staat und Gesellschaft oft gleichzeitig. Wie widerstandsfähig Deutschland ist und was von der Münchner Sicherheitskonferenz zu erwarten ist, darüber spreche ich heute mit Susanne Dehmel aus der Geschäftsleitung des Bitkom und mit Felix Kuhlenkamp, dem Sicherheitsexperten des Bitkom.

Felix, starten wir bei dir. Die hybriden Bedrohungen, die nehmen immer weiter zu. Was heißt das für die Wirtschaft? Wie muss die sich aufstellen?
 

Felix Kuhlenkamp:
Die Unternehmen können sich natürlich auf verschiedene Arten und Weisen auf hybride Angriffe vorbereiten. Die Vorbereitung ist ungefähr so divers wie hybride Angriffe an sich. Ich würde an dieser Stelle einen Dreiklang empfehlen. Der besteht aus verschiedenen Teilen. Und als Erstes würde ich da ganz klar das Krisen- und Notfallmanagement nennen. Die Unternehmen müssen prüfen: Haben sie einen Notfallplan in der Schublade? Wenn ja, erster Schritt getan. Wenn nicht, unbedingt direkt dransetzen. Und dann muss man den aber auch einüben. Nur weil man ihn eben in der Schublade liegen hat, heißt es nicht, dass er im Krisenfall auch direkt anwendbar ist. Aktive Übung ist wichtig. Dabei muss darauf geachtet werden: Welche Fehler entstehen im Prozess, wenn man so einen Notfallplan durchläuft? Und daraus sollte man direkt Konsequenzen für das operative Geschäft ziehen, um mögliche Verbesserungen angehen zu können.

Als Nächstes gibt es die digitale und physische Resilienz. Als Bitkom empfehlen wir seit Jahren Maßnahmen, die man ergreifen kann, im Falle eines Cyberangriffs. Aber das gilt eben auch für die physische Resilienz. Also zum Beispiel Investitionen in Notstromversorgung, alternative Kommunikationsmethoden zur Verfügung haben oder auch zusätzliche Lagerhaltung. All das kann dabei helfen, dass man in einem Notfall besser aufgestellt ist. Und gleichzeitig geht es darum, Redundanzen abzubauen. Man muss gucken, wo sind neuralgische Punkte im System? Wo ist man vielleicht abhängig von einer bestimmten Lieferkette? Und was passiert, wenn die zusammenbricht? Wie können wir darauf reagieren? Das sind alles Fragen, die man sich stellen muss.

Und als dritte Komponente in diesem Dreiklang würde ich auf den menschlichen Faktor hinweisen. Die Firmen haben eine Verantwortung gegenüber ihren Mitarbeiterinnen und Mitarbeitern, die auch so etwas wie eine psychologische Brandmauer darstellen können. Es geht darum, die Mitarbeiterinnen und Mitarbeiter zu sensibilisieren, insbesondere natürlich zum Beispiel im Fall von Desinformation und Fake News, und eine Selbstanalyse aufzustellen, an welchen Stellen denn zum Beispiel das Unternehmen durch Informationsbeeinflussung verwundbar ist und wie man dagegen vorgehen kann.
 

Tobias Grimm:
Anfang des Jahres waren in Berlin nach einer Sabotage des Stromnetzes hunderttausende Menschen tagelang ohne Strom. Mehr als 2000 Unternehmen waren betroffen. Wo liegen denn in der deutschen Infrastruktur die kritischen Schwachstellen? Und wie ließe sich das ändern?
 

Felix Kuhlenkamp:
Das ist eine gute Frage. Ich finde, in Berlin hat sich schon mal ganz klar gezeigt, wie so Kaskadeneffekte in so einem Moment aussehen können. Wir haben in Berlin einen Stromausfall gesehen durch einen Brandanschlag. Circa hunderttausend Menschen waren ohne Strom. Und das hatte Direktkonsequenzen für die Stromversorgung, aber auch eben für die Energieversorgung. Viele Menschen waren ohne Heizung, und das mitten im Januar. Und auch die Kommunikation ist erst einmal ausgefallen. Gerade die Kommunikation ist im ersten Moment natürlich wichtig, um darauf reagieren zu können, was passiert ist. Zum Glück haben die Mobilfunkanbieter die Kommunikation in vielen Fällen schnell wiederherstellen können. Aber gleichzeitig sieht man, wo da die Schwachstellen liegen. Der Energiebereich ist dadurch ein besonders kritischer Bereich.

Aber was man auch sehen kann, ist zum Beispiel das Thema Wasserversorgung. Wir hatten Silvester 2024 in Berlin einen Vorfall, bei dem das Wasser in mehreren Stadtteilen von Berlin ausgefallen ist. Da wurde damals vermutet, dass möglicherweise Böller dahinterstecken könnten. Im Endeffekt war es vermutlich nur Materialermüdung. Nichtsdestotrotz ist auch in diesem Fall Krisenkommunikation notwendig. Und man sieht dann direkt, welche Konsequenzen das hat, wenn in ganz vielen Haushalten in Berlin kein Wasser mehr zur Verfügung steht. Von daher muss Resilienz einerseits über die Infrastrukturen geschaffen werden, aber eben auch über diese Kommunikationswege. Und dafür gibt es verschiedene Möglichkeiten. Der Gesetzgeber hat das in den letzten Jahren immer deutlicher auf die Agenda gesetzt. Das Kritis-Dachgesetz wurde jetzt am 29. Januar vom Bundestag beschlossen und geht jetzt im nächsten Schritt durch den Bundesrat. Das ist die Umsetzung der europäischen CER-Richtlinie, die dafür sorgen soll, dass physische Infrastrukturen besser geschützt werden. Das ist ein Schritt in die richtige Richtung. Nichtsdestotrotz sehen wir noch weitere Schwachstellen im Kritis-Dachgesetz. Zum Beispiel sind wesentliche Teile der Bundesverwaltung ausgenommen, und Landesverwaltungen werden gar nicht adressiert, obwohl diese natürlich auch insbesondere von hybriden Angriffen betroffen sein können. Gleichzeitig ist das Kritis-Dachgesetz auch schon so verspätet, dass wir eigentlich glücklich sein können, dass es jetzt endlich Fortschritte gibt und dass zumindest erste Schritte in diese Richtung getan werden. Gleichzeitig gibt es vom Koalitionsausschuss einen Beschluss von Ende Januar zum Schutz kritischer Infrastrukturen durch angemessene Transparenzregeln. Ein Thema, was uns auch sehr wichtig ist, denn Transparenz ist wichtig und erfüllt viele positive Zwecke. Nichtsdestotrotz muss man sagen, zu viel Transparenz kann im Notfall auch die Sicherheit riskieren oder gefährden, und wir warnen davor, zum Beispiel Datenleitungen im Gigabit-Grundbuch zur Verfügung zu stellen. Dies stellt ein Risiko für Sabotageakte dar. Stattdessen würden wir empfehlen, an solchen Stellen eher Datensparsamkeit walten zu lassen, um ein strengeres Sicherheitskonzept und Zugangskonzept zu garantieren, damit nicht jeder einfach darauf zugreifen kann und entsprechende Konsequenzen daraus ableiten kann.
 

Tobias Grimm:
Susanne, die nächste Frage an dich. Diese Themen werden auf der Münchner Sicherheitskonferenz besprochen. Welche Schwerpunkte erwartest du konkret und welche hältst du auch für dringend notwendig?
 

Susanne Dehmel:
Wir leben ja in einer Zeit, in der langjährige Allianzen infrage gestellt werden. Wir sehen, dass wir eine internationale Ordnung nach Regeln nicht mehr für selbstverständlich nehmen können. Das gibt eine zunehmende Instabilität und auch eskalierende Konflikte weltweit. Das werden sicherlich bestimmende Themen auf der MSC sein. Es wird um europäische Sicherheits- und Verteidigungspolitik gehen, auch um die Zukunft der transatlantischen Beziehungen, auch wie der Multilateralismus wiederbelebt werden kann und wie wir konkurrierende Vorstellungen der globalen Ordnung übereinanderbringen oder zueinanderbringen. Es wird sicherlich auch um regionale Konflikte gehen und auch um die Auswirkungen technologischer Fortschritte auf die Sicherheitspolitik.
 

Tobias Grimm:
Felix, wir haben es gehört, auf der Münchner Sicherheitskonferenz wird viel über europäische Verteidigungsfähigkeit debattiert. Das ist heute viel, viel mehr als Panzer und Raketen. Es geht um Drohnen, um KI, um digitale Innovationen. Wie bringen wir Deep-Tech-Innovationen aus Startups schnell in die Bundeswehr oder auch in unsere Sicherheitsbehörden?
 

Felix Kuhlenkamp:
Es ist sehr wichtig, dass wir diese Innovationen aus den Startups in die Bundeswehr oder auch in die Sicherheitsbehörden bekommen, weil wir glauben, dass im digitalen Bereich Startups extrem viel bewegen und extrem viel mitbringen. Dafür braucht es allerdings auch klare Budgets, Zuständigkeiten und klare Prozesse, an denen sie sich orientieren können. Für die Bundeswehr fordern wir einen eigenen Haushaltstitel, der erst mal mit einer Milliarde Euro pro Jahr ausgestattet werden soll. Und diese eine Milliarde sollen dann in DefTech beziehungsweise disruptive Innovationen gehen. Zukünftig wäre bis zu einem Prozent des Verteidigungshaushalts denkbar, aus unserer Sicht, für DefTech-Ausgaben. Darüber hinaus sollte der Fokus auf Dual Use verstärkt werden. Startups produzieren nicht unbedingt direkt von Anfang an für die Bundeswehr, sondern oft auch im zivilen Bereich. Da muss drauf geschaut werden: Welche Technologien und Innovationen können genutzt werden, um zum Beispiel auch die Sicherheitsbehörden oder eben die Bundeswehr zu verstärken – und das dann in den Beschaffungsprozess zu integrieren.

Und was ganz besonders wichtig für Startups ist: Die Prozesse sind sehr bürokratisch und langwierig. Es ist daher wichtig, dass die Prozesse an verbindlichen Zeitleitplanken orientiert werden und Tempo verpflichtend vorgegeben wird. Wann kann man mit einem Zahlungseingang rechnen? Dafür braucht es Standardprozesse, die effizient sind und wiederholbar, damit die Startups genau wissen, worauf sie sich einlassen, und entsprechend planen können. Last but not least, vor Kurzem wurde das Innovationszentrum Erding eröffnet, für die Bundeswehr. Das sehen wir als wichtigen Einstiegspunkt, um Kontakte zwischen Bundeswehr und Startups zu etablieren. Bei diesem gebündelten Zugang können zum Beispiel Reallabore entwickelt werden oder auch strukturierte Pilotierungen durchgeführt werden, um Produkte zu testen, ohne diesen langwierigen Prozess, der aktuell besteht, immer durchführen zu müssen.
 

Tobias Grimm:
Susanne, dann nochmal zu dir. Wenn wir den Blick auf Europa weiten, welche Schritte hältst du EU-seitig für nötig, um uns auf die geopolitische Weltlage einzurichten?
 

Susanne Dehmel:
Eine Reaktion auf die zunehmende Unverlässlichkeit des amerikanischen Partners ist sicherlich, dass wir uns innerhalb der EU enger abstimmen müssen, was eine gemeinsame Sicherheits- und Verteidigungspolitik angeht. Das ist ganz wichtig, dass wir da die Kräfte bündeln und die Region eben auch für sich genommen aufstellen. Und zum anderen glaube ich, dass es für die EU auch wichtig sein wird, den Blick nicht nur nach außen zu richten, sondern auch nach innen und zum einen gucken, wie bereiten wir uns auf Krisen und Angriffe von außen besser vor, wie gehen wir mit den fortlaufend schon passierenden Nadelstichen um, die gegen unsere Infrastrukturen gerichtet sind – aber auch, wie gehen wir um mit den Bedrohungen von innen und den Angriffen auf die Demokratie von Seiten der extremen Ränder, die teilweise auch unsere Demokratie, unseren Rechtsstaat infrage stellen und die auch damit zusammenhängen, was auswärts passiert, nämlich dort, wo auswärtige Kräfte bei uns die extremen Ränder unterstützen, um uns im Inneren zu destabilisieren. Da müssen wir auch ganz genau hingucken und Maßnahmen ergreifen, damit wir unser eigenes politisches System stützen und damit auch Stabilität wagen können.
 

Tobias Grimm:
Das heißt, wie schätzt du am Ende neben der Politik und der Wirtschaft die Resilienz der Zivilgesellschaft ein?
 

Susanne Dehmel:
Ich glaube, sowohl in der Wirtschaft als auch in der Zivilbevölkerung geht das Begreifen, dass wir uns einfach in einer ganz anderen Weltlage befinden als noch vor wenigen Jahren. Das dauert, das geht nicht so schnell voran, aber es kommt langsam an, das Bewusstsein dafür, dass wir Bedrohungen ausgesetzt sind, und dass wir uns dagegen wappnen müssen und dass wir auch vorbereitet sein müssen, das kommt an. 

Aber etwas verzögert ist da noch die Reaktion darauf. Wir sehen, dass Unternehmen zwar die Bedrohungslage sehen, aber viele sagen dennoch bislang, wir sind aber noch nicht so richtig gut vorbereitet für den Ernstfall, also für den Fall ernsthafter Cyberattacken, die möglicherweise auch Teile der Produktion lahmlegen oder auch tatsächlich, wenn Infrastruktur wegbricht. Das sind auch unangenehme Themen, die bis zu Ende zu denken sind. Was heißt das, wenn dieses oder jenes ausfällt? Was heißt es, wenn möglicherweise Mitarbeitende abgezogen werden oder wenn diese freiwillig im Katastrophenschutz helfen müssen oder zur Bundeswehr gehen? 

Und ich glaube, ähnlich verhält es sich mit der Zivilbevölkerung. Nicht zuletzt durch den Stromausfall in Berlin ist einem noch einmal schmerzlich bewusst geworden, wie abhängig wir eigentlich von unserer modernen Infrastruktur sind. Und dass man sich schon mal überlegen sollte, wie man auch einmal ein paar Tage ohne Wasser, Strom und andere Kommunikationsquellen auskommt. Und ich glaube, auch da ist das Bewusstsein größer als die Handlungsfähigkeit. Viele Menschen wissen nicht so richtig, macht es jetzt Sinn, dass ich dies und das im Haus bunkere? Das muss man fortlaufend dann auch immer wieder erneuern, das macht man ja nicht nur einmal, sondern muss dann irgendwie immer wieder mal daran denken.

Und ich glaube, da sind wir noch nicht so gut aufgestellt, wie jetzt zum Beispiel andere Nationen in Skandinavien zum Teil. Ich glaube, was am meisten helfen wird, sind ganz praktische, konkrete Empfehlungen von Seiten der Politik, sowohl für die Unternehmen als auch für die Zivilbevölkerung. Was sind so die Schritte, die man sowieso schon heute tun kann, und wo sollte man heute vorsorgen? Aber auch, was mache ich denn tatsächlich, wenn der Krisen- oder Kriegsfall eintreten sollte?
 

Tobias Grimm:
Susanne, Felix, vielen Dank für das Gespräch.

Terminkalender

Tobias Grimm:
Mit dem Ausblick auf Kalenderwoche 7, in der keine Sitzungen im Deutschen Bundestag anstehen. In der Kabinettssitzung am 11. Februar, an der Bundeskanzler Friedrich Merz teilnimmt, wird unter anderem der Beschluss zum Durchführungsgesetz des AI Acts erwartet. In Brüssel stehen in der wöchentlichen Kommissionssitzung unter anderem die Veröffentlichung des Aktionsplans gegen Cybermobbing und des Aktionsplans zur Drohnen- und Anti-Drohen-Sicherheit auf der Agenda. Außerdem findet am Dienstag, den 10.2., der Safer Internet Day mit Stefanie Hubig, der Bundesministerin der Justiz und für Verbraucherschutz, und Bitkom-Präsident Dr. Ralf Wintergerst statt. Die Themen werden unter anderem die Altersverifikation und "Dark Patterns" sein sowie die Frage, was der Digital Fairness Act verändert.

Außerdem steht, wie angekündigt, vom 13. bis 15. Februar die Münchner Sicherheitskonferenz auf der digitalpolitischen Agenda und am Tag davor die Münchner Cybersecurity Konferenz. 

Und damit sind wir am Ende der Folge angekommen. Weitere Nachrichten aus der Digitalbranche gibt es wie immer auf bitkom.org. Danke fürs Zuhören und bis nächsten Freitag.