BSI-Zahlen zu kritischen Infrastrukturen oder: Vom Unterschied zwischen Cyber-Attacken und Cyber-Vorfällen

Die Tageszeitung „Die Welt“ berichtete am vergangenen Sonntag in ihrer Wochenendsausgabe „Welt am Sonntag“ (Kopie) von Fallzahlen des deutschen Bundesamtes für Sicherheit in der Informationstechnik (BSI), denen zufolge Cyber-Angriffe auf deutsche kritische Infrastrukturen im letzten Halbjahr 2018 sprunghaft zugenommen haben sollen. Laut den Meldungen sollen in der zweiten Hälfte 2018 Cyberangriffe auf kritische Infrastrukturen in 157  Fällen gemeldet worden, darunter 19 Attacken die sich gezielt gegen Einrichtungen der Stromversorgung gerichtet haben sollen. Die Angaben übersteigen die gemeldeten Zahlen mit 145 für das gesamte Jahr 2017 sowie 34 für 2016 bei weitem. Neben diesen offiziellen Zahlen verweist der Pressebeitrag auf hohe Dunkelziffern, die auf Ängste der betroffenen Versorgungsunternehmen vor Imageschäden zurückzuführen seien.

Entgegen der scheinbaren Brisanz solcher Meldungen sollten derartige Angaben mit einem hohen Maß an kritischer Differenzierung betrachtet werden. Zum bezieht sich die vermeldete Angabe von 157 vermeintlichen auf die Gesamtmenge an festgestellten Cybervorfällen (Kopie). Unter diese fallen auch Vorfälle von Cybercrime, Malware-Befall durch Viren in E-Mails, Ransomware, Industrie-Spionage oder automatisierte Scans und Zugriffsversuche auf die IT-Systeme über bekannte Sicherheitslücken. Eine tatsächliche Aussage über den Umfang gezielter, von menschlichen Hackern bewusst durchgeführte und maßgeschneiderte Cyberattacken mit der Intention der Sabotage oder Zerstörung von betroffenen IT-Systemen lässt diese Zahl in keinster Weise zu. Darüber hinaus gilt erst seit Mitte 2017 eine Meldepflicht von erheblichen Störungen (Kopie) bei Versorgern aus dem Bereich der kritischen Infrastrukturen, die im Rahmen des „Gesetzes zur Umsetzung der EU-Richtlinie über Maßnahmen zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz- und Informationssystemen in der Union“ eingeführt worden ist. Diese zeitliche Abfolge dürfte sich nicht unerheblich auf den Umfang der gemeldeten Vorfälle ausgewirkt haben.

Ganz sicher darf die Tragweite die von einem möglich Ausfall oder der Störung kritischer Infrastrukturen ausgehen nicht unterschätzt werden. Exemplarisch hat dies bspw. das Büro für Technikfolgeabschätzung des deutschen Bundestages (TAB) für einen großflächigen Stromausfall analysiert (Kopie) und dabei vor allem die Aus- und Wechselwirkungen mit anderen, nachrangigen Infrastrukturen in den Fokus genommen. Trotzdem ist es wichtig zu unterscheiden zwischen den möglichen Folgen einer Störung  und der Gefährdungslage dieser Systeme, im vorliegenden Fall durch Cyber-Attacken. Einen direkten kausalen Zusammenhang daraus abzuleiten ist zu mindestens aus wissenschaftlicher Perspektive fragwürdig. Bislang sprechen empirische Befunde nicht dafür, dass Sabotage-Angriffe durch fremde Akteure außerhalb kriegerischer Konflikte eine relevante Größe darstellen. Die dem entgegen gestellte Mutmaßung gezielte staatlicher Sabotage als Maßnahme zu einer Unterminierung staatlicher und gesellschaftlicher Grundordnung ist für den Bereich der gezielten Störung kritischer Infrastrukturen auch fragwürdig: zu groß sind für einen möglichen staatlichen Angreifer die Unabwägbarkeiten und zu ungenau die möglichen durchaus auch drastischen und kaum zu kontrollierenden Folgen einer solchen Sabotage. Dies gilt insbesondere im Vergleich zu anderen, einem staatlichen Akteur zur Verfügung stehenden Mitteln wie indirekte mediale oder wirtschaftliche Einflußnahme die wesentlich subtiler erfolgen kann und sicher „unter dem Radar“ offener staatlicher Konflikte bleiben.

Abschließend sei exemplarisch für die Unterscheidung solcher Vorfälle auf Zahlen des BSI verwiesen, die im Rahmen einer Informationsfreiheitsanfrage die unterschiedlichen registrierten Cyber-Vorfälle beim Schutz der deutschen Regierungsnetze für 2016 aufschlüsseln. Obgleich die Gesamtzahl der registrierten Ereignisse in die Millionen gehen, bewegen sich die Zahl der tatsächlich gefährlichen, von menschlichen Hackern durchgeführten Zugriffsversuche, die über automatische Angriffsmuster hinausgehen – die in aller Regel ebenso automatisch durch geeignete Hard- und Software abgefangen werden können – im zweistelligen Bereich.