Die Sorgen des sorglosen Staates 

Es dürfte teuer werden für den deutschen Mittelstand. Auf besonderen Wunsch der Grünen wurde im Koalitionsvertrag ein neues Gesetz vereinbart. Das KRITIS-Dach-Gesetz. Damit will die Koalition die Forderungen an die Unternehmen der kritischen Infrastruktur weiter erhöhen, und das bestehende Gesetz verschärfen (Siehe: Sind wir Kritis? in PROTECTOR 3/2022). Insbesondere soll wohl die Anzahl der betroffenen Unternehmen erweitert werden. Noch ist nicht einmal ein Entwurf bekannt, doch bis Weihnachten soll er vorliegen. Alle Experten rechnen bei den betroffenen Firmen mit massiven Mehrausgaben, um die geforderten neuen Auflagen erfüllen zu können. Während die Bürokratie im Oktober 2022 über die Ausgestaltung des neuen Gesetzes brütet, zeigen sich die Folgen einer allzu sorglosen Politik. Der Staat verlangt von seinen Bürgern ein gesteigertes Maß an Umsicht, zu der er selbst aber weder Willens noch im Stande ist.

Bei der Vorsorge für den Katastrophenfall ist der Staat besonders großzügig zu sich selbst. Er verlagerte die Kompetenzen für Naturkatastrophen oder flächendeckende Stromausfälle auf die Länder, die das Problem dann auf die Kommunen abwälzten. Nun sind die Bürgermeister in der Pflicht. Laut dem ARD Magazin "Report Mainz" vom 25. Oktober 2022 berichteten von 400 angeschriebenen Kommunen  nur ein Viertel über vorhandene Notfallpläne für den Blackout. Der Rest hat keinen, oder antwortete nicht.

Die Sprengung von drei der vier Nord-Stream 1 und 2 Pipelines stellte zweifelsohne den gravierendsten Angriff auf die Lebensadern Deutschlands nach Ende des Krieges dar. Seit dem 26.September 2022 sind alle Leitungen unbenutzbar. Die zuständigen Ministerien gaben sich erstaunt, dass so etwas möglich ist. Nun will man "schnell" reagieren, und über Schutzmaßnahmen nachdenken. Das dürfte nichts ganz so einfach sein, denn Schutzmaßnahmen wie Unterwassermikrofone in der Leitung, hätte man gleich mit in die Röhren einbauen müssen. Unterwasserziele sind schwer zu schützen aber leicht angreifbar. Kampfschwimmer, U-Boote und dressierte Meerestiere wie Robben und Delfine sind in der Vergangenheit erfolgreich eingesetzt worden. Seit über zehn Jahren sind militärische Unterwasserdrohnen bekannt, die teilweise mit KI gesteuert werden und autonom ihr Ziel erreichen. Nach erfolgreicher Sprengung hinterlassen sie fast keine Spuren. In einem dicht befahrenen Seegebiet wie der Ostsee nutzen Radarinformationen über Schiffsbewegungen auch wenig. Wenige Tage nach Deutschland traf es am 10. Oktober 2022 die dänische Insel Bornholm. Hier gingen die Lichter aus. Ob das Stromkabel Opfer eines Angriffs wurde, oder nur die Sicherung auslöste, darüber gibt es widersprüchliche Informationen. Auch Norwegen meldet allerdings verdächtige Aktivitäten von Unterwasserfahrzeugen rund um seine Öl- und Gasförderanlagen in der Nordsee. Die NATO hat ein Unterwasserproblem. Zudem wurden im Oktober drei Angriffe auf Internet-Tiefseekabel bekannt. Zwei im Atlantik und eines vor Südfrankreich. Dies verlangsamte den weltweiten Internetverkehr. Zwischen 95 und 98 % aller Internetdaten laufen durch solche Tiefseekabel.

Die Staaten zeigen sich überrascht, doch man hätte es besser wissen müssen. So geistert seit 2014 ein in den USA entwickelter autonom operierender künstlicher Hai durch die Medien, 1,5 m lang und 50 kg schwer. Er sieht aus wie ein Fisch, bewegt sich wie ein Fisch und soll militärische Aufträge ausführen. Zu erwähnen wäre noch der Flying Sea Glider. Eine Flugdrohne, die abtauchen kann und dann zur Unterwasserdrohne wird. Das Forschungsprojekt der US-Militärs dürfte inzwischen einsatzreif sein. Das alles ist kein Geheimwissen, es existieren Fotos von Rüstungsmessen und es liegen Berichte in Fachzeitschriften vor. Offenbar hielt Europa sich für unverwundbar, weil es keine Feinde zu haben glaubte. Aber auch chinesische und russische Ingenieure schlafen nicht, veröffentlichen ihre Ergebnisse aber nur selten. Russland forscht nach eigenen Angaben sogar an einer Unterwasserdrohne mit Nuklearantrieb, die unter dem Namen Poseidon bekannt ist. Sie ist blitzschnell und soll Küstenstädte mit einem künstlich ausgelösten Tsunami angreifen können. Prof. Thomas Schmickl vom Labor für künstliches Leben an der Universität Graz hat solch autonom operierende Objekte sogar mit Schwarmintelligenz ausgestattet. Mit den Mitteln einer Universität. Geheimdienste und das Militär dürften dazu wohl auch im Stande sein.

Das ohrenbetäubende Schweigen der Deutschen Presse darf nicht darüber hinwegtäuschen, dass hier wohl ganze Abteilungen ihre Hausaufgaben nicht gemacht haben. Während sich die Hardthöhe an der Digitalisierung der Truppe versucht, um die Panzerschlacht in der Lüneburger Heide mit Satellitenunterstützung zu bestehen, dachten die Angreifer wohl pragmatisch und preiswerter. Unterwasserdrohnen kosten fast nichts, bringen den angegriffenen Staat aber schnell in eine Schieflage. Nachweise sind schwierig. Sobald sie in größeren Stückzahlen verfügbar sind, und mehr Staaten und sogar Terrororganisationen über sie verfügen, ist völkerrechtlich kaum ein staatlicher Urheber auszumachen. Aktuell ist nicht einmal klar, ob Deutschland selbst nach Spuren des Anschlages sucht oder dies tun will. Schon die jetzigen KRITIS Gesetze erlegen den Betreibern im Innland ganz andere Verpflichtungen auf. Angriffe sind zu dokumentieren und binnen enger Fristen zu melden.  

Am  8. Oktober 2022 legten Angreifer das gesamte deutsche Bahnnetz lahm. Dazu genügten zwei simple Schnitte durch die Lichtleiter des digitalen Zugfunksystems. Die in Staatsbesitz befindliche Bundesbahn hat sich ein Strecken-Sicherheitssystem gegeben, das nach der Digitalisierung 2007 auf den Bahnfunk angewiesen ist. Fällt das als GSM-R (Global System for Mobile Communications - Rail) bekannte Netz aus, bewegt sich bei der Bahn landesweit kein Radsatz mehr. Dass es sich bei GSM um einen für zivile Aufgaben ausgelegten Mobilfunkstandard handelt, hat bei der Einführung niemanden ernsthaft gestört. Verbunden sind die Basisstationen über Lichtwellenleiter, die gut sichtbar unter Steinplatten eines Kabelschachtes entlang des Schienenweges verlegt wurden. Die Bahn vertraute auf die redundant ausgelegten Zentralen in Berlin-Hohenschönhausen am Karower Kreuz in Berlin und in Herne in NRW.

Das Geheimnis um die Zentralen war wohl zu vielen Menschen bekannt. Die Täter schlugen gezielt an beiden Orten gleichzeitig zu. Auffindbar sind solch sensible Glasfaserleitungen durch handelsübliche Biegekoppler, die auch das Mitlesen der ausgetauschen Information gestatten. Nun will man rasch reagieren, und hunderte von Kameras installieren. Vermutlich um zukünftige Täter im Bild zu dokumentieren und so abzuschrecken. Ideen für einen echten Schutz von tausenden Bahnkilometern scheinen noch nicht gefunden zu sein. Aber das Nachdenken beginnt ja auch jetzt.

Zur kritischen Infrastruktur gehört neben der Bahn auch der Straßenverkehr. Hier benötigt Deutschland keine externen Angriffe. Die Lebensader des hochindustrialisierten, aber verkehrsmäßig schlecht erschlossenen Sauerlands, die Autobahn A 45, ist bei Lüdenscheid  seit Dezember 2021 gesperrt, weil die dortige Rahmede Brücke akut einsturzgefährdet ist. Man hatte sie nicht rechtzeitig saniert. Inzwischen steht fest, dass alle Brücken der Sauerlandlinie saniert werden müssen. Die A 1 bei Leverkusen ist zudem seit Jahren für LKW gesperrt, da die dortige Rheinbrücke ebenso einsturzgefährdet ist. Bei weiteren rund 330 Brücken über Autobahnen in Westfalen könnte es demnächst Einschränkungen für den Verkehr geben, weil sie marode sind und den Belastungen vermutlich bald nicht mehr standhalten können.

Ohne IT läuft bei Unternehmen der kritischen Infrastruktur nichts. Das dafür zuständige Bundesamt BSI nimmt aus diesem Grund eine herausragende Stellung ein. Im Oktober katapultierte Bundesinnenministerin (BMI) Nancy Faeser (SPD) den Präsidenten des Bundesamtes für Sicherheit in der Informationstechnik (BSI), Arne Schönbohm aus dem Amt. Vorausgegangen war eine unwürdige Hängepartie, nach einem Bericht des ZDF über mögliche Verbindungen von Schönbohm nach Russland. Schönbohm steht wegen möglicher Kontakte zu russischen Geheimdienstkreisen über den umstrittenen Verein „Cyber-Sicherheitsrat Deutschland“ in der Kritik. Die Verbindung von Schönbohm war zuvor von Jan Böhmermann in der Sendung „ZDF Magazin Royale“ Anfang Oktober thematisiert worden. Obwohl ein alter Hut, hagelte es danach Berichte über eine mögliche Abberufung, die zwei Wochen später auch erfolgte.

Schönbohm ist einer der Mitgründer des „Cyber-Sicherheitsrat Deutschland e.V.“, der unter anderem in der Kritik steht, weil er zu bestimmten Anlässen wie eine vermeintlich staatliche Institution aufgetreten ist. Im Jahr 2019 hatte außerdem Vereins-Präsident Hans-Wilhelm Dünn gegenüber dem ARD-Magazin „Kontraste“ und der Wochenzeitschrift “Die Zeit“ Kontakte zu russischen Geheimdienststellen eingeräumt.

Der studierte Diplom-Betriebswirt wurde am 1. Februar 2016 vom damaligen Bundesinnenministers Thomas de Maizière zum Präsidenten des Bundesamtes für Sicherheit in der Informationstechnik ernannt. Hausintern war der Sohn eines einflussreichen CDU-Politikers stets umstritten, da er keine fachliche Kompetenz nachweisen konnte. Seine Vorläufer waren hingegen brillante Mathematiker und IT-Spezialisten. Das alles ist allerdings seit Jahren bekannt. Auch bei seinem Rauswurf erfuhr Schönbohm nichts über neue, beamtenrechtliche Vorwürfe. Obwohl selbst kein Techniker, versuchte Schönbohm das BSI aus politischen Weisungen herauszuhalten. Alle Sicherheitsmängel sollten offen kommuniziert werden. Das machte ihm bei Geheimdiensten und im BMI Feinde. Diese wurden noch verstärkt, als er das BSI von der Oberaufsicht durch das BMI befreien wollte. Bislang wacht ein Staatssekretär über die Arbeit der Behörde. Unter Schönbohm ist das Haus massiv gewachsen, und hat sich immer mehr Aufgaben gesichert. Schönbohm machte sich allerdings in den USA unbeliebt, weil seine Techniker in chinesischen Mobilfunksystemen nicht jene Sicherheitslücken fanden, die man dort jenseits des Atlantiks vermutet.

Laut durchgestochener Informationen in der Tagespresse, soll die Regierung Schönbohms Telefonate abgehört haben. Es muss hier offen bleiben, welchen Eindruck das im Ausland erzeugt: Deutschlands oberster Computer-Schützer als Sicherheitsrisiko, der zudem nicht in der Lage ist, seine Telefongespräche vor Lauschangriffen zu schützen. Peinlich für den Chef einer Verschlüsselungsbehörde.

In den vier Wochen zwischen Ende September und Ende Oktober 2022 wurde also viel Vertrauen verspielt und wenig Sicherheit gewonnen. Der Staat sollte bei der Suche nach besserem Schutz der kritischen Infrastruktur zunächst bei sich selbst beginnen.  

Bernd Schöne, freier Mitarbeiter PROTECTOR und Sicherheit.info