NSA-Report Teil 3

Deutschland auf Cyber-Angriffe schlecht vorbereitet

17.03.2017
Von  und


Florian Oelmaier leitet das Fachgebiet IT-Sicherheit und Computerkriminalität bei der Corporate Trust, Business Risk & Crisis Management GmbH und ist als Prokurist Mitglied der Geschäftsführung. Seine Spezialgebiete sind aktuelle Angriffe auf Applikationen und Netzwerke sowie Sicherheitskonzeptionen in Softwareprojekten. Nach seinem Informatikstudium war er an der Entwicklung von Sicherheitstechnologien am Fraunhofer Institut für Integrierte Schaltungen beteiligt und in der Folge als IT-Sicherheitsspezialist bei einer deutschen Großbank tätig.
Friedrich Wimmer ist Leiter IT-Forensik und Cyber Security Research bei Corporate Trust. Seine Spezialgebiete sind die Aufklärung von Ermittlungsfällen im Bereich der Mitarbeiterkriminalität und Industriespionage, sowie die individuelle Konzeption und Etablierung effektiver Strukturen einer sicheren Unternehmensführung. Friedrich Wimmer besitzt einen Mastertitel im Bereich Secure Information Systems.

Aufschlussreich: An wen die Geheimdienste berichten

Organisatorischer Aufbau: Ein Indiz für den Aufgabenbereich einer Organisation ist die Frage nach dem Dienstherren. Dienste, die dem Innenministerium berichten, sind tendenziell eher mit der Verteidigung betraut. Behörden, die an den Regierungschef oder das Außenministerium berichten, sind mehr auf das Ausland fokussiert. Berichtet hingegen eine Cybereinheit an den Verteidigungsminister, ist dies gewöhnlich ein eher offensiv ausgerichteter Bereich. In den meisten Nationen berichtet der Großteil der Cybereinheiten an den Regierungschef (im Vereinigten Königreich an den Außenminister mit enger Bindung an den Regierungschef).

Ein Sonderfall ist China, wo alle Cyberkräfte in der Armee zusammengezogen sind. Begründung: "Ohne zu wissen, wie man angreift, kann man nicht wissen, wie man sich verteidigen soll." Die USA gehen einen Mittelweg: Das der Armee zugeordnete U.S. Cyber Command (Angriff) und die an das Weiße Haus berichtende NSA (Spionage und Verteidigung) haben per Dekret denselben Chef und arbeiten somit eng zusammen. In Deutschland berichtet der BND zwar auch an den Regierungschef, dennoch sind die meisten Cyberkräfte dem Innenminister zugeordnet (BSI, Bundesamt für Verfassungsschutz - BfV). Auch die geplante Behörde ZITIS, die neben dem Bundeskriminalamt und den Landeskriminalämtern (Fokus Cybercrime) auch das BfV und die Landesämter für Verfassungsschutz (LfV) unterstützen soll, berichtet an den Innenminister (Grafik 2).

Grafik 2: Dienstherren der Cybereinheiten: Ein Indiz für den Aufgabenbereich einer Organisation ist die Frage nach dem Dienstherren.
Grafik 2: Dienstherren der Cybereinheiten: Ein Indiz für den Aufgabenbereich einer Organisation ist die Frage nach dem Dienstherren.
Foto: Corporate Trust

Geheimdienst-Budgets: Deutschland unter ferner liefen

Budget: Ungeschönte Einblicke in die Finanzierung fremder Geheimdienste erhält man nur sehr selten. In den Snowden-Archiven finden sich allerdings Dokumente, die für die 16 Nachrichtendienste der Vereinigten Staaten ein Budget von 52,6 Milliarden (US: Billion) US-Dollar für das Jahr 2013 ausweisen. Dem stehen zusammengenommen gerade einmal 1,1 Milliarden Euro bei den deutschen Nachrichtendiensten (BND, BfV, Militärischer Abschirmdienst, LfV) gegenüber, inklusive BSI-Budget. Im Jahr 2016 betrug das deutsche Budget etwas über 1,3 Milliarden Euro (Grafik 3).

Grafik 3: Budgetvergleich in Euro – US Intelligence Community und deutsche Nachrichtendienste plus BSI
Grafik 3: Budgetvergleich in Euro – US Intelligence Community und deutsche Nachrichtendienste plus BSI
Foto: Corporate Trust

Aufgrund der unterschiedlichen wirtschaftlichen Stärke der beiden Länder liegt es auf der Hand, dass die finanziellen Mittel der US-Geheimdienste wesentlich höher sind als die der deutschen Nachrichtendienste. Setzt man die Ausgaben allerdings ins Verhältnis zum jeweiligen Bruttoinlandsprodukt (BIP), schneidet Deutschland noch schlechter ab: Gemessen an der Größe seiner Wirtschaft investiert Deutschland wesentlich weniger in Cyberfähigkeiten als die USA. Im Jahr 2013 lag die US-Quote über 0,31 Prozent des BIP, die deutsche Quote bei unter 0,04 Prozent.

Im Jahr 2016 erhöhte sich die deutsche Quote auf annähernd 0,05 Prozent (Grafik 4). Womöglich haben jedoch die Mittel für die "Strategische Initiative Technik" und Umzugskosten einen wesentlichen Anteil an der Erhöhung. Auch wenn der Vergleich der US Intelligence Community mit den deutschen Nachrichtendiensten plus BSI hinkt, wird ersichtlich, welches Gefälle zwischen den beiden Ländern besteht. Dieses Bild bleibt im Wesentlichen auch dann unverändert, wenn man US-Dienste mit Fokus auf wirtschaftliche Vorgänge und deutsche Nachrichtendienste mit Wirtschaftsschutzaufgaben plus BSI vergleicht.

Grafik 4: Budgetvergleich im Verhältnis zum Bruttoinlandsprodukt in Prozent – US Intelligence Community und deutsche Nachrichtendienste plus BSI
Grafik 4: Budgetvergleich im Verhältnis zum Bruttoinlandsprodukt in Prozent – US Intelligence Community und deutsche Nachrichtendienste plus BSI
Foto: Corporate Trust

IT-Security-Experten: Deutschland verliert den Anschluss

Unternehmen sollten sich nicht darauf verlassen, dass deutsche Nachrichtendienste und Behörden in der Lage sind, ihre wirtschaftlichen Interessen energisch zu schützen - denn es fehlen schlichtweg die Mittel, um auf Augenhöhe agieren zu können. Auch bei der Mitarbeiterzahl liegen die deutschen Sicherheitsbehörden im internationalen Vergleich weit hinten. Unternehmen müssen aus eigenem Interesse selbst für die Abwehr von Spähangriffen sorgen.

Auch aus volkswirtschaftlicher Sicht sollte Deutschland das Budget für die Ausbildung von (staatlichen) Cyberspezialisten erhöhen: Die amerikanischen Ausgaben für staatliche Cybereinheiten wirken wie ein Konjunkturprogramm für Cybersicherheit. Es gibt international operierende deutsche Konzerne, die ihre Sicherheitsabteilungen in den USA ansiedeln, weil dort IT-Sicherheitsexperten einfacher rekrutiert werden können. Deutschland verliert in diesem Kontext gerade massiv den Anschluss bei der Schlüsseltechnologie IT, die heute alles und jeden miteinander verbindet. Das hat zur Folge, dass wir in Zukunft auf diesem Gebiet höchstwahrscheinlich zunehmend von ausländischen Anbietern und deren Know-how abhängig sein werden, wenn wir nicht bald umsteuern.