Ist Bremen zu langsam im Kampf gegen Cyberattacken? Als zumindest "sehr vage" kritisiert der Bremer IT-Experte Dennis-Kenji Kipker die Verlautbarungen des Senats zu seinen Plänen zum Schutz der IT. "Es bedarf dringend einer Strategie, um den Gefahren aus dem Cyberraum vorzubeugen", sagt Kipker, Professor für IT-Sicherheitsrecht an der Hochschule Bremen. Bislang hat Bremen keine Cybersicherheitsstrategie, sie wird derzeit erarbeitet. Bis Ende des ersten Quartals 2023 soll die konkrete Vorgehensweise nach Mitteilung des Innenressorts feststehen.
Über die Ernsthaftigkeit der Bedrohungslage gibt es unter Experten keinen Zweifel. Erst kurz vor Silvester war die Kommunalverwaltung von Potsdam durch einen Hackerangriff lahmgelegt worden. Das Rathaus kappte sämtliche Internetverbindungen, Teile der Website waren nicht mehr erreichbar. "Das kann Bremen auch passieren", warnt Kipker. Neben Behörden sieht der 35-Jährige auch Teile der Wirtschaft bedroht. "Viele kleine und mittelständische Unternehmen beschäftigen sich nicht mit IT-Sicherheit, weil sie keine Ressourcen dafür haben."
Um ihnen im Notfall einen verlässlichen Ansprechpartner zu bieten, fordert Kipker die Einrichtung einer staatlichen Stelle. "Als eine Art Erste Hilfe bei einem Cyberangriff. Die Unternehmen müssen wissen, an wen sie sich wenden können." Bei der Polizei gibt es zwar eine Zentrale Ansprechstelle Cybercrime für die Wirtschaft. Doch diese Stelle hält Kipker für unzureichend. Sie könne ohnehin "nur ein Baustein einer ganzen systematischen Strategie zur Cybersicherheitsprävention und Notfallreaktion sein".
Das Thema Cybersicherheit steht in der nächsten Landtagssitzung der Bürgerschaft am 25. Januar auf der Tagesordnung. Der Senat antwortet auf eine Große Anfrage der FDP-Fraktion vom August 2022. Darin teilt Innensenator Ulrich Mäurer (SPD) mit, es werde perspektivisch erforderlich sein, die für Cybersicherheit zuständigen Behörden "personell und materiell substanziell zu stärken".
Um in dieser Frage Klarheit zu erlangen, hat das Innenressort am 1. September 2022 eine Projektgruppe Cybersicherheit zusammengestellt. Deren Aufgabe besteht darin, die "entsprechenden Bedarfe" zu ermitteln. Der aktuelle Personalbedarf bei der Kriminalpolizei: Im Referat Cybercrime / Digitale Spuren fehlen zwölf Mitarbeiter, es sind 31 von 43 Stellen besetzt.
Der CDU-Opposition dauert das alles viel zu lange. Von einer bloßen "Absichtserklärung" zur digitalen Gefahrenabwehr spricht Innenexperte Marco Lübke. "Eigentlich ist das zu spät, die Sicherheitsstrategie müsste schon so gut wie fertig sein." Auch weil die Strategie ja nur Grundlage einer effizienten Abwehr von Cyberattacken sein könne. Sein Verdacht: IT-Sicherheit habe in Bremen keine politische Priorität. "Meine Vermutung ist, das liegt ganz klar am Geld."
Weniger streng geht die Handelskammer mit dem Senat ins Gericht. Andreas Köhler betont, eine Abwehrstrategie müsse "ordentlich beleuchtet" werden. Das Thema Cybersicherheit werde gerade von mehreren Seiten beleuchtet. Auf die breite Beteiligung relevanter Akteure bei der Strategieerstellung weist auch die Innenbehörde hin. Köhler unterstreicht, es gebe in Bremen auch schon Stellen, an die man sich wenden könne. Als Beispiel nennt er das Freie Institut für IT-Sicherheit. "Wenn man neue Angebote schafft, müssen sie sich einfügen in die Sicherheitslandschaft." Doppelungen seien zu vermieden, das Zusammenspiel mit dem Bund müsse beachtet werden.
Eile scheint geboten, zumal mit Ausbruch des Ukraine-Kriegs die Wahrscheinlichkeit staatlicher Cyberattacken dem Senat zufolge noch einmal "deutlich zugenommen" hat. Aus Sicht von Kipker müssen Bremer Einrichtungen und Unternehmen allerdings kaum fürchten, direkte Angriffsziele zu werden. Höher sei die Gefahr digitaler Kollateralschäden. Als weitaus besorgniserregender beurteilt er kriminelle Machenschaften im Netz. "Es besteht immer eine gewisse Grundbedrohungslage." Vor allem deshalb, weil Erpressung und Lösegeldforderungen durch Schadsoftware sehr lukrativ seien. "Für bestimmte ausländische Firmen ist das ein lohnendes Geschäft." Auch im Inland kämen Kriminelle zunehmend auf den Geschmack. "Inzwischen wird Hackersoftware online angeboten wie eine normale Dienstleistung. Heute muss man kein Hacker mehr sein, um zu hacken."
Inzwischen ist in Sachen Cybersicherheit einiges in Bewegung, das Bundesamt für Sicherheit in der Informationstechnik (BSI) soll nach dem Willen von Bundesinnenministerin Nancy Faeser (SPD) zu einer Zentralstelle im Bund-Länder-Verhältnis ausgebaut werden. Laut Senat werden die Länder aber keine Aufgaben an den Bund übertragen, vielmehr stellten die länderspezifischen Cybersicherheitsstrategien weiterhin einen wichtigen Baustein in der Bundesstrategie dar.
Wie das Innenressort mitteilt, soll die Bremische Cybersicherheitsstrategie "den konzeptuellen Rahmen für gemeinschaftliche und koordinierte Cybersicherheitsarbeit im Land Bremen darstellen". Unterdessen legt Kipker den Finger in die Wunde. "Wir haben zu lange gewartet und dürfen keine weitere Zeit mehr verlieren, denn die Cyberbedrohung ist jetzt schon da", sagt er. "Es ist nicht fünf vor, sondern fünf nach zwölf."
