Das Ganze ähnelte einer Szene, wie man sie aus düster-dystopischen Filmen kennt: Der Mauszeiger der Steuerung in der Schaltwarte des Wasserwerkes Oldsmar im US-Bundesstaat Florida bewegte sich wie von Geisterhand geführt über den Bildschirm und schob schließlich den Regler für die Zufuhr von Natronlauge bis zum Anschlag nach oben. Dadurch gelangten gefährliche Mengen der ätzenden Substanz, welche in geringer Konzentration für ein ausgewogenes Säure-Basen-Gleichgewicht sorgen soll, ins Trinkwasser der 14.000-Seelen-Gemeinde. Glücklicherweise machte ein aufmerksamer Mitarbeiter die Manipulation alsbald wieder rückgängig.

Derartige Angriffe auf sogenannte Kritische Infrastrukturen (KI) zur Gewährleistung der Wasser- und Energieversorgung sowie innerhalb der Bereiche Transport und Verkehr, Finanzen und Versicherung, Staat und Verwaltung, Informationstechnologie und Telekommunikation beziehungsweise auch Ernährung und Gesundheit haben in den vergangenen Jahren stetig zugenommen. 2020 fanden fast 450 erfolgreiche Cyber-Attacken auf KI in der EU statt, knapp 200 alleine auf dem Gebiet der Bundesrepublik. 2019 lag ihre Zahl noch bei 121 und 2018 bei 62. 

Bislang ging das stets relativ glimpflich ab, aber über kurz oder lang droht ein Ereignis, für welches der US-Mathematiker Nassim Nicholas Taleb die Bezeichnung „Schwarzer Schwan“ prägte: Seine Eintrittswahrscheinlichkeit ist zwar gering, aber wenn es dazu kommt, dann sind die Folgen verheerend. Wie beispielsweise bei einem nuklearen Unfall infolge von Eingriffen in die Steuerungsprogramme eines Kernkraftwerkes durch Terroristen.Die Verhinderung solch menschgemachter Katastrophen obliegt natürlich in erster Linie dem Staat sowie auch den Parlamenten – entweder durch die Schaffung von Institutionen, denen der Schutz der KI im Lande untersteht, oder durch den Erlass von Gesetzen zur Verbesserung der Cyber-Sicherheit. Allerdings leben die bundesdeutschen Politiker und Abgeordneten vielfach in ihrer eigenen Welt, welche sich sowohl von der realen als auch der virtuellen in den Weiten des Internets unterscheidet. 

Politiker fachlich überfordert

Das resultiert nicht zuletzt aus den mangelnden Kenntnissen zahlreicher Entscheidungsträger über moderne Informationstechnologien, weshalb man hier auch salopp von „IT-Legasthenikern“ sprechen könnte. Mehr als sieben Prozent der Bundestagsabgeordneten haben überhaupt keinen Hochschul- oder Berufsabschluss, und unter den übrigen dominieren die Juristen sowie Angehörige sonstiger Professionen, bei denen profunde IT-Kenntnisse gleichfalls nicht im Vordergrund stehen. Ebenso ist der derzeitige Bundesinnenminister Horst Seehofer, welcher immerhin auch als oberster Dienstherr des Bundesamtes für Sicherheit in der Informationstechnik (BSI) fungiert, alles andere als ein Cyber-Experte: Er absolvierte eine Lehre zum Amtsboten und qualifizierte sich 1979 zum Verwaltungs-Betriebswirt, bevor er dann auf Dauer in die Politik ging. 

Das vielfach also nur rudimentäre Wissen deutscher Politiker und Parlamentarier rund um das Thema IT ermöglichte in der Vergangenheit bereits zwei schwere Hackerangriffe auf die angeblich abgeschotteten Computernetzwerke des Bundestages beziehungsweise der Bundesregierung. Als Haupteinfallstore dienten damals leichtfertig geöffnete infizierte E-Mails, nicht ausreichend gesicherte periphere Rechner und unachtsam verwendete persönliche Endgeräte wie Smartphones und Tablets.

Der gleiche Leichtsinn ist aber auch in der Wirtschaft zu beobachten, wobei hier neben der grundsätzlichen Inkompetenz mancher Führungskader im Hinblick auf IT-Themen zusätzlich noch der Wunsch nach Kostendämpfung eine Rolle spielt. So werden veraltete Betriebssysteme eingesetzt und die Mitarbeiter nicht hinreichend geschult, was Vorsichtsmaßnahmen betrifft. Hochriskant sind zudem die Fernwartungsverträge, durch die Personal eingespart werden soll. Denn so besteht immer die grundsätzliche Möglichkeit eines Zugriffs von außen.

Es kann in einer Katastrophe enden

Damit unser Land künftig besser dasteht, was den Schutz der Kritischen Infrastrukturen betrifft, verabschiedete der Bundestag am 23. April das Zweite Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme. Das hat freilich einen entscheidenden Haken: Es stärkt die Position des BSI gegenüber den Unternehmen der KI-Branche. Dadurch drohen die Überforderung der Behörde und gewaltige bürokratische Zusatzlasten. Noch problematischer ist, dass die Unternehmen nun ihre Verschlüsselungsmethoden und IT-Algorithmen gegenüber dem BSI offenlegen müssen. 

Denn das Bundesamt vollführt einen höchst befremdlichen Spagat: Einerseits soll es den Schutz unserer KI vor Cyber-Attacken gewährleisten, andererseits unterstützt es die Entwickler von staatlichen Schnüffel-Programmen, was dem BSI umso leichter fällt, als bei ihm sämtliche Meldungen über potentielle Sicherheitslücken zusammenlaufen. So machte die Internetplattform für digitale Freiheitsrechte netzpolitik.org einen vertraulichen Schriftwechsel zwischen BSI und Bundesinnenministerium publik, aus dem hervorgeht, dass die Behörde für IT-Sicherheit den Auftrag hatte, das Bundeskriminalamt bei der Entwicklung von sogenannten Staatstrojanern zu unterstützen, mit denen heimliche Online-Durchsuchungen durchgeführt werden können.

Alles in allem ist die neue gesetzliche Regelung zum Schutz der Kritischen Infrastrukturen hierzulande also ganz typisch für die Bundesrepublik im Jahre 2021: Ihr praktischer Nutzen wird aufgrund der massiven Überbürokratisierung eher gering bleiben, jedoch öffnet sie Tür und Tor für die behördliche Gängelung der Wirtschaft und noch mehr Überwachung. Insofern hat der Journalist und Cyber-Experte Peter Welchering vollkommen Recht, wenn er konstatiert: „Wir haben längst nicht die IT-Sicherheitsstruktur, die wir bräuchten, wenn das mit der Digitalisierung nicht in der Katastrophe enden soll.“