Milliardenschäden durch Hacker – und Deutschland ist schlecht vorbereitet
Die Zahl der Hackerangriffe steigt seit Jahren – ebenso die dadurch verursachten Schäden. Der Bundesrechnungshof warnt: Die Bundesregierung muss Cybersicherheit endlich zentral steuern und ausreichend finanzieren. Doch auf CORRECTIV-Nachfrage zeigt sich: Die Koalition verfügt über keine klare Strategie.
Jedes Jahr verliert Deutschland Milliarden Euro durch Cyberangriffe, Spionage, Sabotage und digitalen Betrug. Im Jahr 2024 lag der Schaden bei 178,6 Milliarden Euro – ein Anstieg um 30,4 Milliarden gegenüber dem Vorjahr. Ein Vergleich hilft, sich die enorme Dimension vor Augen zu führen: Das entspricht etwa der Summe, die Bund und Länder pro Jahr für Bildung ausgeben. Der Bundesrechnungshof schlägt Alarm: Die Bundesregierung habe keine zentrale Strategie, um sich wirksam zu schützen. Und es fehlt Geld.
„Ein digitales Deutschland muss sich gegen die Gefahren des Cyberraums schützen. Die neue Bundesregierung muss Cybersicherheit hoch priorisieren, koordinieren und bedarfsgerecht finanzieren“, so der Bundesrechnungshof im Bericht.
Was der Bundesrechnungshof konkret fordert:
In einem aktuellen Bericht verlangt der Bundesrechnungshof eine neue Cybersicherheitsstrategie, die ressortübergreifend gesteuert und finanziert wird. Heute arbeiten Ministerien und Behörden oft isoliert. Das koste Zeit, Geld – und im Ernstfall auch Sicherheit.
Kritische Infrastrukturen wie Stromversorgung, Krankenhäuser oder digitale Netze müssten stärker geschützt werden. Besonders besorgniserregend: Die Rechenzentren des Bundes – also die zentralen Computeranlagen, in denen wichtige Regierungs- und Verwaltungsdaten gespeichert und verarbeitet werden – haben seit Jahren große Sicherheitslücken
Bundesregierung ohne Plan für gemeinsames Budget
Auf Anfrage von CORRECTIV teilte das Bundesministerium für Digitales und Staatsmodernisierung (BMDS) mit, dass der Koalitionsvertrag kein zentrales Budget für ressortübergreifende Cybersicherheitsmaßnahmen vorsieht. Es dürfte also beim Nebeneinander der Behörden bleiben.
Dabei machte der Bundesrechnungshof in einem ausführlichen Bericht vom vergangenen Oktober deutlich: Bereits 2025 fehlen rund 52 Millionen Euro. Bis 2028 summiert sich die Lücke insgesamt auf über 358 Millionen Euro – und zwar für Projekte, die aus Sicht des Bundesrechnungshofs zu den prioritären Cybersicherheitsvorhaben des Bundes gehören.
Das BMDS bezeichnet diese Zahlen als veraltet und verweist darauf, dass sie nicht den aktuellen Stand der Haushaltsplanung widerspiegeln. Der Bundesrechnungshof hält jedoch an seiner Einschätzung fest, dass ohne eine ausreichende und zentrale Finanzierung die wichtigsten Schutzmaßnahmen nicht rechtzeitig umgesetzt werden können.
BSI sieht strukturellen Handlungsbedarf
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) erkennt die vom Bundesrechnungshof beschriebenen Probleme an. „Die im BRH-Bericht aufgezeigten Herausforderungen sind dem BSI bekannt. Es kommt nun darauf an, diese strukturiert abzuarbeiten“, erklärte eine Sprecherin gegenüber CORRECTIV.
Der stetig wachsenden Bedrohungslage im Cyberraum müsse nach Ansicht der Behörde insbesondere in der Bundesverwaltung „eine wirkungsvolle Antwort in Form einer robusten, mit entsprechenden Ressourcen hinterlegten IT-Governance-Struktur“ entgegengesetzt werden. Diese Struktur solle sich „über alle Ressorts, Behörden und Institutionen der Bundesverwaltung erstrecken“ und „dem Ziel dienen, Cybersicherheit in der Bundesverwaltung gemeinsam zu organisieren und kontinuierlich zu verbessern“.
Ob das BSI eine solche zentrale Steuerung, wie sie der Bundesrechnungshof fordert, für sinnvoll und realistisch hält, beantwortet die Behörde nicht.
Experten warnen vor Interessenkonflikten
Die gemeinnützige Gesellschaft für Informatik (GI) begrüßt zwar die Pläne, das Bundesamt für Sicherheit in der Informationstechnik (BSI) zur Zentralstelle auszubauen – sieht aber ein grundlegendes Problem: Die Behörde ist weiterhin dem Innenministerium unterstellt.
„Die GI unterstützt die Weiterentwicklung des BSI zur Zentralstelle. Gleichzeitig sollte die Behörde weisungsunabhängig vom Innenministerium werden, um sich ohne Interessenkonflikte dem Schutz der IT-Sicherheit widmen zu können“, sagt GI-Politikchef Nikolas Becker gegenüber CORRECTIV.
Solche Interessenkonflikte entstünden insbesondere „zwischen der Aufgabe, die Schutzfähigkeit deutscher IT-Systeme zu erhöhen und der Befugnis, ihm bekannte oder gekaufte Sicherheitslücken nicht zu veröffentlichen, weil andere Sicherheitsbehörden diese ausnutzen wollen.“ Das könne dazu führen, dass das Sicherheitsniveau von Unternehmen und Privaten „stark eingeschränkt“ werde.
Die GI fordert einen Strategiewechsel in der Cyberabwehr – „auf Prävention statt auf intrusive Maßnahmen [also Eingriffe in fremde IT-Systeme] zu setzen“. Dazu gehöre eine gesetzliche Meldepflicht für Sicherheitslücken („Responsible Disclosure“) für alle Bundesbehörden. Außerdem solle Open Source als „wichtige Basis für technologische Souveränität“ gefördert und die IT-Sicherheitsforschung gestärkt werden – unter anderem durch eine Modernisierung des Computerstrafrechts.
Warum das wichtig ist
Cybersicherheit betrifft nicht nur Ministerien oder Unternehmen. Wenn digitale Netze, Stromversorgung oder Verwaltungssysteme angegriffen werden, spüren das alle – von der Arztpraxis bis zum Supermarkt.
Im Jahr 2024 wurden in Deutschland über 131.000 Cybercrime-Fälle angezeigt. Dazu kamen etwa 201.900 sogenannter Auslandstaten, die vom Ausland oder unbekannten Orten verübt werden. Der verursachte Schaden lag bei 178,6 Milliarden Euro, ein Anstieg um 30,4 Milliarden gegenüber dem Vorjahr. Besonders alarmierend: Die prorussische Gruppe NoName057(16) griff in 14 Wellen rund 250 deutsche Einrichtungen an – darunter Stromversorger, Verkehrsbetriebe und Behörden. Der Bundesrechnungshof mahnt: Deutschland muss handeln, bevor der nächste große Angriff kommt.
Redaktion: Anette Dowideit
Redigat und Faktencheck: Sebastian Haupt
