Andreas Könen: „Wir brauchen ein Digitalbudget für die gesamte Digitalisierung des Bundes.“

Kalenderwoche 45 // Cybersicherheit

Andreas Könen war von Mai 2018 bis März 2024 Abteilungsleiter „Cyber- und Informationssicherheit“ im Bundesministerium des Innern, für Bau und Heimat (BMI). Zuvor war er ab September 2016 als Stabsleiter IT II und ÖS III im BMI tätig. Von 2006 bis 2016 arbeitete Könen beim Bundesamt für Sicherheit und Informationstechnik (BSI) in Bonn, wo er zuletzt ab Januar 2013 den Posten des Vizepräsidenten bekleidete. In den Jahren 1988 – 2006 war Herr Könen beim Bundesnachrichtendienst (BND) beschäftigt, unter anderem hatte er dort den Posten des Sachgebietsleiters im Leitungsstab des BND-Präsidenten in Berlin inne. Der Diplom-Mathematiker studierte an der Universität zu Köln.

Welche Themen, die Sie nicht beeinflussen können, erhalten bei Ihnen die Unruhe?

Das ist in erster Linie die Umsetzung der NIS-2-Richtlinie der Europäischen Union. Weiter bewegt mich auch alles, was die Aufstellung der Cybersicherheitsarchitektur in Deutschland angeht. Da spielt einmal die Gefährdungslage, wie wir sie aktuell sehen, große Rolle. Und es ist doch immer wieder die Frage danach, wie wir das BSI als ehemaliges Heimathaus weiter ausgestalten. Ich möchte aber auch mein zweites Heimathaus nicht unerwähnt lassen, auch die Aufstellung des BND beschäftigt mich weiterhin. Bei der Gefahrenabwehr im Cyberraum kommt dann beides zusammen.

Sie sprachen von der Gefahrenabwehr und Gefahrenlage. In Szenarien beschrieben, wo sehen Sie derzeit die drei großen Problemfelder in Deutschland?

Nummer eins ist die Bedrohung, die wir zurzeit aus dem Ukraine-Konflikt sehen. Wir sehen deutlich, dass nicht nur aus Russland Bedrohungen kommen. In einem Atemzug kann man den Iran, China und Nordkorea nennen, die wirklich tief in unsere Infrastruktur eingreifen. Anzeichen und Indikatoren dafür gab es schon vorher, jetzt sehen wir es aber wirklich ganz deutlich. Aus der Ukraine kann man klar erkennen, wie die Angriffe ablaufen und welche Kollateralschäden es gibt. Daraus können wir Rückschlüsse ziehen, wie ein Angriff auf die Energieinfrastruktur oder Telekommunikationsstruktur in Deutschland oder Europa ablaufen könnte. Das ist der erste große Komplex.

Der zweite große Gefahrenkomplex ist die Cyberkriminalität. Bitkom schätzt immer wieder Schäden in einer Größenordnung von rund 200 Mrd. Euro pro Jahr für die deutsche Wirtschaft. Das können Sie nicht außer Acht lassen. Ransomware-Angriffe sind dabei nur ein Teil des Problems. Alle diese Arten von Cyberkriminalität, die aus den Schwachstellen von Produkten, der Naivität mancher Nutzer und schlicht schlampiger Aufstellung entstehen, können Sie nicht ignorieren.

Nummer drei, und da wird es dann schon etwas schwieriger, ist meine Sorge, dass unsere Aufstellung im Innern nicht wirklich funktioniert. Dabei geht es auch um die Rezeption der Cybersicherheit im politischen Raum. Zweifelsohne haben wir eine komplexe politische Situation in den Themen Migration und Integration. Auch der Extremismus erstarkt an allen Rändern, insbesondere der Rechtsextremismus. Hier befürchte ich manchmal, dass die Cybersicherheit nicht an erster, sondern an zweiter oder sogar dritter Stelle gedacht wird, bis wir bemerken, wie tief die Digitalisierung in unsere gesamte Infrastruktur eingreift und damit auch die Gefährdung. Hier ist meine Sorge, dass wir irgendwann zu dem Schluss kommen, dass wir an dieser Stelle zu spät oder falsch gehandelt haben.

Wo sehen Sie konkretes Verbesserungspotenzial in der Verzahnung der inneren und äußeren Sicherheit im Cyberraum?

Klassisch gesehen bestehen Gefahren normalerweise vor Ort, weshalb das Prinzip der Gefahrenabwehr vor Ort in Deutschland eigentlich richtig ist. Krisen, auch Umweltkatastrophen, selbst Kriege und Kriminalität, wirken sich am Ende vor Ort aus. Daher halte ich es für richtig, dass die kommunalen und Kreisverwaltungen das Leben und den Staat vor Ort aufrechterhalten.

Digitalisierung und Cyber stellen dieses Prinzip aber auf den Kopf. Diese Angriffe schlagen durch, sie kommen aus der globalen Breite. Von dort schlagen sie bis in die einzelne Entität durch. So kann ein Angriff sich lokal auf ein Klärwerk beziehen, aber auch auf die Energieinfrastruktur, sodass es sich gleich deutschlandweit auswirken würde. Und die Ereignisse können zeitgleich in Deutschland an drei, vier oder fünf Punkten auftreten. Aufgrund dieser Querschnittlichkeit müssen wir im Cyberraum Gefahrenabwehr auch in der Breite im Verbund, auf der Ebene des Bundes betreiben.

Und hier kommen wir direkt in die Außenpolitik hinein. Diese Gefahren kommen aus dem Ausland und sie können nur mit unseren Partnern im Ausland bekämpft werden. Zusätzlich werden wir uns auch mit dem Ausland auseinandersetzen müssen, das nicht unmittelbar Partner ist, aber auch kein unmittelbarer Gegner, sondern akut in der Krise einfach nicht zugänglich ist. Die Gefahrenabwehr in solchen Fällen muss einfach eine Aufgabe des Bundes werden. Vergleichen Sie es mit der internationalen Terrorismusabwehr, auch hierfür musste nach dem 11. September 2001 eine Grundgesetzänderung auf den Weg gebracht werden. Dies hat man getan und es hat sich absolut bewährt. Das BKA ist heute in der Lage, internationalen Terrorismus gemeinsam mit anderen Staaten auch international zu bekämpfen und übernimmt dies für die Bundesländer. Das ist entscheidend. In diesen Fällen treten die Landeskriminalämter an das BKA heran und sagen klar: Hier ist ein länderübergreifender Fall, den geben wir an euch ab. Und genau dieses Prinzip müssen wir auch in der Cyberabwehr walten lassen. Dafür benötigen wir eine Grundgesetzänderung.

Schauen wir genauer auf den Cyberbereich: Das Internet gibt es ja nicht erst seit gestern. Haben wir in den letzten 20 Jahren notwendige strukturelle Veränderungen verpasst, oder sehen Sie es aus damaliger Sicht als angemessene Veränderungen in Bezug auf die Gefahrenabwehr im Cyberraum?

Aus meiner Sicht heute und mit der Möglichkeit, nach der Dienstzeit noch etwas deutlicher zu reden: Ja, wir haben es verpasst, zumal wir es ja immer wieder versucht haben. Schon 2006, damals war ich im Stab des BSI, haben wir gemeinsam mit der Fachaufsicht im BMI dieses Thema vorangetrieben. Ich erinnere mich genau: Damals gab es eine Ausgabe des Magazins „Der Spiegel“ mit dem Titel „Prinzip Sandkorn“. Es ging es um China und Cyberangriffe. Bereits damals haben wir darüber nachgedacht, ob man nicht eine entsprechende Aufstellung des Bundes benötigt und entsprechende Rechte. Schon damals wurde, natürlich noch mit ganz anderen Begrifflichkeiten – denken Sie nur an den Begriff „Hackback“ –, diese Diskussion geführt. Ich habe damals mit dem Leiter der Fachaufsicht, Dr. Markus Dürig, sehr intensiv über dieses Thema gesprochen. Und ich weiß, dass er mindestens drei Anläufe im Laufe seiner Karriere im BMI unternommen hat, hier etwas voranzutreiben.

Haben wir hier nicht ein ernsthaftes Mentalitätsproblem? Beim Thema Drohnen hat Deutschland auch so lange diskutiert, bis die Technologie uns überholt hat. Es scheint, wenn eine Diskussion im Zusammenhang mit Sicherheit steht, diese in Deutschland nicht mit der Realität Schritt halten kann?

Dafür gibt es mindestens drei hochkarätige Gründe. Erstens ist das schon eine komplexe rechtliche Frage. Mit einer Grundgesetzänderung, etwa zugunsten des BKA, würde der Bund faktisch eine geänderte Stellung gegenüber den Bundesländern in der Gefahrenabwehr einnehmen. Daher müssen die notwendigen Eskalationsschwellen fein definiert werden, damit den Bundesländern schließlich nichts weggenommen oder das Rechtsverhältnis zwischen Bund und Ländern auf den Kopf gestellt wird. Dies bedarf einer sensiblen rechtlichen Handhabung. Hinzu kommt, dass die Gefahrenabwehr sich in zwei Richtungen bewegt. Die eine Komponente ist nach innen gerichtet, also auf die innere Sicherheit. Die andere Komponente ist nach außen gerichtet, wo wir schon das Völkerrecht berühren. Stellen wir uns vor, dass eine Gefahr in einem Land auch ohne dessen Mitwirkung vor Ort abgestellt werden muss – das muss völkerrechtlich legitimiert werden.

Zweitens müssen Sie in der Gefahrenabwehr eine polizeiliche Aktion im Ausland vornehmen. Im Inland wäre dies kein Problem. Hier stellt sich aber die Frage, wer diese polizeiliche Aktion ausführen soll. Der Bundesnachrichtendienst hat nach unseren Vorstellungen bisher nur eine aufklärende Funktion; wenn er in eine polizeiliche Rolle rückt, würde das Trennungsgebot zwischen Polizei und Nachrichtendiensten eingerissen oder zumindest perforiert. Und wenn man es noch weiterdenkt, ist es auch eine Perforierung des Trennungsgebotes zwischen ziviler Gefahrenabwehr und militärischer Verteidigung. Denn wo endet in einem solchen Fall die zivile Gefahrenabwehr und wo beginnt eine militärische Intervention, wenn eine Handlung in der IT-Infrastruktur eines anderen Landes passiert? Zumindest der Betroffene wird das möglicherweise so interpretieren, dass dies ein unfreundlicher und damit aggressiver Akt ist. Diese Präferenzen muss man sich genau überlegen und wem man diese Verantwortung anhängt – dem BSI, dem BND oder dem BKA.

Das Dritte ist unser Föderalismus. Das war ein weites Thema in der Debatte in den letzten zwölf Monaten in Bezug auf NIS-2-Richtlinie. Einige Bundesländer haben sich damit schwergetan, sie argumentierten: „Ihr nehmt uns etwas weg”. Die Debatte war auch in der Gefahrenabwehr da. Allerdings haben die Länder hier schrittweise deutlich erkennen lassen, dass ein zentrales Modell bei der Bekämpfung des internationalen Terrorismus ihnen entgegenkommen würde. Sie sehen, das Thema ist wirklich komplex. Insofern wundert es mich nicht, dass wir hier in den letzten 20 Jahren diskutieren mussten. Mir persönlich ist es jedoch etwas zu lang.

Ihre Ausführungen legen nahe, dass man sehr grundsätzlich etwas ändern müsste?

Korrekt. Ich sage, wir brauchen den politischen, juristischen und cybersicherheitstechnischen Mut, dies definitiv zu ändern. Dass wir sagen, dass dieses Trennungsgebot in der analogen Welt seine Berechtigung hat – nun stehen wir aber vor einem Querschnittsthema, das neu ist. Dieses Thema konnten die Väter und Mütter der Verfassung in Bonn nicht kennen. Wir sollten das Grundgesetz ändern und ein neues Prinzip für die Gefahrenabwehr im Cyberraum einführen. Dafür muss es Kontrollmechanismen geben, aber wir müssen es machen.

Welcher Behörde würden Sie das Thema anhängen?

Ich persönlich habe aus meiner Auffassung nie einen Hehl gemacht, dass der BND international exzellent vernetzt ist. Und schaut man auch einmal auf andere Länder, wer die Gefahrenabwehr hier macht, dann kommt man zum gleichen Ergebnis. Nach innen könnte man es sogar beim BKA belassen, die beiden Behörden könnten dann kooperieren.

Kommen wir noch einmal zu NIS 2. Würden Sie sagen, dass die Verbesserungen ausreichend sind?

Jein. Es kommt jetzt darauf an, worauf wir unser Augenmerk richten. Betrachten wir NIS 2 als Fortsetzung von NIS 1. Dabei geht es darum, Unternehmen, die im Cyberraum aktiv sind, die starke digitale Verflechtungen haben, dann auch angemessen zu schützen. Das ist schon einmal eine gute Sache. NIS 2 setzt NIS 1 eben dadurch fort, dass der Kreis der betroffenen Unternehmen deutlich erweitert wird. Außerdem wird differenziert zwischen den kritischen Infrastrukturen einerseits, den besonders wichtigen Unternehmen, welche wir auch mit IT-Sicherheitsgesetz 2.0 bereits teilweise mitreguliert haben und über diese Unternehmen hinaus in der Breite eine ganze Menge mehr Unternehmen, deren Funktionieren für unsere Gesellschaft einfach wichtig ist. Außerdem werden die kritischen Infrastrukturen endlich definiert. Dass diese Unternehmen sich registrieren müssen, dass ein Sicherheitsmanagement aufgesetzt, auditiert, zertifiziert und gegebenenfalls vom BSI revisioniert wird, das ist alles völlig klar und setzt konsequent fort, was wir bei NIS 1 und IT-SiG 1.0 und 2.0 gesehen haben. Man kann es anders machen; wir selbst fanden die Schwellenwerte von Mitarbeitern und Umsätzen nicht allein so aussagekräftig, wie die konkrete Kritikalität zu betrachten. Aber schauen Sie in andere Mitgliedsstaaten, die haben die Vorgaben nach NIS 1 noch gar nicht umgesetzt, weil es ihnen zu kompliziert ist.

Zu NIS 2 würde ich gerne an dieser Stelle aber ergänzen, wo es wirklich klemmt. Es klemmt genau dort, wo es um die öffentliche Verwaltung geht, und zwar föderal, wie im Bund. Was ist passiert? In der Debatte war es so, dass eine ganze Reihe von Mitgliedstaaten, u. a. die Niederlande, gefordert haben, die NIS-2-Richtlinie komplett bis in die kommunale Ebene durchzuziehen. Wir vom BMI wollten das auch und sind dann insbesondere von den Bundesländern gebremst worden. Die Länder sahen Kosten bei den Kommunen aufkommen, welche nach dem Konnexitätsprinzip die Länder hätten tragen müssen. Also hat man uns angehalten, in den Verhandlungen dies nicht mitzugehen. Das haben wir auch getan. Nun ist nur die obere Ministerialebene in den jeweiligen Verwaltungsschichten reguliert. Das bedeutet, in Bund und Ländern sind nun nur die obersten Ebenen reguliert, die Kommunen sind reihenweise bei mir aufgeschlagen und haben gesagt: Wir sind die Leidtragenden mangelnder Regulierung, denn wir tragen die Krankenhäuser und kommunalen Einrichtungen. Wir brauchen eine Grundlage für unser Handeln. Daran konnte ich nichts ändern, entsprechend sieht die Umsetzung der Richtlinie nun aus.

Zum Zweiten: In dem Kabinettsbeschluss steht nun eine Fassung, die ich nicht goutiere. Das habe ich auch neulich so kommuniziert. Die Bundesministerien müssen die Anforderungen von NIS 2 komplett erfüllen, während für die anderen Bundesbehörden im Gegensatz zum geltenden Umsetzungsplan Bund zukünftig  die Regelungen des IT-Grundschutz nicht mehr gelten. Sie müssen nur Mindeststandards erfüllen, die noch gar nicht existieren und erst mit dem BSI ausgearbeitet werden müssen. Das ist ein Zwei-Klassen-Regime der Sicherheit. Ministerien oben, die anderen unten. Selbst das BSI braucht sich nun nicht mehr zu zertifizieren. Das ist doch ein Witz! Allein unter den Stichworten Harmonisierung und Vereinfachung ist das eine Katastrophe. Ich kann nur hoffen, dass der Deutsche Bundestag da noch einmal draufschaut und nacharbeitet.

Warum glauben Sie, ist dies passiert?

Ich denke, es hat sich um einen Kompromiss gehandelt und kann mir vorstellen, dass hier Druck durch die Ressorts ausgeübt worden ist. Ich beneide BMI hier nicht. Denn es gibt so viele Gesetze, die noch umgesetzt werden sollen, und daher kommt hier Politik ins Spiel.

Sie meinen sachfremde Erwägungen?

Korrekt. Noch einmal, ich kann das ministeriale Handeln verstehen. Das Ergebnis goutiere ich trotzdem nicht.

Rein hypothetisch: Wenn Sie in naher Zukunft das Ganze zwei Ebenen höher angehen könnten, was würden Sie anders machen? Und was würden Sie dem Finanzminister in Ihren Haushaltsplan schreiben?

[Lacht] Fangen wir hinten an, Geld regiert die Welt. Vieles kann eben nur passieren, wenn es im Bundeshaushalt drinsteht. Ich würde sagen, wir brauchen ein Digitalbudget für die gesamte Digitalisierung des Bundes.

Bei einem Digitalminister oder dem Innenminister?

Lassen wir die Frage einmal außer Acht. Beide Lösungen sind denkbar. Aber ein Leben ohne Haushaltstitel ist nicht vorstellbar. Innerhalb eines Digitalhaushalts sollten in der Tat 15 Prozent für die Cybersicherheit ausgewiesen werden. Das ist eine real angemessene Größe angesichts der Lage. Daraus muss man dann die Handlungen ableiten. Ein CIO des Bundes kann eben nur agieren, wenn er Geld und Infrastruktur hat.

Ja oder Nein: Ist das Sicherheitsbewusstsein in den Bundes- und Landesregierungen Ihrer Ansicht nach so, dass Sie sich persönlich in Deutschland sicher fühlen?

Ja. Jetzt muss ich die Kirche im Dorf lassen. Ich habe mir gerade den Blick von außen auf Deutschland vorgestellt und muss sagen: Ja. Auch im Vergleich zu den USA. Ich kenne die US-Kollegen und deren Nöte, was in den Bundesstaaten in den USA läuft. Es ist nicht von ungefähr, dass Präsident Biden in seiner Amtszeit eine ganze Reihe Regelungen zur Cybersicherheit durchgebracht hat, welche das Federal Government betreffen. Und er hat, das wird von Deutschland aus kaum wahrgenommen, die Bundesstaaten aufgerufen, sich zu verbessern. HIer muss ich sagen, da sind wir in Deutschland weiter. Es gibt z.B. Beschlüsse des IT-Planungsrats, die klipp und klar sagen, wie IT-Grundschutz aussehen soll. Da will ich nicht meckern.

Gerade für Start-ups, die innovative Sicherheitslösungen herstellen, sind diese Sicherheitsanforderungen aber auch eine erhebliche finanzielle Belastung. Wie stehen Sie dazu?

Ganz klar, diese Unternehmen unterliegen innerhalb der Lieferkette den Regelungen der NIS-2-Richtlinie. Tatsächlich sollte man hier unterstützen. Wir haben schon von BMI-Seite aus dafür plädiert, entsprechende Förderprogramme zu schaffen. Das kann man indirekt über Steuererleichterungen erreichen, man kann aber auch direkt Mittel einsetzen, indem man Basisberatungen und erste Schritte mit Förderbeträgen hinterlegt. Als das 100-Mrd.-Euro-Sondervermögen für die Bundeswehr vereinbart wurde, haben wir vom BMI aus ein Sondervermögen in Höhe von 20 Mrd. Euro für die Cybersicherheit gefordert und nicht bekommen. Darin war ein 5-Mrd.-Förderpaket für genau solche Maßnahmen enthalten. Daraus ist gar nichts geworden.
Zurück zu Ihrer Frage: Ja, Regulierung ist eine Belastung für Unternehmen. Aber wir haben auch schon bei den vorherigen Gesetzen hinter den Kulissen von Verbandsvertretern wie Einzelunternehmen erfahren, dass die Regulierungen den IT-Sicherheitsbeauftragten massiv geholfen haben. Die Informationssicherheitsbeauftragten haben endlich beim CFO Gehör gefunden und dann wurde in die Informationssicherheit investiert.

Sie sprachen Förderungen an. Sind Sie der Ansicht, dass wir auch im Bereich der Innovationen in der Sicherheit in Deutschland aktuell Potenzial aufgrund mangelnder Förderung nicht haben?  Gleichzeitig sind die Regulierungen hier eben oft strenger als in anderen Ländern, ich denke an den Datenschutz.

Der Transfer all dessen, was wir in der Forschungslandschaft an Entwicklungen sehen, lässt zu wünschen übrig. Es ist in der Tat nicht von ungefähr, dass Personen für ihre Forschung immer noch häufig in die USA abwandern. Schaue ich mir beispielsweise die Fraunhofer-Institute an, bei denen ich im Beirat bin. Die kämpfen unheimlich gut darum, mit der Wirtschaft gemeinsam Projekte aufzustellen. Aber nach erfolgreicher Durchführung dieser Projekte ist oft der Transfer in Richtung eines Start-ups nicht gegeben. Es ist immer noch schwierig, Investitionen in Sicherheit zu akquirieren. So bleiben viele doch an der Universität. Außerdem ist in Deutschland das Scheitern immer noch ein zu großes Manko. Das wollten wir mit der Cyberagentur des BMI und BMVg adressieren, indem wir außergewöhnliche Ideen direkt fördern. Aber es ist und bleibt zu wenig, da gebe ich Ihnen recht. Weitere Punkte liegen darin, dass wir eine sehr mittelständisch aufgestellte Wirtschaft haben. Das ist gut. Umgekehrt fällt es diesen Unternehmen oft schwerer, Finanzen und Anwendungsfälle zu finden, die für ein Start-up reichen. Das fällt den Franzosen mit ihren meist wenigen größeren Unternehmen leichter. Dafür tendieren diese dazu, die Start-ups dann direkt zu aufzukaufen, was auch nicht unbedingt wünschenswert ist.

Greifen wir zuletzt das Stichwort USA auf und kommen wir auf die praktische Umsetzung der Sicherheit zurück. Sind Sie der Ansicht, dass wir auf eine mögliche zweite Amtszeit von Donald Trump angemessen in Fragen der Sicherheit vorbereitet sind?

Nein. Ich habe die Ära Trump I erlebt und es war eine extrem schwere Zeit, was die Zusammenarbeit mit den USA anging. Es hat deswegen funktioniert, weil die Leute sich auf den Arbeitsebenen kannten und sehr gute Kontakte hatten. Man hat einfach weitergemacht. Sie müssen es sich aber so vorstellen, als wäre in einem deutschen Ministerium die letzte besetzte Ebene eine Unterabteilung. Es hätte keine Abteilungsleiter und keine Staatssekretäre gegeben, sondern überall nur kommissarisch agierende Personen, die sich nichts getraut haben, weil sie keine Bestätigung des Senats und des Repräsentantenhauses bekamen. Alle waren darauf angewiesen, dass die Ebene darunter genau wusste, worum es ging, und einfach weitergemacht haben. Ob wir dieses Glück noch einmal haben, weiß ich nicht. Ich würde für den Fall eines Wahlsieges dringend dafür plädieren, sich dieses Mal besser zu präparieren und eine ganze Reihe von Gesprächen bis Ende des Jahres zu führen. Es muss Gewissheit geben, dass es gemeinsam weitergeht. Angesichts der Bedrohungen aus Russland müssen wir uns unbedingt gemeinsam mit den USA wappnen.

Herr Könen, vielen Dank für das Gespräch.

Das Interview führte für Lagebild Sicherheit Dr. Christian Hübenthal

In der wöchentlichen Ausgabe erhalten Sie kostenlos das vollständige Lagebild der Sicherheit.

Melden Sie sich jetzt an.