Zwischen BSI, NCAZ und GAZ Hybrid: Die deutsche Cyber-Sicherheitsarchitektur zwischen Koordination und Komplexität – mit Kommentar der Herausgeberin

Mit dem GAZ Hybrid wächst Deutschlands Cyber- und Hybridabwehr um ein weiteres Zentrum. Für CIOs und CISOs wird damit nicht die Abkürzungsliste entscheidend, sondern die Frage, ob Warnungen, Meldewege und Zuständigkeiten endlich praxistauglicher werden.

Bild: Getty Images / Credits: thomas-bethge

Bundesinnenminister Alexander Dobrindt hat mit dem „Gemeinsamen Zentrum zur Abwehr hybrider Bedrohungen“ (GAZ Hybrid) eine neue Instanz der nationalen Sicherheit eröffnet. Das wirft bei vielen IT-Entscheidern die Frage auf: Wer ist in der deutschen Cyberabwehr-Landschaft eigentlich für was zuständig – und wer spricht mit wem? Ein Wegweiser durch den Abkürzungsdschungel.

Wenn es um die Verteidigung des digitalen Raums geht, hat Deutschland in den letzten 15 Jahren eine komplexe – Kritiker sagen: hochgradig fragmentierte – Landschaft aus Ämtern, Zentren und Allianzen aufgebaut. Mit der Eröffnung des GAZ Hybrid kommt nun ein weiterer Player hinzu. Für Enterprise-Unternehmen, insbesondere aus dem KRITIS-Sektor, ist es essenziell zu wissen, wie diese Rädchen ineinandergreifen.

Die Landkarte der deutschen Cyber- und Hybridabwehr

Das Fundament der deutschen zivilen Cybersicherheit bildet das in Bonn ansässige Bundesamt für Sicherheit in der Informationstechnik (BSI). Es setzt Standards, erstellt Lagebilder, warnt vor Schwachstellen und betreibt mit dem CERT-Bund das Computer-Notfallteam des Bundes. Über BSI-Warnmeldungen, IT-Sicherheitsmitteilungen und das BSI-Portal laufen Informationen zu schwerwiegenden Schwachstellen, aktiven Angriffen und herausragenden Bedrohungen an Behörden, KRITIS-Betreiber und Unternehmen.

Die Brücke zur Wirtschaft schlägt die Allianz für Cyber-Sicherheit (ACS), die das BSI 2012 gemeinsam mit Bitkom gegründet hat. In ihr tauschen sich mittlerweile rund 8.900 Unternehmen und Institutionen über Bedrohungslagen, Best Practices und Präventionsmaßnahmen aus. Für Betreiber kritischer Infrastrukturen und künftig auch viele NIS-2-relevante Einrichtungen ist zusätzlich UP KRITIS wichtig: die öffentlich-private Kooperation von KRITIS-Betreibern, Verbänden und staatlichen Stellen für Lageaustausch, Krisenkommunikation und sektorspezifische Resilienz.

Die Abwehrzentren: Wer koordiniert welche Lage?

Weil das BSI weder Strafverfolgungsbehörde noch Nachrichtendienst ist, braucht es bei größeren Vorfällen behördenübergreifende Koordination. Diese Aufgabe übernehmen mehrere gemeinsame Zentren, die jeweils unterschiedliche Bedrohungslagen bündeln.

Das Nationale Cyber-Abwehrzentrum (NCAZ, oft auch Cyber-AZ genannt) ist die Kooperations-, Kommunikations- und Koordinationsplattform für Cybersachverhalte von gesamtstaatlicher Relevanz. Dort arbeiten unter anderem BSI, BKA, Bundespolizei, BfV, BND, BAMAD, BBK, KdoCIR sowie assoziierte Partner wie BaFin und Zoll zusammen, ohne ihre jeweiligen gesetzlichen Zuständigkeiten aufzugeben.
Das Gemeinsame Terrorismusabwehrzentrum (GTAZ) bündelt den Austausch zu islamistischem Terrorismus und vernetzt Sicherheitsbehörden von Bund und Ländern.
Das Gemeinsame Extremismus- und Terrorismusabwehrzentrum (GETZ) koordiniert Informationen zu anderen extremistischen und terroristischen Phänomenbereichen. Der bisher dort verortete Arbeitsbereich zu Spionage und Proliferation wurde nach Angaben des BMI in das neue GAZ Hybrid überführt.
Das Gemeinsame Drohnenabwehrzentrum (GDAZ) adressiert Drohnenbedrohungen und koordiniert dafür vor allem Polizeien des Bundes und der Länder, Bundespolizei, BKA und Bundeswehr.
Das neue Gemeinsame Zentrum zur Abwehr hybrider Bedrohungen (GAZ Hybrid) soll hybride Muster erkennen, bei denen Cyberangriffe, Spionage, Sabotage, Desinformation, Proliferation, transnationale Repression oder Staatsterrorismus zusammenwirken.

Strafverfolgung, Technik und militärische Cyberdimension

Wenn ein Angriff strafrechtlich relevant wird, kommen BKA, Landeskriminalämter und die Zentralen Ansprechstellen Cybercrime (ZAC) der Länder ins Spiel. Für Unternehmen sind diese ZACs häufig der praktische Einstiegspunkt bei Anzeige, Beweissicherung und Erstberatung nach einem Cybervorfall. Die ZITiS in München ergänzt diese Landschaft als technischer Forschungs- und Entwicklungsdienstleister für Sicherheitsbehörden, etwa bei digitaler Forensik, Kryptoanalyse oder der Auswertung großer Datenmengen. Das Kommando Cyber- und Informationsraum (KdoCIR) bündelt wiederum die militärischen Fähigkeiten der Bundeswehr im Cyber- und Informationsraum – im Rahmen des verfassungs- und völkerrechtlichen Mandats.

Praktizierter Föderalismus: Länder, Landes-CERTs und regionale Kompetenzzentren

Neben den Bundesstrukturen haben auch die Länder eigene Cyberkompetenzen aufgebaut. Bayern gilt mit dem Bayerischen Landesamt für Sicherheit in der Informationstechnik (LSI) als Vorreiter; es unterstützt Landesbehörden, Kommunen und öffentliche KRITIS-Unternehmen. Hessen bündelt vergleichbare Aufgaben im Hessen CyberCompetenceCenter (Hessen3C), das als zentraler Ansprechpartner für Landesverwaltung, Kommunen, KRITIS-Einrichtungen und Wirtschaft fungiert. Hinzu kommen Landes-CERTs, Cybercrime-Dienststellen der Polizeien und regionale Cyberabwehrstrukturen, die im föderalen System eine wichtige Rolle spielen.

Was Unternehmen im Ernstfall wissen müssen

Für CIOs und CISOs entscheidend ist deshalb weniger die einzelne Abkürzung als der Melde- und Eskalationsweg: technische Warnungen über BSI und CERT-Bund, freiwilliger Austausch über ACS, KRITIS- und NIS-2-relevante Vorfälle über BSI-Portal und UP KRITIS, strafbare Cyberangriffe über ZAC beziehungsweise LKA und gesamtstaatliche Cyberlagen über das NCAZ. Wird aus einem Angriff eine hybride Kampagne mit staatlichem Bezug, Sabotage, Desinformation oder nachrichtendienstlichen Mustern, kommt das GAZ Hybrid ins Spiel.

Image

Description

Wer ist wann wofür zuständig?

Die Erwartungshaltung der Wirtschaft

Bitkom blickt mit einer Mischung aus Hoffnung und Skepsis auf das neue Lagezentrum.

"Angesichts der zunehmenden hybriden Bedrohung für Deutschland kommt das neue Lagenzentrum genau zur richtigen Zeit”, kommentiert Ralf Wintergerst, Präsident des Branchenverbandes Bitkom, die Eröffnung. “Wir brauchen mehr Zusammenarbeit der Sicherheitsbehörden. Wichtig sind ein schnellerer Informationsaustausch und ein gemeinsames Lagebild.”

Laut Bitkom erwarten 80 Prozent der deutschen Unternehmen bei der Abwehr hybrider Angriffe verlässliche Informationen von staatlichen Stellen, aber nur 22 Prozent fühlen sich derzeit ausreichend informiert.

“Genau diese Lücke muss das neue Zentrum schließen”, so Wintergerst weiter. “Damit aber aus dem nun fünften spezialisierten Abwehrzentrum mehr Sicherheit und nicht mehr Bürokratie wird, müssen die bestehenden Strukturen – allen voran das Nationale Cyber-Abwehrzentrum – konsequent eingebunden und weiterentwickelt werden."

KOMMENTAR

Der folgende Kommentar spiegelt die persönliche Einschätzung von Kerstin Stief wider.

Mehr Landkarte schützt noch nicht vor realen Bedrohungen

Der deutsche Ansatz der Cybersicherheit folgt einer eisernen Regel: Wenn ein Problem zu komplex wird, gründen wir ein neues Koordinierungszentrum. Nun dürfen wir also neben BSI, CERT-Bund, NCAZ, ACS, UP KRITIS, ZITiS, KdoCIR, GDAZ, GTAZ, GETZ, Landes-CERTs, ZACs und all den Landesämtern und Kompetenzzentren mit dem GAZ Hybrid ein weiteres gemeinsames Abwehrzentrum auf der sicherheitspolitischen Landkarte begrüßen. Glückwunsch zum feierlichen Zerschneiden des virtuellen roten Bandes.

Natürlich ist diese Landkarte nicht überflüssig. Im Gegenteil: Sie ist notwendig. Cyberangriffe, Sabotage, Desinformation, Spionage und Drohnenbedrohungen lassen sich nicht mehr sauber in Ressortschubladen sortieren. Wer hybride Bedrohungen ernst nimmt, braucht Nachrichtendienste, Polizei, Militär, IT-Sicherheitsbehörden, Länder und Wirtschaft an einem Tisch. Das Problem ist nur: Noch ein Tisch macht aus vielen Zuständigkeiten noch keine operative Schlagkraft.

Aus Sicht von CIOs, CISOs und Enterprise-IT-Leitern zählt im Ernstfall nicht, welche Abkürzung gerade federführend ist. Wenn nachts um 3 Uhr im SOC die Alarme hochgehen, weil eine Angreifergruppe das Active Directory kompromittiert, zählt nur: Wer warnt schnell? Wer liefert verwertbare technische Indikatoren? Wer sagt eindeutig, wohin gemeldet werden muss? Und wer hilft dabei, Schaden zu begrenzen, statt Zuständigkeiten zu sortieren?

Genau deshalb legt die von Bitkom zitierte Studie den Finger in die Wunde: 80 Prozent der Unternehmen wünschen sich verlässliche Informationen vom Staat, aber nur 22 Prozent fühlen sich ausreichend informiert. Diese Lücke schließt man nicht allein durch neue Lagezentren. Sie schließt sich erst, wenn aus Lagebildern handlungsfähige Warnungen werden, aus Zuständigkeitsketten klare Meldewege und aus föderaler Vielfalt ein nutzbarer Service für die Wirtschaft.

In der Unternehmensrealität orientieren sich viele Security-Teams längst an anderen Taktgebern. Playbooks folgen NIST-Frameworks, Priorisierungen den CVSS-Scores der CVE-Datenbanken, akute Warnungen kommen häufig über CISA, Herstellerfeeds, ISACs oder kommerzielle Threat-Intelligence-Dienste. Nicht weil deutsche Behörden irrelevant wären, sondern weil Geschwindigkeit, Maschinenlesbarkeit und praktische Verwertbarkeit im Incident Response wichtiger sind als Organigramme.

Das neue GAZ Hybrid kann ein Fortschritt sein, wenn es hybride Kampagnen tatsächlich früher erkennt, Cyberangriffe mit Desinformation, Sabotage und Spionage zusammenführt und die bestehenden Strukturen nicht überlagert, sondern beschleunigt. Es darf aber nicht das nächste Akronym werden, das vor allem Behördenkoordination perfektioniert. Deutschland braucht keine schönere Abkürzungslandschaft, sondern eine bessere operative Schnittstelle zwischen Staat und Unternehmen.

Was wir brauchen, ist deshalb weniger Behörden-Bingo und mehr Verbindlichkeit: ein echter Single Point of Contact für die Wirtschaft, klare Eskalationswege, maschinenlesbare Warnungen zu Zero-Days und Angriffskampagnen, konsistente Meldeprozesse für KRITIS und NIS-2 – und den Mut, bestehende Strukturen zu vereinfachen, statt sie immer weiter zu verzweigen. Sonst sind im Ernstfall die Unternehmensdaten längst verschlüsselt, während noch geklärt wird, welche Stelle für welche Lage zuständig ist.