Cyberangriffe auf Wissenschaft und Forschung in Deutschland
der Fraktion der CDU/CSU
Vorbemerkung
Deutschland sieht sich mit einer wachsenden Bedrohung durch Cyberangriffe konfrontiert, die u. a. Privatpersonen, Unternehmen, Wissenschaftseinrichtungen und politische Parteien betreffen. Laut Bundeskriminalamt (BKA) stiegen die aus dem Ausland begangenen Cyberstraftaten 2023 um 28 Prozent an, was zu einem Schaden von knapp 148 Mrd. Euro führte (www.bka.de/DE/AktuelleInformationen/StatistikenLagebilder/Lagebilder/Cybercrime/2023/CC_2023.html).
Hochschulen und außeruniversitäre Forschungseinrichtungen sind in den vergangenen Jahren vermehrt in das Fadenkreuz von Kriminellen geraten und Ziel bzw. Opfer von Cyberangriffen geworden. Cyberangriffe wie auf die Berliner Hochschule für Technik (www.tagesspiegel.de/wissen/sicherheitsvorfall-berliner-hochschule-fur-technik-von-cyberangriff-betroffen-11243161.html), die Hessische Hochschule für öffentliches Management und Sicherheit (www.faz.net/aktuell/rhein-main/cyberangriff-sensible-daten-von-hessischer-polizeihoc hschule-gestohlen-19724405.html) und die Hochschule Hannover (www.spiegel.de/netzwelt/web/ransomware-hackerangriff-beeintraechtigt-teile-der-hochschule-hannover-a-e6247f8b-7adb-4bdd-986c-7a85068b38a3) sind nur eine unvollständige kleine Auswahl von Fällen, die jüngst bundesweit Schlagzeilen gemacht haben.
Auch außeruniversitäre Forschungseinrichtungen stehen in diesem Hinblick vor enormen Herausforderungen. Die Präsidentin der Leibniz Gemeinschaft, Dr. Martina Brockmeier, hob im Mai 2024 für ihre Forschungseinrichtung hervor:
„Ich habe, was unsere Finanzierung als Forschungsgemeinschaft angeht, große Sorgen, wobei noch zwei Kostenfaktoren hinzukommen, die Sie nicht genannt haben. Einerseits der Präventivschutz vor und die Kosten von akuten Cyberattacken, von denen wir zuletzt mehrere hatten, andererseits die notwendigen Investitionen in Klimaneutralität und Nachhaltigkeit. Das sind Aufgaben, für die wir keinerlei Rücklagen haben“ (www.jmwiarda.de/https-www.jmwiard a.de-2024-05-13-wir-spueren-doch-alle-das-spannungsfeld/).
Wir fragen die Bundesregierung:
Fragen40
Wie viele Cyberangriffe auf Wissenschaftseinrichtungen wurden in den Jahren 2022, 2023 und 2024 festgestellt?
Wie hoch beziffert die Bundesregierung den seit 2022 jährlich entstandenen Schaden durch Cyberangriffe auf Wissenschaftseinrichtungen in Deutschland?
Wie verhält sich nach Kenntnis der Bundesregierung seit 2022 die Anzahl von Cyberangriffen auf Wissenschaftseinrichtungen in Deutschland zu Cyberangriffen auf Wissenschaftseinrichtungen in Frankreich, den Niederlanden, Großbritannien, Polen, Tschechien, Italien und Spanien?
Wie hoch ist nach Kenntnis der Bundesregierung der in den Mitgliedstaaten der Europäischen Union seit 2022 entstandene jährliche Schaden durch Cyberangriffe auf Wissenschaftseinrichtungen?
In wie vielen Fällen wurden in Jahren 2022, 2023 und 2024 von Einrichtungen aus Wissenschaft und Forschung in Deutschland in Reaktion auf Cyberangriffe Lösegelder gezahlt (bitte entlang der Kategorien „Hochschule“ und „außeruniversitäre Forschungseinrichtungen“ aufschlüsseln), und in welcher durchschnittlichen Höhe wurden Lösegelder gezahlt?
In wie vielen Fällen wurden in den Jahren 2022, 2023 und 2024 die Ermittlungsbehörden des Bundes sowie nach Kenntnis der Bundesregierung jene der Länder bei der Bekämpfung von Cyberattacken involviert, und in wie vielen Fällen wurden dabei in welcher durchschnittlichen Höhe Lösegelder gezahlt?
In wie vielen Fällen wurden in den Jahren 2022, 2023 und 2024 die Ermittlungsbehörden des Bundes sowie nach Kenntnis der Bundesregierung jene der Länder der Bekämpfung von Cyberattacken nicht involviert, und in wie vielen Fällen wurden dabei in welcher durchschnittlichen Höhe Lösegelder gezahlt?
Wie hoch ist die Aufklärungsquote der Ermittlungsbehörden des Bundes sowie nach Kenntnis der Bundesregierung jene der Länder bei etwaigen Cyberangriffen auf Einrichtungen aus Wissenschaft und Forschung in den Jahren 2022, 2023 und 2024?
In wie vielen Fällen von Cyberangriffen auf staatliche und nichtstaatliche Einrichtungen wurde das Kommando Cyber- und Informationsraum (KdoCIR) der Bundeswehr um Amtshilfe gebeten?
In wie vielen Fällen hat das KdoCIR dem Amtshilfeersuchen entsprochen?
In wie vielen Fällen konnte bzw. konnten nach Kenntnis der Bundesregierung der oder die Täter der Cyberangriffe ermittelt werden, und was weiß die Bundesregierung über diese Täter?
Welche sind die fünf Hauptursprungsländer von Cyberangriffen auf deutsche Hochschulen in den Jahren 2022, 2023 und 2024?
Wie viele Hochschulen waren wie oft nach Kenntnis der Bundesregierung seit 2022 von Cyberangriffen betroffen (bitte entlang der Jahre 2022, 2023 und 2024 sowie nach Bundesländern auflisten)?
Wie oft wurden seit 2022 die Bundeswehruniversitäten in Hamburg und in München Ziel eines Cyberangriffs?
In wie vielen Fällen konnte der Angriff ohne Schaden abgewendet werden?
In wie vielen Fällen wurde der Angriff erst nach mehr als einem Monat erkannt?
In wie vielen Fällen wurden die Hochschulen durch den Angriff negativ beeinträchtigt, und um welche Schäden handelte es sich in diesen Fällen?
In wie vielen Fällen wurde forschungsrelevantes Material und bzw. oder Daten entwendet oder beschädigt?
Wie haben sich nach Kenntnis der Bundesregierung und unter Einbindung der Hochschulrektorenkonferenz (HRK) die Ausgaben bzw. Haushaltsansätze zur Prävention und Bekämpfung von Cyberangriffen an Hochschulen in Deutschland seit 2022 entwickelt?
Wie viele Cyberangriffe wurden nach Kenntnis der Bundesregierung seit 2022 auf Einrichtungen der Fraunhofer-Gesellschaft (FhG), der Max-Planck-Gesellschaft (MPG), der Helmholtz-Gemeinschaft Deutscher Forschungszentren (HGF) und der Leibniz-Gemeinschaft (WGL) festgestellt?
Wie hoch wird nach Kenntnis der Bundesregierung der seit 2022 jährlich entstandene Schaden durch Cyberangriffe auf Einrichtungen der FhG, MPG, HGF und WGL beziffert (bitte einzeln entlang der Jahre 2022, 2023 und 2024 aufführen)?
In wie vielen Fällen konnte nach Kenntnis der Bundesregierung der Angriff ohne Schaden abgewendet werden (bitte für die FhG, MPG, HGF und WGL einzeln aufführen)?
In wie vielen Fällen wurde nach Kenntnis der Bundesregierung der Angriff erst nach mehr als einem Monat erkannt (bitte für die FhG, MPG, HGF und WGL einzeln aufführen)?
In wie vielen Fällen wurde nach Kenntnis der Bundesregierung forschungsrelevantes Material und bzw. oder Daten entwendet oder beschädigt?
In wie vielen Fällen konnten nach Kenntnis der Bundesregierung Täter der Cyberangriffe ermittelt werden, und welche Kenntnisse hat die Bundesregierung über die Täter?
Welche sind nach Kenntnis der Bundesregierung die fünf Hauptursprungsländer von Cyberangriffen auf Einrichtungen der FHG, MPG, HGF und WGL in den Jahren 2022, 2023 und 2024?
Wie haben sich die Ausgaben bzw. Haushaltsansätze zur Prävention und Bekämpfung von Cyberangriffen in der FHG, MPG, HGF und WGL seit 2022 entwickelt (bitte je außeruniversitäre Forschungseinrichtung – AuF – einzeln für die Jahre entlang den Kategorien Prävention und Bekämpfung aufführen sowie in Relation zum Gesamtbudget der AuF setzen)?
Was hat die Bundesregierung in dieser Legislaturperiode unternommen, um die Resilienz von Wissenschaftseinrichtungen gegen Cyberangriffe zu erhöhen und bei der Abwehr von Cyberangriffen aktiv zu unterstützen, und welche internationalen Kooperationen hat die Bundesregierung mit dieser Zielstellung geschlossen?
Steht die Bundesregierung zum Thema „Cyberangriffe auf deutsche Wissenschaftseinrichtungen“ im Austausch mit der Hochschulrektorenkonferenz (HRK), der Allianz der Wissenschaftsorganisationen und der Kultusministerkonferenz (KMK)?
Wenn ja, wie viele Gespräche gab es jeweils seit 2022 zwischen der Bundesregierung und der HRK, Allianz der Wissenschaftsorganisationen und der KMK zum Thema deutsche Wissenschaftseinrichtungen als Ziel von Cyberkriminalität?
Welche Schlüsse wurden aus diesen Gesprächen seitens der Bundesregierung gezogen?
Wie oft hat sich die Bundesministerin für Bildung und Forschung, Bettina Stark-Watzinger, seit 2022 mit der Bundesministerin des Innern und für Heimat, Nancy Faeser, zum Thema „deutsche Wissenschaftseinrichtungen als Ziel von Cyberattacken“ ausgetauscht, und welche Ergebnisse wurden erzielt bzw. welche gemeinsamen Initiativen ergriffen?
Welche Unterstützungsmöglichkeiten gibt es vonseiten der Bundesregierung im Falle eines Cyberangriffs auf eine deutsche Wissenschaftseinrichtung?
Welche präventiven Unterstützungsmöglichkeiten gibt es seitens der Bundesregierung für Wissenschaftseinrichtungen im Rahmen der Abwehr von Cyberangriffen?
Wie stellt die Bundesregierung sicher, dass Akteure in Wissenschaft und Forschung über die Unterstützungsleistungen seitens des Bundes bestmöglich informiert sind?
Plant die Bundesregierung, nach Vorbild des Landes Nordrhein-Westfalen, die Einrichtung einer durchgehend erreichbaren Kontaktstelle „Cybercrime“, an die sich betroffene Wissenschaftseinrichtungen unkompliziert wenden können, wenn ja, zu wann, und wenn nein, warum nicht?
Plant die Bundesregierung weiterführende Maßnahmen zur Unterstützung von Wissenschaftseinrichtungen mit Blick auf den Schutz militär- und sicherheitsrelevanter Forschung, wenn ja, welche, und zu wann sollen diese in Kraft treten, und wenn nein, warum nicht?
Welche Maßnahmen plant die Bundesregierung ggf. zum verstärkten Schutz der Bundeswehruniversitäten in Hamburg und München vor Cyberangriffen?
Mit welchen Maßnahmen plant die Bundesregierung, die deutschen Wissenschaftseinrichtungen bei der Ertüchtigung ihrer IT-Infrastruktur zum Schutz vor Cyberangriffen zu unterstützen?
Gab es in Reaktion auf die Veröffentlichung des Berichts „Die Lage der IT-Sicherheit in Deutschland“ des Bundesamts für Sicherheit in der Informationstechnik (BSI) in den Jahren 2022 und 2023 innerhalb der Bundesregierung Gespräche zu Möglichkeiten der Verbesserung der Resilienz deutscher Wissenschaftseinrichtungen vor Cyberangriffen?
a) Wenn ja, was war der Erkenntnisgewinn aus diesen Gesprächen?
b) Wenn nein, warum nicht?