Der aktuelle Lagebericht[1] des Bundesamt für Sicherheit in der Informationstechnik (BSI) von 2019 zeichnet kein rosiges Bild der Cybersicherheit in Deutschland. BSI-Präsident Schönbohm sagte "der Bericht stellt dar, dass die Qualität der Cyber-Angriffe weiter gestiegen und die Bedrohungslage anhaltend hoch ist. Er macht aber auch deutlich, dass diese Cyber-Angriffe erfolgreich abgewehrt werden können, wenn IT-Sicherheitsmaßnahmen konsequent umgesetzt werden."[2]
Leider werden in Deutschland seit Beginn der Legislaturperiode jedoch Maßnahmen seitens der Bundesregierung gefordert, die nicht unbedingt die IT-Sicherheit in Deutschland stärken. Zum Beispiel sollen Hintertüren in Messenger-Dienste eingebaut werden, eine Rechtsgrundlage für Hackbacks geschaffen werden, oder immer neue, redundant anmutende Plattformen und Institutionen eingerichtet werden[3]. Ein Problem, das sich durch alle diese Maßnahmen zieht ist das Fehlen einer klaren Evaluation. So werden Strategien und Rechtsgrundlagen ausgearbeitet, ohne die bestehende Lage ausreichend evaluiert zu haben. Allen dieser Vorschläge fehlt es zusätzlich an einer strategischen Bewertung inwieweit sie IT-Sicherheit eher begünstigen oder behindern.
In der Cybersicherheitspolitik gibt es, so wie in anderen Politikfeldern auch, verschiedene und teils gegensätzliche Interessen der Sicherheitsbehörden sowie weiterer Akteure wie beispielsweise der Gesellschaft, Industrie und Verwaltung.
Würden die von der Bundesregierung eingebrachten Vorschläge wirklich mehr IT-Sicherheit schaffen, Cyberkriminalität verhindern und gleichzeitig effektivere Strafverfolgung ermöglichen? Jede Maßnahme kann zu Vor- und Nachteilen für die jeweiligen Akteure und ihre spezifischen Interessen führen. Zielkonflikte müssen dabei dringend mitbedacht werden. Ganz konkret kann man sich das am Beispiel der Zurückhaltung von Schwachstellen vor Augen führen.
Wie soll der Staat mit sogenannten "Zero Days", also Schwachstellen in Hard- und Software, die auch den Herstellern nicht bekannt sind, die die IT-Sicherheit von Behörden, Industrie und Verbraucher in Deutschland bedrohen umgehen? Solche Schwachstellen sind möglicherweise Angreifern, wie Kriminellen oder ausländischen Nachrichtendiensten bekannt, die sie dann für gezielte oder breite Angriffe nutzen können. Gleichzeitig wollen Sicherheitsbehörden diese Schwachstellen aber zurückhalten, um ihrem jeweiligen gesetzlichen Auftrag nachzukommen.
Ein weiterer Punkt für die Bewertung ist, dass in Deutschland im Bereich Cybersicherheit ein Fachkräftemangel[4] herrscht. Experten, die für den Aufbau von offensiven Fähigkeiten eingesetzt werden, würden auf der defensiven Seite fehlen.
Außerdem zieht die Durchführung von Cyberoperationen, wie ein Hackback, gegen andere staatliche Akteure weitere außen- und sicherheitspolitische Konsequenzen nach sich, die in einer Cybersicherheitsstrategie mitgedacht und bewertet werden müssen.
Ein solcher (Gegen-)Angriff könnte Cyberangriffe der Gegenseite zur Folge haben und so zu Konflikten führen. Inwieweit würde Deutschland dann auch diplomatische Maßnahmen einsetzen, um einer Eskalation zu entgehen? Dies sind nur einige der offenen Fragen.
Die hohe Kunst der Cybersicherheitspolitik ist demnach nicht einfach nur Maßnahmen vorzuschlagen und dabei Risiken zu ignorieren, sondern gezielt konkrete Ziele zu definieren und zu priorisieren. Dann können Maßnahmen in Einbeziehung aller für die Cybersicherheit betroffenen Interessengruppen besser bewertet werden. So eine strategische Evaluierung sollte behördenübergreifend und unter Einbeziehung der Wirtschaft, Zivilgesellschaft und Experten aus Wissenschaft und der technischen Community geschehen.
Von diesen Akteuren kommt interdisziplinäre Expertise, wie in der Vergangenheit zum Beispiel Evaluierungen zu möglichen Hintertüren in Messenger-Diensten[5] oder technische und rechtliche Herausforderungen bei Hackbacks[6]. Auf dieser Basis können dann gut-informierte Entscheidungen getroffen werden und möglicherweise mitigierende Maßnahmen strukturell implementiert werden.
Ein Beispiel dafür ist die Implementierung eines staatlichen Schwachstellenmanagementsystems[7], welches dabei helfen kann die verschiedenen Interessen, wie IT-Sicherheit, nachrichtendienstliche Informationsgewinnung, offensive militärische Fähigkeiten und Strafverfolgung im Cyberraum möglichst miteinander zu vereinen.
Ein anderer Vorteil von einer gezielten strategischen Auseinandersetzung mit bestimmten Maßnahmen, ist, dass Kooperationen mit anderen Ländern im Sinne von gemeinsamen Zielen konkret ausgebaut werden könnten. Deutschland könnte sich hierbei an Staaten orientieren, die ähnliche Ziele unter gleichen politischen und institutionellen Voraussetzungen verfolgen. Japan zum Beispiel ist durch die defensive Ausrichtung und einem komplexen föderalen Zuständigkeitssystem Deutschland sehr ähnlich.
Ohne jemals die Option zu haben, außerhalb eines Verteidigungsfalles offensive Mittel einzusetzen[8], setzt die japanische Polizei auf alternative Maßnahmen, die die IT-Sicherheit nicht gefährden. Zum Beispiel wurde das forensische Training für Polizisten ausgebaut[9], das gemeinnützige "Japan Cybercrime Control Center"[10] wurde etabliert, um die Zusammenarbeit mit Experten außerhalb der Polizei zu stärken. Kyoto fand sehr früh seine eigene Antwort auf Gefahrenabwehr und baute eine eigene "Cyber Crime Prevention Section" auf, welche schon zu einigen Erfolgen führte, wie zum Beispiel der Detektion von Phishing Scam Organisationen, der Verhaftung von einem Viren-Schreiber und Organisationen, die B-CAS cards verkauften[11].
Als Fazit kann folglich festgehalten werden, dass die deutsche Cybersicherheitspolitik von einer strategischen Herangehensweise profitieren würde, die verschiedene Interessen und Akteure in der Bewertung von Zielen und Maßnahmen offen einbindet. Damit gäbe es einen Diskurs, der zum einen Deutschlands Ziele in dem Bereich schärfen könnte und andererseits den Blick auf Maßnahmen weiten könnte, die die Interessen unterschiedlicher Akteure besser vereinen würden als die momentan diskutierten Vorschläge.
[1] BSI (2019) Die Lage der IT-Sicherheit in Deutschland 2019
[2] BSI Presse (2019) Bericht zur Lage der IT-Sicherheit vorgestellt
[3] Herpig & Messing (2019) Zuständigkeiten und Aufgaben in der deutschen Cyber-Sicherheitspolitik
[4] Schuetze (2018) Warum dem Staat IT-Sicherheitsexpert:innen fehlen:Eine Analyse des IT-Sicherheitsfachkräftemangels im Öffentlichen Dienst
[5] Offener Brief an das Bundesministerium des Innern, für Bau und Heimat Betreff: Geplanter Eingriff in Verschlüsselung von Messenger-Diensten hätte fatale Konsequenzen
[6] Herpig (2020) Leseliste Aktive Cyberabwehr/ Hackback in Deutschland hackback
[7] Herpig (2018) Schwachstellen-Management für mehr Sicherheit
[8] Matsubara (2018) How Japan’s Pacifist Constitution Shapes Its Approach to Cyberspace
[9] Uehara (2010) Cyber Crime and Digital Forensics in Japan
[10] Japan Cybercrime Control Center (2014) Establishment of “Japan Cybercrime Control Center,” a New Organization for Fighting Cybercrime
[11] News Article (in Japanese) about the Kyoto Prefectural Police's "Cyber Crime Prevention Section
Stiftung Neue Verantwortung e.V.
Beisheim Center
Berliner Freiheit 2
10785 Berlin
Think Tank für die Gesellschaft im technologischen Wandel
Julia Schuetze M.A.
Projektmanagerin | Project Manager
International Cyber Security Policy
EU Cyber Direct | USA | Japan
