Deutschlands Cybersicherheit: zu viele Köche?

Alle müssen an einem Strang ziehen, um Deutschland vor Bedrohungen aus dem Cyberraum zu schützen. In einem von vier Handlungsfeldern definiert deshalb die Cyber-Sicherheitsstrategie für Deutschland 2016 eine gesamtstaatliche Architektur. Denn innere und äußere Sicherheit im Cyberraum seien „nicht mehr trennscharf voneinander abzugrenzen.“ Diese Erkenntnis allerdings ist nur der erste Schritt. Der zweite ist, sich darüber zu verständigen, wer sich ab jetzt im gemeinsamen Haus worum kümmert.

Eine Skizze der Cyber-Sicherheitsarchitektur für Deutschland

In dem Strategiepapier heißt es, um Recht und Freiheit auch im Cyberraum zu gewährleisten, bedürfe es „einer zeitgemäßen Cyber-Sicherheitsarchitektur, die die verschiedenen Akteure auf Bundesebene wirksam verzahnt und daneben die Länder, Kommunen und die Wirtschaft im Blick behält.“ Doch wie grenzt man ihre Zuständigkeiten klar ab?

Einige Beispiele aus dem Strategiepapier:

• Die Fähigkeit zur Analyse und Reaktion vor Ort soll gestärkt werden
  Dazu entstehen bei den verschiedenen Bundes- und Sicherheitsbehörden Cyber-Einheiten. im Bundesamt für Sicherheit in der Informationstechnik (BSI) werden beispielsweise die „Mobile Incident Response Teams“ (MIRTs) eingerichtet. Sie sollen Cyber-Vorfälle in den für das Gemeinwesen besonders bedeutenden Einrichtungen analysieren und bereinigen. Die MIRTs werden Verfassungsorgane, Bundesbehörden sowie Betreiber kritischer Infrastrukturen und vergleichbar wichtiger Einrichtungen vor Ort unterstützen. Im BKA entstehen gleichzeitig „Quick Reaction Forces“ (erste Strafverfolgungsmaßnahmen), die „Mobile Cyber-Teams“ im Bundesamt für Verfassungsschutz (Auswertung von Cyber-Angriffen mit nachrichtendienstlichem oder terroristischem Hintergrund), ähnliche Einheiten werden im Militärischen Abschirmdienst gegründet, ebenso Teams beim BND (beobachten Angriffe in der Vorbereitungs- und Durchführungsphase), ebenso wie „Incident Response Teams“ aufseiten der Bundeswehr.
• CERT-Strukturen in Deutschland sollen „vervollständigt und verbessert“ werden
  CERTs (Computer Emergency Response Teams) sind zentrale Anlaufstellen für präventive und reaktive technische Maßnahmen im IT-Sicherheitsbereich. In Deutschland existieren bereits viele verschiedene CERTs. Das CERT-Bund beim BSI fungiert als nationales Team. Weitere gibt es bei anderen Bundesbehörden sowie in den Länderverwaltungen, in Unternehmen und wissenschaftlichen Einrichtungen. Bei der Verbesserung dieser Strukturen sei „die Entwicklung des Cyber-AZ (Nationales Cyber-Abwehrzentrum) zu berücksichtigen“, was wohl bedeutet, dass hier Kompetenzüberschneidungen vermieden werden sollen.
• Das Cyber-AZ soll fortentwickelt werden
  Bisher hatte das Cyber-Abwehrzentrum die Aufgabe, IT-Sicherheitsvorfälle schnell und umfassend zu bewerten und abgestimmte Handlungsempfehlungen zu erarbeiten. Künftig soll es zudem „mit eigenen Bewertungs- und Auswertungsfähigkeiten ausgestattet sein und über ein aktuelles Cyber-Lagebild verfügen, das die Cyber-Sicherheitslage in Deutschland widerspiegelt.“ Zuarbeiten sollen ihm Sicherheitsbehörden wie BfV, BKA, BND, MAD sowie die Bundeswehr. Auch über Maßnahmen soll das Cyber-AZ entscheiden und bei den Sicherheitsbehörden veranlassen können.
• Bund und Länder sollen eng zusammenarbeiten
  Dazu soll das BSI von nun an Landesbehörden unterstützen. Der bislang freiwillige Austausch von Informationen zwischen Bund und Ländern über Cyber-Angriffe soll verbindlich werden.

Cyber-Sicherheit in Deutschland – eine zu komplexe Aufgabe?

Dass mit der Cyber-Sicherheitsstrategie Fortschritte gemacht wurden, ist offensichtlich. Doch daran, dass diese Aufgabe effizient zu erfüllen ist, regen sich auch Zweifel. Jörg Wollny – als Abteilungsleiter im Ministerium des Innern und für Kommunales in Brandenburg unter anderem zuständig für Zentrale Querschnitts- und Modernisierungsaufgaben und E-Government – vertrat auf der PITS 2017 die Meinung, in Sachen Cybersicherheit seien die Zuständigkeiten noch lange nicht eindeutig.Beispielsweise sei laut Ministerpräsidentenkonferenz (MPK) der IT-Planungstrat zuständig für Standards in der öffentlichen IT. Das Bundesnetz allerdings – eindeutig öffentliche IT – fällt mit der Cyber-Sicherheitsstrategie in die Verantwortung des BSI. Ebenso wie die Koordination der Cybersicherheit, den die MPK bei der Innenministerkonferenz sieht. Wollnys Fazit: Zu viele Köche rühren den Brei.

Noch lange kein Grund, den Föderalismus in Frage zu stellen

Guido Müller, Vizepräsident für Zentrale Aufgaben und Modernisierung beim Bundesnachrichtendienst, beschwichtigte: Auch wenn all diese Schwierigkeiten mit der politischen Verfassung Deutschlands zusammenhingen, sei das noch lange kein Grund, den Föderalismus in Frage zu stellen. Das BSI zum Beispiel sei ein Serviceangebot, das die Länder nur nutzen müssten. Es stehe jedem offen.

Dass sich diese Einsicht langsam in den Ländern durchsetze, davon zeigte sich auch Jörg Wollny überzeugt. Dennoch müssten noch mehr föderale Eitelkeiten über Bord geworfen werden. Ein ganz wichtiges Thema sei auch die Einbindung der Kommunen. Die würden bisher vollkommen vergessen. Ein durchaus heikler Umstand. Denn jedes System ist nur so sicher, wie sein schwächster Baustein.