BSI plant Aufbau einer Cyberwehr mit Hilfe von Unternehmen

Veröffentlicht am 24.10.2016

Eine Cyberwehr mit Mitgliedern aus Unternehmen, die frei­willig und kostenlos zum Einsatz kommen sollen, plant das Bundesamt für Sicherheit in der Informationstechnik (BSI). Einen Entwurf der Kooperationsvereinbarung zwischen der Behörde und den Unternehmen haben Zeit Online und Netz­politik.org veröffentlicht. Aus dem geleakten Entwurf gehen viele Details zur Organisation der neuen Einheit hervor, eini­ge Paragrafen sind aber noch nicht ausgearbeitet.

Die Cyberwehr-Mitglieder aus Unternehmen sollen zusam­men mit Mitarbeitern des BSI zu betroffenen Behörden oder Firmen ausrücken. Der Entwurf beschreibt, wer die Cyber­wehr um Hilfe rufen kann:

  • Institutionen der Bundes- und Länderverwaltungen,
  • Betreiber von Kritischen Infrastrukturen,
  • Institutionen im staatlichen Interesse (INSI).

Zu den Kriterien für INSI gehören zum Beispiel, dass eine In­stitution eine tragende wirtschaftliche Rolle in einer Region oder in Deutschland hat und zusätzlich mindestens 5.000 Mitarbeiter in Deutschland oder dass ein Cyber-Angriff auf die IT-Systeme der Institution zu einer Großgefahrenlage der öffentlichen Sicherheit, der Menschen oder der Umwelt füh­ren kann.

Außerdem muss der Grund für den Cyberwehr-Einsatz ein „nicht unerheblicher IT-Vorfall“ sein. Dazu gehören Ereignis­se, bei denen

  • der Unternehmensbestand gefährdet ist,
  • die Störung oder der IT-Angriff eine besondere Qualität aufweist,
  • „aufgrund des IT-Vorfalls besondere Konsequenzen absehbar sind“. Dazu zählen Vorfälle, die sich ausbreiten können oder deren Auswirkungen viele weitere Institutio­nen oder Bürger betreffen können.

Allerdings kommt die Cyberwehr nicht zum Einsatz „wenn ein nachrichtendienstlicher Hintergrund zu vermuten ist“.

Koordiniert werden soll der Einsatz der Cyberwehr von ei­ner Leitstelle, die Teil des nationalen IT-Lagezentrums des BSI ist. Sie prüft bei der Anfrage eines Betroffenen, ob die Voraussetzungen für den Einsatz der Cyberwehr vorliegen. Wenn sie das bejaht, teilt sie den Mitgliedsunternehmen der Cyberwehr den Bedarf an Experten mit und koordiniert deren Einsatz. Sie kann auch vor dem Einsatz des „gemisch­ten Teams“ ein Vorkommando entsenden, das nur aus BSI-Beschäftigen besteht.

Die Unternehmen, die sich an der Cyberwehr beteiligen, „si­chern ein Abrufkontingent für Einsätze in Höhe von bis zu 20 Personentagen im Kalenderjahr zu“. Sie sollen „geeignete Mitarbeiter“ kostenlos zur Verfügung stellen, sofern im Ein­zelfall keine unternehmensinternen Erwägungen gegen den Einsatz sprechen. Im Entwurf heißt es wörtlich, dass die Mit­arbeiter durch das BSI als „Werkzeug“ eingesetzt werden. Ein paar Zeilen später wird das auch rechtlich erläutert. Sie seien Verwaltungshelfer und damit Amtswalter im Sinne des §839 Absatz 1 Satz 1 BGB, Artikel 34 Satz 1 des Grundgesetzes.

Geleitet werden soll der Einsatz eines Cyberwehr-Teams vor Ort durch den „Incident Handler“, der Beschäftigter des BSI sein soll. Er ist gegenüber den anderen Team-Mitgliedern weisungsbefugt und entscheidet auch über die Einsatzdauer. Die soll auf drei Tage beschränkt sein.

Der geleakte Entwurf lässt noch nicht genau erkennen, in­wieweit die Mitgliedsunternehmen der Cyberwehr von ih­rem Engagement profitieren. Der Paragraph zur „Weiterver­wendung von Informationen und Erkenntnissen“ ist noch nicht ausgearbeitet. Im Abschnitt „Vertraulichkeit“ heißt es allerdings, dass Informationen und Erkenntnisse, die im Rah­men der Unterstützung eines Betroffenen erlangt werden, von den Kooperationspartnern „zur Prävention und Detek­tion von Cyberangriffen auf die eigene IT genutzt“ werden können, wenn die Daten keine Hinweise auf den Betroffe­nen enthalten. Der Entwurf soll den Firmen aber eine Sorge nehmen, nämlich dass ihre Mitarbeiter bei den Einsätzen so positiv auffallen, dass sie dann abgeworben werden. Wäh­rend der Beteiligung an der Cyberwehr oder ein Jahr nach dem Austritt dürfen weder das BSI noch andere Kooperati­onspartner einem Cyberwehr-Mitarbeiter ein Jobangebot unterbreiten.

Inwieweit der jetzt veröffentliche Entwurf schon abge­stimmt ist und wann die Cyberwehr gegründet werden soll, ist noch unklar. Das BSI hat lediglich „Überlegungen“ zu dem Thema bestätigt. Ähnliche Vor-Ort-Einheiten des BSI, aller­dings ausschließlich mit BSI-Mitarbeitern, waren unter der Bezeichnung „Mobile Incident Response Team“ (MIRT) auch im Entwurf der Cybersicherheitsstrategie der Bundesregie­rung vorgesehen, der im Sommer geleakt worden war (vgl. TPM.update KW 35/2016).

Der vorstehende Artikel erscheint im Rahmen einer Kooperation mit dem Tagesspiegel Politikmonitoring auf UdL Digital. Sascha Klettke ist Chef vom Dienst und Analyst für Netzpolitik.

Schlagworte

Empfehlung der Redaktion