BSI plant Aufbau einer Cyberwehr mit Hilfe von Unternehmen
Eine Cyberwehr mit Mitgliedern aus Unternehmen, die freiwillig und kostenlos zum Einsatz kommen sollen, plant das Bundesamt für Sicherheit in der Informationstechnik (BSI). Einen Entwurf der Kooperationsvereinbarung zwischen der Behörde und den Unternehmen haben Zeit Online und Netzpolitik.org veröffentlicht. Aus dem geleakten Entwurf gehen viele Details zur Organisation der neuen Einheit hervor, einige Paragrafen sind aber noch nicht ausgearbeitet.
Die Cyberwehr-Mitglieder aus Unternehmen sollen zusammen mit Mitarbeitern des BSI zu betroffenen Behörden oder Firmen ausrücken. Der Entwurf beschreibt, wer die Cyberwehr um Hilfe rufen kann:
- Institutionen der Bundes- und Länderverwaltungen,
- Betreiber von Kritischen Infrastrukturen,
- Institutionen im staatlichen Interesse (INSI).
Zu den Kriterien für INSI gehören zum Beispiel, dass eine Institution eine tragende wirtschaftliche Rolle in einer Region oder in Deutschland hat und zusätzlich mindestens 5.000 Mitarbeiter in Deutschland oder dass ein Cyber-Angriff auf die IT-Systeme der Institution zu einer Großgefahrenlage der öffentlichen Sicherheit, der Menschen oder der Umwelt führen kann.
Außerdem muss der Grund für den Cyberwehr-Einsatz ein „nicht unerheblicher IT-Vorfall“ sein. Dazu gehören Ereignisse, bei denen
- der Unternehmensbestand gefährdet ist,
- die Störung oder der IT-Angriff eine besondere Qualität aufweist,
- „aufgrund des IT-Vorfalls besondere Konsequenzen absehbar sind“. Dazu zählen Vorfälle, die sich ausbreiten können oder deren Auswirkungen viele weitere Institutionen oder Bürger betreffen können.
Allerdings kommt die Cyberwehr nicht zum Einsatz „wenn ein nachrichtendienstlicher Hintergrund zu vermuten ist“.
Koordiniert werden soll der Einsatz der Cyberwehr von einer Leitstelle, die Teil des nationalen IT-Lagezentrums des BSI ist. Sie prüft bei der Anfrage eines Betroffenen, ob die Voraussetzungen für den Einsatz der Cyberwehr vorliegen. Wenn sie das bejaht, teilt sie den Mitgliedsunternehmen der Cyberwehr den Bedarf an Experten mit und koordiniert deren Einsatz. Sie kann auch vor dem Einsatz des „gemischten Teams“ ein Vorkommando entsenden, das nur aus BSI-Beschäftigen besteht.
Die Unternehmen, die sich an der Cyberwehr beteiligen, „sichern ein Abrufkontingent für Einsätze in Höhe von bis zu 20 Personentagen im Kalenderjahr zu“. Sie sollen „geeignete Mitarbeiter“ kostenlos zur Verfügung stellen, sofern im Einzelfall keine unternehmensinternen Erwägungen gegen den Einsatz sprechen. Im Entwurf heißt es wörtlich, dass die Mitarbeiter durch das BSI als „Werkzeug“ eingesetzt werden. Ein paar Zeilen später wird das auch rechtlich erläutert. Sie seien Verwaltungshelfer und damit Amtswalter im Sinne des §839 Absatz 1 Satz 1 BGB, Artikel 34 Satz 1 des Grundgesetzes.
Geleitet werden soll der Einsatz eines Cyberwehr-Teams vor Ort durch den „Incident Handler“, der Beschäftigter des BSI sein soll. Er ist gegenüber den anderen Team-Mitgliedern weisungsbefugt und entscheidet auch über die Einsatzdauer. Die soll auf drei Tage beschränkt sein.
Der geleakte Entwurf lässt noch nicht genau erkennen, inwieweit die Mitgliedsunternehmen der Cyberwehr von ihrem Engagement profitieren. Der Paragraph zur „Weiterverwendung von Informationen und Erkenntnissen“ ist noch nicht ausgearbeitet. Im Abschnitt „Vertraulichkeit“ heißt es allerdings, dass Informationen und Erkenntnisse, die im Rahmen der Unterstützung eines Betroffenen erlangt werden, von den Kooperationspartnern „zur Prävention und Detektion von Cyberangriffen auf die eigene IT genutzt“ werden können, wenn die Daten keine Hinweise auf den Betroffenen enthalten. Der Entwurf soll den Firmen aber eine Sorge nehmen, nämlich dass ihre Mitarbeiter bei den Einsätzen so positiv auffallen, dass sie dann abgeworben werden. Während der Beteiligung an der Cyberwehr oder ein Jahr nach dem Austritt dürfen weder das BSI noch andere Kooperationspartner einem Cyberwehr-Mitarbeiter ein Jobangebot unterbreiten.
Inwieweit der jetzt veröffentliche Entwurf schon abgestimmt ist und wann die Cyberwehr gegründet werden soll, ist noch unklar. Das BSI hat lediglich „Überlegungen“ zu dem Thema bestätigt. Ähnliche Vor-Ort-Einheiten des BSI, allerdings ausschließlich mit BSI-Mitarbeitern, waren unter der Bezeichnung „Mobile Incident Response Team“ (MIRT) auch im Entwurf der Cybersicherheitsstrategie der Bundesregierung vorgesehen, der im Sommer geleakt worden war (vgl. TPM.update KW 35/2016).
Der vorstehende Artikel erscheint im Rahmen einer Kooperation mit dem Tagesspiegel Politikmonitoring auf UdL Digital. Sascha Klettke ist Chef vom Dienst und Analyst für Netzpolitik.