Cybersicherheitspolitik: Interview mit Dr. Sven Herpig (Stiftung Neue Verantwortung)
Der Schutz kritischer Infrastrukturen ist nicht erst seit der erhöhten Bedrohungslage in den Fokus der Aufmerksamkeit gerückt: Eine Reihe an Gesetzgebungsvorhaben auf EU- und auf nationaler Ebene stehen kurz vor der Umsetzung. Dazu zählt sowohl der Cyber Resilience Act, der besonderes Augenmerk auf Lieferketten legt, als auch ein Gesetz zur Resilienz von kritischen Infrastrukturen. Eckpunkte von der Bundesregierung geplanten Vorhaben sollen im Bundesinnenministerium (BMI) erarbeitet werden.
Bereits vor der parlamentarischen Sommerpause hat die Bundesregierung ihre Cybersicherheitsagenda vorgestellt. Als Kernaufgaben für die Zukunft wurden die Abwehr digitaler Angriffe auf kritische Infrastruktur von Behörden und Einrichtungen, der verstärkte Kampf gegen Cyberkriminalität und eine Stärkung der Resilienz benannt. Mit Dr. Sven Herpig, Leiter für Internationale Cybersicherheitspolitik bei der Stiftung Neue Verantwortung e. V., haben wir über die Sinnhaftigkeit der Agenda gesprochen – und was die Bundesregierung auf dem Feld der Cybersicherheit noch besser machen könnte.
Herr Herpig, was ist eigentlich der Unterschied zwischen der im Juli vorgestellten Cybersicherheitsagenda und der im Herbst 2021 aktualisierten Cybersicherheitsstrategie?
Die Cybersicherheitsstrategie ist im Allgemeinen ein Instrument, das sehr viele Staaten nutzen. In Deutschland werden in solchen Strategien meist die beabsichtigten Maßnahmen (und aktuell auch das dazugehörige Controlling) in verschiedenen Teilbereichen beschrieben – allerdings ohne dass diese mit einem entsprechenden Budget hinterlegt sind.
Problematisch war hierbei im aktuellen Fall die Verabschiedung der Cybersicherheitsstrategie der Bundesregierung so kurz vor der Bundestagswahl 2021. Davon haben viele Expert:innen der Großen Koalition im vergangenen Jahr abgeraten, weil eine hohe Wahrscheinlichkeit eines Parteienwechsels in der Regierung bestand. Nachdem dieser tatsächlich eingetreten ist, kam es dann wie erwartet auch zu einer veränderten Ausrichtung im Politikfeld der Cybersicherheit: Die neu besetzten Ministerien haben sich angeschaut, für welche Bereiche sie eigentlich verantwortlich sind, wie sie die von der Vorgängerregierung entworfene Cybersicherheitsstrategie unter den neuen Hausleitungen auslegen möchten und welche Aspekte sie überhaupt noch implementieren wollen. Der aktuelle Stand dieser Umarbeitung ist derzeit nicht bekannt.
Die Cybersicherheitsagenda wurde im Gegensatz dazu diesen Sommer nur vom SPD-geführten Bundesinnenministerium herausgegeben. Hierbei handelt es sich also nicht um eine häuserübergreifende Strategie, sondern um eine Absichtserklärung dieses Ressorts.
Was ist aus Ihrer Sicht das übergeordnete Ziel dieser Agenda?
Die Cybersicherheitsagenda zeigt die Schwerpunkte auf, die das Innenministerium in dieser Legislaturperiode umsetzen möchte. Quasi ein „Best of“ der Cybersicherheitsstrategie. Da steckt jetzt aber nicht viel Neues drin, was nicht bereits in anderen strategischen Dokumenten oder dem Koalitionsvertrag zu finden war. Vielmehr wirkt es wie eine 16-seitige Zusammenfassung des eigenen internen Arbeitsplans und eigentlich ist unklar, warum das Ministerium so etwas überhaupt veröffentlicht hat. Es ist zumindest kein strategischer Mehrwert zu erkennen. Vielleicht war es auch eine Reaktion auf die russische Aggression gegen die Ukraine, um zu zeigen: Wir tun etwas.
Das klingt recht kritisch. Wie bewerten Sie die Agenda im Detail?
Zum einen ist sie ebenfalls nicht mit einem Budget hinterlegt, schafft aber auch keine Fakten im Sinne eines angekündigten Rechtsrahmens. Zum anderen werden in der Agenda – wie auch schon in anderen Dokumenten inklusive der Cybersicherheitsstrategie – zwei Bereiche vermischt, die teilweise Zielkonflikte aufweisen: die öffentliche Sicherheit und die Cyber-/IT-Sicherheit.
Ein konkretes Beispiel ist der Einsatz von Überwachungssoftware durch Polizei und Nachrichtendienste, etwa in Fahrzeugen, was zwar zur öffentlichen Sicherheit beitragen soll. Aber durch die genutzten Werkzeuge und das Geld, das in ein Ökosystem zur Herstellung der notwendigen Schadsoftware und Schwachstellen fließt, wirkt dies den Zielen der IT-Sicherheit entgegen.
Wir haben also Maßnahmen in der Agenda wie in der Cybersicherheitsstrategie, die zwar unter dem Titel Cyber- und IT-Sicherheit laufen, die dem erklärten Ziel aber eigentlich diametral gegenüberstehen. Man könnte hier auch von einer Art „Cyberwashing“, in Anlehnung an Blue- oder Greenwashing, sprechen. Letztlich ist vor allem relevant, was aus diesen Dokumenten wirklich implementiert wird und wie dies geschieht.
Wie könnte die Bundesregierung es besser machen?
Sie sollte zunächst den Stand der Cybersicherheitsstrategie erfassen, bevor weitere Dokumente dazu veröffentlicht werden: Welche Teile sind noch aktuell? Was muss überarbeitet oder gestrichen werden? Als nächstes müsste erklärt werden, wie sich die Strategie eigentlich zur Cybersicherheitsagenda und zur Digitalstrategie verhält, in der ebenfalls relevante Punkte zum Thema Cybersicherheit vorhanden sind.
Ich persönlich würde zudem die Maßnahmen der Cyber- und IT-Sicherheit ganz klar von jenen der öffentlichen Sicherheit trennen, die die Cybersicherheit unterminieren. Denn sollte das erwähnte Cyberwashing weitergehen, fiele es mir sehr schwer, die Cybersicherheitspolitik der Bundesregierung als produktiv und konstruktiv zu empfinden.
Gibt es Bereiche oder absehbare Entwicklungen der Cybersecurity und Resilienz, in denen sich Deutschland für die nächsten Jahre noch besser aufstellen sollte?
Hilfreich wäre es, wenn wir ein gutes und aussagekräftiges Lagebild hätten, das sowohl den Bund als auch die Länder, die Kommunen und die Industrie gemeinsam umfasst. Denn wenn wir die Gefährdungslage nicht richtig einschätzen können, nützen alle anderen Maßnahmen wie der Informationsaustausch nur wenig.
Darauf aufbauend brauchen wir ganz konkrete Angebote in Form von Dienstleistungen, die KMU und Kommunen ohne viel Aufwand nutzen können. Ganz einfach weil diese Akteure weder jetzt noch in den nächsten Jahren ausreichend IT-Fachkräfte haben werden, um ihre IT-Sicherheit, z.B. gegen organisierte Cyberkriminalität, selber gewährleisten zu können. Dabei müssen vor allem der Bund und die Länder unterstützen.
Auf der Bundesebene wünsche ich mir, dass wir uns ganz klar zur einer Strategie der Resilienz bekennen. Anstatt Diskussionen über aktive Cyberabwehr, Hackbacks und Überwachungsmaßnahmen im Ausland fortzuführen, sollten wir uns darauf konzentrieren, wie wir kritische Infrastrukturen und Systeme so gut wie möglich resilient gestalten. Damit sie im Ernstfall schnell wieder funktionieren. Kurz gesagt: Wenn feindlich gesinnte Akteure wie Russland in Berlin das Licht ausschalten, möchte ich nicht, dass wir in Moskau das gleiche machen, sondern es in Berlin so schnell wie möglich wieder anmachen.
Das sollte der Kernpunkt unserer Strategie sein und Deutschland sollte in Europa und der Welt dafür eintreten, um einen Gegenentwurf anzubieten zu all den anderen großen Strategien aus Russland, China, den USA oder Israel, die sehr stark auf intrusive Überwachungs- und Vergeltungsmaßnahmen angelegt sind. Die Konzentration auf Resilienz fügt sich meines Erachtens auch besser in die deutsche Außen- und Sicherheitspolitik ein.
Mehr Informationen:
Nachgefragt mit Rita Schwarzelühr-Sutter: „Wir müssen die Menschen auf vielfältigen Wegen erreichen“
Mobilfunk einfach erklärt: Was ist Resilienz?
Nach fünf Jahren: Die neue Cybersicherheitsstrategie