Cybersicherheitsstrategie ist beschlossen
Das Bundeskabinett hat in seiner Sitzung am 9. November die neue „Cyber-Sicherheitsstrategie für Deutschland“ beschlossen. Sie löst das bisher gültige Papier aus dem Jahr 2011 ab. Teile eines Entwurfs waren im Sommer bereits bekannt geworden. Die jetzt beschlossene Version entspricht im Wesentlichen dem damaligen Entwurf aus dem Bundesinnenministerium (BMI), einige Passagen wurden anscheinend im Laufe der Ressortabstimmung abgemildert oder gestrichen.
Die Cyber-Sicherheitsstrategie ist in vier Handlungsfelder unterteilt:
- Sicheres und selbstbestimmtes Handeln in einer digitalisierten Umgebung
- Gemeinsamer Auftrag Cyber-Sicherheit von Staat und Wirtschaft
- Leistungsfähige und nachhaltige gesamtstaatliche Cyber- Sicherheitsarchitektur
- Aktive Positionierung Deutschlands in der europäischen und internationalen Cyber-Sicherheitspolitik.
Im ersten Handlungsfeld geht es um die Rahmenbedingungen für Cyber-Sicherheit. „Die Bürgerinnen und Bürger müssen – ebenso wie Unternehmen, Staat und sonstige Akteure in Deutschland – in der Lage sein, die Chancen und Risiken beim Einsatz von Informationstechnik zu erfassen, zu bewerten und ihr Handeln daran auszurichten“, heißt es in der Einleitung des Kapitels. Um sie dazu in die Lage zu versetzen, will die Bundesregierung mit Schul-, Aus- und Weiterbildung die digitale Kompetenz fördern.
„Jede Schulabgängerin und jeder Schulabgänger sollte ein technisches Grundverständnis und grundlegende Kenntnisse im sicheren Umgang mit Informations- und Kommunikationstechnik haben.“
Beim Thema „Verschlüsselung“ verfolgt die Bundesregierung eine Doppelstrategie. Einerseits gilt: „Eine leicht handhabbare und sichere Verschlüsselung gewährleistet eine vertrauliche elektronische Kommunikation für alle Akteure und sollte zum Standard werden.“ Anderseits folgt man auch dem Ansatz „Sicherheit trotz Verschlüsselung“. Danach sollen die „technischen Fähigkeiten der Strafverfolgungs- und Sicherheitsbehörden zur Entschlüsselung parallel zu den technischen Entwicklungen in Sachen Verschlüsselung stetig fortentwickelt werden“.
Die Cyber-Sicherheitsstrategie beschäftigt sich auch mit der sicheren Identifizierung von Nutzern im Netz. „Das derzeit verbreitete, aber nicht sichere Benutzername/Passwort- Verfahren ist als Standard zu ergänzen und nach Möglichkeit abzulösen“ wird dort gefordert. Als staatlichen Beitrag dazu sieht die Bundesregierung den elektronischen Personalausweis bzw. Reisepass. Damit stelle die Bundesregierung bereits „eine hochsichere und datensparsame Identifikationsmöglichkeit im Netz“ bereit. Ziel sei es, die Online-Ausweisfunktion als Standard-Identifizierungsmittel für sensible Dienste zu etablieren, fortzuentwickeln und vergleichbare sichere Lösungen auch in der Wirtschaft zu fördern.
Dem eGovernment-Monitor 2016 zufolge können allerdings nur vier Prozent der Internetnutzer in Deutschland alle Funktionen des elektronischen Personalausweises vollständig nutzen. Ein Gesetz, das u.a. die Nutzung des E-Personalausweises erleichtert, soll nach der Zeitplanung des BMI aus dem Oktober am 16. November im Kabinett behandelt werden. Im Entwurf der Strategie war ein Hinweis auf die „sich abzeichnenden Entwicklungen hin zur Nutzung von DE-Mail in Fachanwendungen“ enthalten, der sich in der finalen Version nicht mehr wiederfindet. Auch DE-Mail war im eGovernment-Monitor eine geringe Nutzung bescheinigt worden.
Zertifizierungen und ein Gütesiegel hält die Bundesregierung für wichtige Elemente, um sichere Produkte zu stärken. So kündigt sie an, „ein Basis-Zertifizierungsverfahren, für sichere IT-Verbraucherprodukte“ einzuführen, dessen Kriterien durch das Bundesamt für Sicherheit in der Informationstechnik (BSI) festgelegt werden sollen. Auch auf ein einheitliches Gütesiegel will die Bundesregierung hinarbeiten.
Im Handlungsfeld „Gemeinsamer Auftrag von Staat und Wirtschaft“ sind einige Streichungen gegenüber dem Entwurf erkennbar. So ist im Abschnitt „Unternehmen in Deutschland schützen“ der Hinweis gestrichen worden, dass die Bundesregierung es für sinnvoll halte, „dass in jede Unternehmensführung eine Person mit ausgewiesenem IT-Know-how berufen wird“. Auch der Plan, die Bundesdruckerei zu einem IT-Sicherheitskonzern des Bundes zu entwickeln, der Beteiligungen an strategisch wichtigen deutschen IT-Herstellern erwirbt, findet sich nicht mehr in der Kabinettsfassung. Im Abschnitt „Die deutsche Wirtschaft stärken“ heißt es jetzt allgemein:
„In nationalen Schlüsseltechnologien sind die Vernetzung mit der nationalen IT-Sicherheitswirtschaft zu stärken und – wo möglich und sinnvoll – eigene Kapazitäten aufzubauen, zu fördern und zu schützen.“
Dieses Handlungsfeld beschäftigt sich auch mit der gemeinsamen Reaktion von Staat und Wirtschaft auf Cyber- Angriffe. Die Bundesregierung prüft, die im IT-Sicherheitsgesetz festgelegten Präventions- und Reaktionspflichten für die Betreiber kritischer Infrastrukturen auch auf „andere Unternehmen von hoher gesellschaftlicher Relevanz“ auszuweiten. In der Strategie wird in allgemeiner Form von einer Zusammenarbeit von privaten Unternehmen und staatlichen Stellen bei der Abwehr von Cyberangriffen ausgegangen. So ist von „gegenseitigem Austausch von IT-Fachwissen“, der „Bildung von Spezialisten-Netzwerken“ und „personellen Austauschprogrammen“ die Rede. Die im BSI konzipierte „Cyberwehr“ wird nicht explizit erwähnt. In der Strategie wird eine Kooperationsplattform für Staat und Wirtschaft beschrieben, „die innerhalb der vorgegebenen rechtlichen Grenzen vor allem einen Austausch relevanter Lageinformationen zur Abwehr von Cyberangriffen ermöglicht.“
Im Handlungsfeld 3 „Leistungsfähige und nachhaltige gesamtstaatliche Cyber-Sicherheitsarchitektur“ werden insbesondere die Strukturen des Bundes zur Cyberabwehr beschrieben – von der Weiterentwicklung des Nationalen Cyber-Abwehrzentrums über die „Mobile Incident Response Teams“ des BSI, die „Quick Reaction Force“ des Bundeskriminalamtes und ähnliche Einheiten beim Bundesamt für Verfassungsschutz, dem Bundesnachrichtendienst und dem Militärischen Abschirmdienst. Dem BSI soll als neue Aufgabe die Unterstützung von Landesbehörden übertragen werden, wenn diese mit der Bewältigung von Cyber-Sicherheitsvorfällen befasst sind. Bisher ist nur die Unterstützung von Polizeien und Strafverfolgungsbehörden geregelt.
Der vierte und letzte Handlungsabschnitt „Aktive Positionierung Deutschlands in der europäischen und internationalen Cyber-Sicherheitspolitik“ beschäftigt sich mit der Außen- und Verteidigungspolitik in Sachen Cybersicherheit. So will sich die Bundesregierung dafür einsetzen, dass die IT-Sicherheit auf der EU-Ebene bei Fragen des Datenschutzes und des internationalen Datenaustausches berücksichtigt wird. Außerdem geht es um die deutschen Aktivitäten in internationalen Organisationen von der NATO über die OSZE bis zur UN.
Diplomatie spielt anscheinend nicht nur in der Cyber-Außenpolitik, sondern auch in der Innenpolitik gegenüber den eigenen Bürgern eine Rolle. So wurde der Bevölkerung im Referentenentwurf noch zugerufen:
„Die Cyber-Bedrohungslage wird durch eine digitale Sorglosigkeit der Bürgerinnen und Bürger verschärft.“ Daraus wurde in der abgestimmten Version: „Neben Bildung bedarf verantwortungsvolles und risikobewusstes Handeln regelmäßiger Sensibilisierung, um digitaler Sorglosigkeit der Bürgerinnen und Bürger im privaten und beruflichen Umfeld entgegenzutreten.“
Der vorstehende Artikel erscheint im Rahmen einer Kooperation mit dem Tagesspiegel Politikmonitoring auf UdL Digital. Sascha Klettke ist Chef vom Dienst und Analyst für Netzpolitik.