Knappe Regierungsantworten zur Cyber-Sicherheitsstrategie

CC by 2.0 Flickr User WOCinTech Chat/Titel: wocintech (microsoft) - 70 / Ausschnitt angepasst
Veröffentlicht am 31.08.2016

Im Herbst dieses Jahres will die Bundesregierung die Cybersicherheits-Strategie 2016 „nach derzeitigem Planungsstand“ im Kabinett beschließen. Das geht aus der Antwort auf eine Kleine Anfrage der Linken hervor. „Derzeit laufen hierzu die regierungsinternen Abstimmungen“, heißt es in der Antwort, die Klaus Vitt, IT-Beauftragter der Bundesregierung und Staatssekretär im Bundesinnenministerium (BMI) ans Parlament geschickt hat. Die Fragen der Abgeordneten seien „teilweise nur eingeschränkt beantwortbar“, es gebe noch keinen zwischen den beteiligten Ressorts abgestimmten Text der Strategie, schreibt das BMI zur Begründung.

Der Fragesteller Jan Korte, stellvertretender Vorsitzender der Bundestagsfraktion Die Linke, kritisiert das: „Die ausweichenden und substanzlosen Antworten der Bundesregierung lassen einen ratlos zurück: Offenbar tapert die Regierung bei ihrem Kurs durch die Weiten des Cyberraums weiterhin im Dunkeln. Wer noch nicht einmal eine eindeutige Frage nach dem Bestehen von Computer Emergency Response Teams (CERT) eindeutig beantwortet, weiß entweder einfach nicht, was er tut oder missachtet schlicht das parlamentarische Fragerecht.“

So lautet die Antwort auf die Frage „Welche Pläne existieren für einen Ausbau des BSI?“ „Die Bundesregierung plant die Kapazitäten des Bundesamtes für Sicherheit in der Informationstechnik (BSI) auszubauen (s. Seite 103 des Koalitionsvertrages von CDU, CSU und SPD)“.

Auch zum geplanten Ausbau des Cyberabwehrzentrums gibt es keine konkreten Informationen. Bestätigt werden dagegen Überlegungen des BMI, drei Quick-Reaktion Forces (QRF) gegen Cyberangriffe auszustellen: Eines beim Bundesamt für Verfassungsschutz, eines beim Bundeskriminalamt (BKA) und ein „Mobile Incident Response Team (MIRT)“ beim BSI.

Die QRF beim BKA soll noch in diesem Jahr eingerichtet werden. Das BMI beschreibt die Einheit so: „Die QRF ist eine jeweils aus vier Cybercrime-Experten des BKA bestehende, rotierende 24/7-Rufbereitschaft, um notwendige polizeiliche Sofortmaßnahmen außerhalb der Regelarbeitszeit einzuleiten.“

Was macht die Bundesregierung gegen die steigenden Cyber-Gefahren? CC by 2.0 Flickr User WOCinTech Chat/Titel: wocintech (microsoft) – 70
/ Ausschnitt angepasst

Die MIRTs des BSI sollen im nächsten Jahr einsatzbereit sein. Sie sollen „auf Ersuchen und mit Einwilligung von Bundesbehörden, Verfassungsorganen und Betreibern Kritischer Infrastrukturen vor Ort schnell und flexibel und adressatengerecht bei der technischen Bewältigung von Sicherheitsvorfällen unterstützen“ – mit dem Ziel der „schnellstmöglichen Wiederherstellung eines sicheren technischen Betriebes der betroffenen Einrichtung“.

In der Bundesregierung scheinen einige Teile der Strategie kontrovers diskutiert zu werden. Einen Hinweis darauf liefert das knappe „Nein“ als Antwort auf die Frage, ob das BMI, die „Sensorik im Netz“ ausbauen wolle, um Cyberangriffe und Infektionen besser erkennen zu können. Die kurze und eindeutige Antwort überzeugt Linken-Politiker Korte nicht. Es sei allgemein bekannt, dass beispielsweise die Telekom über eine solche Sensorik verfüge. „Es ist schwierig zu entscheiden, ob Unwille oder Unfähigkeit zu dieser Antwortverweigerung führen“, sagte Korte. In einem Entwurf der Cybersicherheitsstrategie aus dem Mai war noch vorgesehen, den Ausbau der Sensorik im Netz gemeinsam mit den Providern zu prüfen und Maßnahmen mit ihnen abzustimmen. Über die Pläne hatten Zeit Online und Deutschlandfunk berichtet.

Auch bei anderen Passagen des Strategie-Entwurfs aus dem BMI stellt sich die Frage, ob sie nach der Ressortabstimmung zur gemeinsamen Position der Bundesregierung werden. So war im Entwurf von einer Erweiterung des Straftaten-Katalogs im §100a (Telekommunikations-Überwachung) auf Straftaten die Rede, die online und konspirativ verübt werden. In der Antwort auf die Kleine Anfrage heißt es, eine abschließende Entscheidung sei innerhalb der Bundesregierung noch nicht getroffen. Um welche Straftaten es dabei gehen könnte wird nicht geklärt.

Was das Bundeswirtschaftsministerium zu den Forderungen des BMI meint, dürfte interessant werden: So ist im Entwurf vermerkt, dass es die Bundesregierung für sinnvoll halte, dass in jede Unternehmensführung eine Person mit ausgewiesenem IT-Know-how berufen werde. Ob das verpflichtend gemeint ist, wird allerdings nicht ausgeführt.

Eine besonders wichtige Rolle bei der Umsetzung der Cybersicherheitsstrategie könnte die Bundesdruckerei bekommen. Dem Strategie-Entwurf zufolge soll sie zu einem „IT-Sicherheitskonzern des Bundes“ werden. Begründet wird das damit, dass Schlüsseltechnologien im IT-Sicherheitsbereich dauerhaft aus der Hand vertrauenswürdiger IT-Hersteller in Deutschland zur Verfügung gestellt werden sollen. Die Bundesdruckerei soll verstärkt eigene Angebote entwickeln und Beteiligungen an strategisch wichtigen deutschen IT-Herstellern erwerben.

Die Arbeit an der Cyber-Sicherheitsstrategie 2016 soll nach dem Willen der Bundesregierung mit dem Kabinettsbeschluss abgeschlossen sein. „Eine parlamentarische Beratung der Cybersicherheitsstrategie 2016 als Strategiepapier der Bundesregierung ist nicht vorgesehen“, heißt es in der Antwort auf die Kleine Anfrage. Die Auswirkungen der Richtlinie – sei es in Gesetzesänderungen zum Beispiel im IT-Sicherheitsgesetz oder bei Haushaltsberatungen für ausgebaute IT-Sicherheitseinheiten – dürften das Parlament aber noch beschäftigen.

Der vorstehende Artikel erscheint im Rahmen einer Kooperation mit dem Tagesspiegel Politikmonitoring auf UdL Digital. Sascha Klettke ist Chef vom Dienst und Analyst für Netzpolitik.

Schlagworte

Empfehlung der Redaktion