Nach fünf Jahren: Die neue Cybersicherheitsstrategie
Foto: Pixabay User CoolVid-Shows | CC0 1.0 | Ausschnitt bearbeitet
Nach fünf Jahren will die Bundesregierung ihre Cybersicherheitsstrategie erneuern. Nun ist erstmals ein umfassender Entwurf veröffentlicht worden: Die neue Strategie soll evaluierbar sein, es werden sogar Benchmarks genannt. An einigen Stellen gibt es jedoch auch widersprüchliche Aussagen – unter anderem zu den Themen Verbraucherschutz und Sicherheitspolitik.
Es ist der zentrale strategische Rahmen für die Aktivitäten der Bundesregierung: Derzeit wird die Cybersicherheitsstrategie überarbeitet, noch in diesem Jahr soll das zuletzt 2016 publizierte Dokument aktualisiert werden. Ein Datum für die Veröffentlichung der erneuerten Strategie könne noch nicht genannt werden, sagte ein Sprecher des Bundesinnenministeriums (BMI) gegenüber dem Tagesspiegel. Allerdings liegt nun ein erster umfassender Entwurf zur öffentlichen Stellungnahme vor, nachdem bereits im März Eckpunkte veröffentlicht wurden. Das Verfahren zur Stellungnahme läuft offiziell seit Mittwoch. Die Frist jedoch ist kurz: Nur noch bis zum 16. Juni können „sachkundige Akteure“ sich über einen Fragebogen zu Wort melden.
Wie bereits 2016 gliedert sich auch die neue Cybersicherheitsstrategie von 2021 in vier Handlungsfelder: „Sicheres und selbstbestimmtes Handeln in einer digitalen Umgebung“, „Gemeinsamer Auftrag von Staat und Wirtschaft“, „Leistungsfähige und nachhaltige gesamtstaatliche Cybersicherheitsarchitektur“ sowie „Aktive Positionierung Deutschlands in der europäischen und internationalen Cybersicherheitspolitik“. Entlang dieser Handlungsfelder wird die Gesamtstrategie dargestellt. Die strategischen Ziele und operativen Maßnahmen, die aus den Handlungsfeldern abgeleitet werden, sollen mit Hilfe von vier Leitlinien überprüft werden: „Cybersicherheit als eine gemeinsame Aufgabe von Staat, Wirtschaft, Wissenschaft und Gesellschaft etablieren“, „Digitale Souveränität von Staat, Wirtschaft, Wissenschaft und Gesellschaft stärken“, „Digitalisierung sicher gestalten“ sowie „Ziele messbar und transparent ausgestalten“.
Strategie wird evaluierbar
Aus der letzten Leitlinie, der messbaren Ausgestaltung der Ziele, ergibt sich die größte und wichtigste konzeptionelle Innovation im Vergleich zur Cybersicherheitsstrategie von 2016: Alle strategischen Ziele sind mit Indikatoren hinterlegt, die einzeln evaluierbar sind. Manchmal klappt das sehr gut: Wenn es etwa im ersten Handlungsfeld um den digitalen Verbraucherschutz geht, will sich die Bundesregierung daran messen lassen, ob ein Beirat Digitaler Verbraucherschutz eingerichtet ist und das Bundesamt für Sicherheit in der Informationstechnik (BSI) ein zentrales Service-Center für Anfragen geschaffen hat. Wenn es aber um die Förderung von digitaler Kompetenz geht, funktioniert das weniger gut. Da ist die Rede davon, dass Verbraucher:innen „sensibilisiert und informiert“ sein sollten oder „sich verstärkt mit Cybersicherheitsthemen“ beschäftigen würden. Da stellt sich die Frage nach der Messbarkeit solcher Fortschritte.
Im ersten Handlungsfeld, dem „selbstbestimmten Handeln in der digitalen Umgebung“, wird die Frage nach dem Umgang mit erkannten IT-Schwachstellen aufgeworfen. Bisher gebe es hier keinen gültigen Handlungsrahmen. Diese Lücke will die Bundesregierung künftig schließen. „Der Gesetzgeber nimmt die betroffenen Unternehmen in die Pflicht, Kontaktstellen sowie Prozesse vorzuhalten, um gemeldete Schwachstellen in einem angemessen kurzen Zeitraum schließen zu können“, heißt es in der Strategie. Dabei werde auch geprüft, inwiefern beispielsweise eine Sperrfrist für eine Veröffentlichung von Sicherheitslücken oder eine verbindliche Frist für Patches notwendig seien.
Verschlüsselung: Ambivalenter Umgang
Insgesamt will die Bundesregierung einen ganzheitlichen Ansatz schaffen, der sowohl das Schließen der Lücken als auch die Vermeidung weiterer Schäden umfasst. An dieser coordinated Vulnerability Disclosure (CVD) soll auch das BSI beteiligt werden. Die Bundesregierung soll einen „abgestimmten Prozess zur verantwortungsvollen Veröffentlichung von Schwachstellen„ erarbeiten. Auf ein mögliches Rückhalten von Schwachstellen aus nationalen Sicherheitsinteressen geht die Strategie in diesem Punkt nicht ein. Allerdings ist in Punkt 8.3.8 von einer „ausgewogenen behördenübergreifenden Strategie zum Umgang mit 0-Day-Schwachstellen„ die Rede. Dabei handelt es sich um Sicherheitslücken, die am Tag ihrer Entdeckung von Angreifer:innen ausgenutzt werden.
Beim Thema Verschlüsselung ist die Argumentation in der Cybersicherheitsstrategie ambivalent. In Punkt 8.1.9 bekennt sich die Bundesregierung zur „Verschlüsselung als Voraussetzung eines souveränen und selbstbestimmten Handelns“. Kryptografie soll gefördert werden, die Forschungsausgaben sollen steigen. Gleichzeitig soll laut Punkt 8.3.9 der Strategie „Sicherheit trotz Verschlüsselung“ gewährleistet werden, was bereits seit Monaten eine von europäischen Sicherheitspolitiker:innen genutzte Chiffre für die Einrichtungen von Backdoors für Sicherheitsorgane ist.
Wörtlich heißt es in der Strategie, dass sich die Bundesregierung an der „Entwicklung technischer und operativer Lösungen für den rechtmäßigen Zugang zu Inhalten aus verschlüsselter Kommunikation in enger Abstimmung mit allen betroffenen Unternehmen, Interessenträgern und zuständigen Behörden auf europäischer Ebene“ messen lassen wolle. Zum Einsatz soll solch ein Instrument bei „klar definierten Zwecken im Rahmen der Bekämpfung schwerer und/oder organisierter Kriminalität, Kinderpornographie und Terrorismus“ kommen.
Weiterentwicklung der Kritis-Anforderungen
Im zweiten Handlungsfeld, dem „gemeinsamen Auftrag“ von Staat und Wirtschaft, möchte die Bundesregierung gemäß Punkt 8.2.6 „einheitliche gesetzliche Anforderungen inklusive Marktzugangsregelungen sowie Normen und Standards für Unternehmen im Bereich der Cybersicherheit„ auf europäischer Ebene erreichen. Dies beträfe wohl auch Unternehmen wie den chinesischen Konzern Huawei. Weiter heißt es dort: „Für den Einsatz beziehungsweise das Inverkehrbringen vernetzter Geräte innerhalb der EU werden die Verhandlungen auf EU-Ebene für einen horizontal wirkenden, einheitlichen Rechtsrahmen aufgenommen, der wo es nötig ist durch spezialgesetzliche, sektorale Regelungen ergänzt wird.“
Technologien der Künstlichen Intelligenz (KI), des Internet of Things (IoT) oder der Robotik sollen durch „Security by design“ sicherer werden, heißt es in Punkt 8.2.9 – die Einhaltung des Prinzips soll künftig sogar Maßstab für staatliche Vergabeverfahren werden. Unklar bleibt jedoch, wie sich dieser Anspruch in Einklang bringen lässt mit sicherheitspolitischen Bestrebungen wie der bereits erwähnten „Sicherheit trotz Verschlüsselung“. Auch die Bestimmungen und Hilfsangebote für Betreiber von Kritischen Infrastrukturen (KRITIS) sollen weiterentwickelt werden. „Es ist wesentlich, dass reaktive Maßnahmen durch proaktive Maßnahmen ergänzt werden, beispielsweise durch das Vorhalten eines umfassenden Cyberbedrohungslagebilds mitsamt der Möglichkeit, etwaige Cyberangriffe (oder Vorbereitungen dazu) auf KRITIS frühzeitig im Vorfeld zu erkennen und abzuwehren“, heißt es in Punkt 8.2.12 in der Strategie.
Institutionell plant die Bundesregierung, den Nationalen Cybersicherheitsrat zu stärken, besonders in seiner Form als Beratungsgremium. Wie genau das erreicht werden soll, geht aus dem Strategieentwurf nicht hervor. Auch das Nationale Cyberabwehrzentrum soll gestärkt werden, hier geht es insbesondere um den „ressortübergreifenden Informationsaustausch zu Cyberangriffen, Cyberbedrohungen und Cybergefahren“.
Bundesregierung will Grundgesetz ändern
Die sicherheitspolitisch wohl brisantesten Punkte verbergen sich im Handlungsfeld drei, der „Cybersicherheitsarchitektur“. Gemäß Punkt 8.3.1 strebt die Bundesregierung eine Änderung des Grundgesetzes an, um die Möglichkeiten des Bundes zur Gefahrenabwehr zu verbessern. Dies solle für Gefahren gelten, die „von besonders schweren und bedeutenden Cyberangriffen auf informationstechnische Systeme und Netze“ ausgehen. Darauf aufbauend sei zu klären, „ob es entsprechend neuer oder ergänzter Aufgaben und Befugnisse der (Sicherheits-)Behörden des Bundes bedarf“. In der laufenden Legislaturperiode gab es bereits ähnliche Pläne seitens des BMI für die Ermöglichung einer mehrstufigen Eskalationsstrategie. Demnach hätten Bundesbehörden die Möglichkeit gehabt, im äußersten Fall eines massiven Cyberangriffs Server außer Gefecht zu setzen. Eine Einigung über die von Kritiker:innen als „Hackbacks“ bezeichneten Vorhaben scheiterte jedoch.
Im Bereich der Computerstraftaten will die Bundesregierung prüfen, „ob Ermittlungsmaßnahmen, wie Telekommunikationsüberwachung und Online-Durchsuchung“ auch in diesem Bereich zur Verfügung stehen. Das beträfe etwa das Ausspähen, Löschen und Verändern von Daten. Dabei werden auch Straftaten nach „Paragraph 202a ff.“ aufgeführt – hier bezieht sich die Bundesregierung auf den so genannten „Hackerparagraphen“ im Strafgesetzbuch, der sehr vage formuliert ist und aus IT-Kreisen scharf kritisiert wird.
Bundeswehr: Konzept für Verteidigungsfall
Dass die Bundesregierung das Konzept der digitalen Souveränität auch auf den Sicherheitsbereich bezieht, geht aus Punkt 8.3.11 hervor: Die oft als „Hacker-Behörde“ apostrophierte Zentrale Stelle für die Informationstechnik im Sicherheitsbereich (ZITiS) soll Sicherheitsbehörden helfen, „krisenfeste Versorgungssicherheit“ zu gewährleisten und „deren Cyberfähigkeiten signifikant“ zu erhöhen. Ziel ist es unter anderem, die Sicherheitsbehörden unabhängiger von außereuropäischen Lösungen zu machen.
Für die Cyberverteidigung strebt die Bundesregierung laut Punkt 8.3.13 ein „abgestimmtes Konzept zur Verteidigung im Cyberraum im Spannungs- und Verteidigungsfall“ an, dass regelmäßig in Form von Cybermanövern geprobt werden soll. Im Jahr 2019 sorgte ein Vorstoß des damaligen Kommandeurs Cyber- und Informationsraum, Ludwig Leinhos, für Wirbel. Er hatte einen „digitalen Verteidigungsfall“ gefordert. Diese Forderung findet sich nicht in der Strategie. Etwas kryptisch formuliert heißt es an anderer Stelle: „Weiterhin werden die Verteidigungsaspekte der Cybersicherheit im Rahmen der Landes- und Bündnisverteidigung sowie weitere Möglichkeiten der Reaktion auf Bedrohungen im Cyber- und Informationsraum unter Berücksichtigung rechtlicher Fragestellungen und mit dem Ziel der Konkretisierung untersucht.“ Ob dies auch die Überprüfung der engen Schranken betrifft, in denen die Bundeswehr derzeit ihre Cyberfähigkeiten anwenden kann, bleibt unklar.
Im Handlungsfeld vier, der internationalen Cybersicherheitspolitik, soll Deutschland einerseits Instrumente wie die europäische Cyber Diplomacy Toolbox weiterentwickeln, mit der bereits in der Vergangenheit beispielsweise Sanktionen gegen russische oder nordkoreanische Hacker erlassen wurden. Andererseits soll laut Punkt 8.4.3 auch die Anwendung des Völkerrechts im Cyberraum gestärkt werden. Dazu hatte das Auswärtige Amt im März ein Positionspapier veröffentlicht.
Tagesspiegel Politikmonitoring
Der vorstehende Artikel erscheint im Rahmen einer Kooperation mit dem Tagesspiegel Politikmonitoring auf der Website des BASECAMP.