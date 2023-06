Nach einer Cyber-Sicherheitsstrategie 2021, einer Cyber-Sicherheitsagenda des Bundesministeriums des Innern (BMI) und diversen Cyber-Themen im Koalitionsvertrag gibt es nun also die Nationale Sicherheitsstrategie: "Wehrhaft. Resilient. Nachhaltig. Integrierte Sicherheit für Deutschland". In dem 76-seitigen Strategiepapier fällt das Wort Cyber ganze 62 Mal, Resilienz immerhin 26 Mal und kritische Infrastruktur jedoch nur sechsmal – obwohl "Resilienz" schon im Titel eine wichtige Rolle spielen sollte. Die sonst üblichen Buzzwords KI, Quanten und Blockchain kommen glücklicherweise kaum vor.

Eine Analyse von Manuel Atug Manuel Atug ist IT-Sicherheitsexperte für kritische Infrastrukturen und als @HonkHase im Netz aktiv.

Unter anderem heißt es in der Strategie, dass "Investitionen in den Schutz Kritischer Infrastrukturen, Cyber-Fähigkeiten, eine handlungsfähige Diplomatie, den Bevölkerungsschutz, die Stabilisierung unserer Partner sowie eine engagierte humanitäre Hilfe und Entwicklungszusammenarbeit" gestärkt werden sollen." Es ist wichtig, endlich in den Schutz kritischer Infrastrukturen (KRITIS) zu investieren, denn das wurde viel zu lange sträflich vernachlässigt. Allerdings bedarf es dazu Anpassungen im geplanten Kritik-Dachgesetz und bei der Umsetzung der europäischen NIS-2-Richtlinie.

Lieber Schwachstellenverwaltung als patchen

Cyber-Fähigkeiten sind wiederum aus Regierungssicht selbst als kritisch anzusehen, denn das sind bisher eher offensive Maßnahmen wie Hackbacks und Schwachstellenmanagement gewesen. Statt alle Schwachstellen umgehend zu schließen, geht es also lieber um die Verwaltung von Schwachstellen für die offensiven Sicherheitsbehörden wie Bundesamt für Verfassungsschutz, Bundeskriminalamt (BKA) und Bundesnachrichtendienst (BND) oder die Zentrale Stelle für Informationstechnik im Sicherheitsbereich (ZITiS) und Bundeswehr. Der Bevölkerungsschutz leidet ebenfalls unter stiefmütterlicher Betreuung und das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe wurde zeitweilig auch schon als "das vergessene Amt" betitelt.

Zu wenig Konsequenzen

"Staat, Wirtschaft, Wissenschaft und Gesellschaft müssen gemeinsam die Cybersicherheit stärken. Die Bundesregierung wird regelwidriges und aggressives Verhalten von Cyberakteuren nicht hinnehmen, die Cybersicherheitsarchitektur modernisieren und ihre Fähigkeiten zur Abwehr von Cyberangriffen stärken."

Ja, in einem gemeinsamen und weltweiten Cyberraum müssen alle Akteure zusammen eine nachhaltige Digitalisierung durch Cybersicherheit schaffen. Regelwidriges Verhalten wird derzeit allerdings im Cyberraum viel zu selten wirklich angegangen, ja selbst die Regierung packt Daten in amerikanische Cloud-Infrastrukturen, wissend, dass dies nach Gesetzeslage der DSGVO nicht rechtskonform umgesetzt werden kann. Rechtes Gedankengut und konkret strafbare Bedrohungen, offener Frauenhass und auch Cybergrooming finden tagtäglich massenhaft statt und werden kaum bis gar nicht geahndet. Sofern überhaupt noch eine Anzeige erstattet wird, nehmen Behörden regelmäßig keine Rechtsdurchsetzung vor.

Deutschland hinkt in diesen Bereichen hinterher und muss dringend die Rechtsdurchsetzung im Cyberraum verwirklichen. Mit Cybersicherheitsarchitektur modernisieren ist daher hoffentlich gemeint, dass das Cyber-Wimmelbild der Verantwortungsdiffusion aufgeräumt und optimiert wird und nicht ständig weitere Akteure mit weiteren Stuhlkreisen und Lagebildern hinzukommen, von denen niemand in der Cybersicherheit profitiert.

Kein Wort zu digitaler Rüstungskontrolle

Leider verliert die Strategie gar kein Wort zu einer digitalen Rüstungskontrolle, um den Export von Spyware und Malware als "Digitalwaffen" zu begrenzen. Mit FinFisher und FinSpy von Gamma in München hatte Deutschland etwa einen Exportschlager für Diktaturen zur Hand. Dafür soll allerdings die Spionage- und Sabotageabwehr gestärkt werden. Immerhin will die Regierung im Jahre 2023 endlich damit beginnen, zu überprüfen, "bei welchen Schlüsseltechnologien nationale und europäische Fähigkeiten zum Schutz unserer technologischen und digitalen Souveränität nötig sind."

Investitionsprüfung soll weiterhin als Mittel genutzt werden, um Abhängigkeiten zu reduzieren, Versorgungssicherheit zu schützen und kritischen Technologietransfer zu vermeiden. Bisher hat das ja eher nicht wirklich gut funktioniert, wenn man beispielsweise auf das Container-Terminal Tollerort blickt, welches KRITIS ist, bei dem aber dennoch China-Investitionen durch Cosco unbedingt und mit allen Mitteln gewährt wurden, wie der NDR berichtet hat.

Gegen Chatkontrolle

Das Bundesministerium des Innern (BMI) wird sich nicht sehr freuen, dass die Regierung im Rahmen der Cyberaußenpolitik für den Schutz "der Privatsphäre, der Meinungsfreiheit und des Rechts auf Verschlüsselung" eintritt. Damit setzt sie sich für "die weltweite Einhaltung von menschenrechtlichen Standards" ein und unterbindet damit die vom BMI gewünschte und promotete Chatkontrolle. Mal sehen, wann diese Information beim BMI ankommt.

Im Koalitionsvertrag "prinzipiell" ausgeschlossene, aber immer wieder gewünschte Hackbacks lehnt die Sicherheitsstrategie ebenfalls ab. Für die "Abwehr eines laufenden oder unmittelbar bevorstehenden Cyberangriffs" sollen jedoch präventive Angriffe durchgeführt werden. Es geht in Richtung Hackfirst statt Hackback. Möglicherweise, weil Hackback als Vergeltungsschlag nicht mit dem Völkerrecht vereinbar sind. Ob das dann durch Hackfirst besser wird, darf stark bezweifelt werden.

"Bundeskompetenz zur Gefahrenabwehr" angestrebt

Parallel dazu wird aber dargelegt, dass die "Schaffung einer Bundeskompetenz zur Gefahrenabwehr" durch Änderung des Grundgesetzes angestrebt werden soll. BKA und BND sollen also aktiv und offensiv agieren können, was die Cybersicherheit durch etwa das Zurückhalten von Schwachstellen reduzieren und unterwandern wird, die für solche Angriffe erforderlich werden. Dabei sind noch nicht einmal über die Kollateralschäden in Wirtschaft, kritischen Infrastrukturen, Bevölkerung und Wissenschaft bei derartig offensiven Maßnahmen zur Sprache gekommen, die uns alle gefährden.

"Unternehmen und Zivilgesellschaft müssen ein höheres Risikobewusstsein entwickeln, Verantwortung für ihre Cybersicherheit übernehmen und die dafür nötigen Fähigkeiten auch zur Selbsthilfe und Eigenvorsorge aufbauen." Mit viel Wohlwollen könnte hier die Umsetzung des Cyber-Hilfswerks der unabhängigen AG KRITIS formuliert worden sein: Dass zur Gewährleistung der Arbeitsfähigkeit der Bundesregierung im Krisenfall "mehrere voneinander unabhängige IT-Infrastrukturen" zur Verfügung stehen sollen, wirft die Frage auf, ob es diese bisher nicht gab.

Weitere Strategien geplant

Zuletzt erklärt die Nationale Sicherheitsstrategie, dass es noch weitere Strategien geben soll: unter anderem zur Steigerung der Handlungsfähigkeit gegenüber hybriden Bedrohungen, zum Umgang mit Desinformation, zur Bekämpfung der schweren und organisierten Kriminalität und für eine starke, wehrhafte Demokratie und eine offene und vielfältige Gesellschaft.

Quantität statt Qualität, so scheint es. Offenbar wurde auch versäumt, in die ein oder andere Stellungnahme zum IT-Sicherheitsgesetz 2.0 (PDF) oder Zuständigkeiten in der Cybersicherheit (PDF) von Sachverständigen im Bundestag zu schauen: Wie viel Cyber letztlich umgesetzt wird und ob es deren Resilienz wirklich erhöht oder am Ende doch aushöhlt, ist abzuwarten. Insgesamt ist leider auch wieder einmal festzustellen, dass offenbar weder Nichtregierungsorganisationen noch Wissenschaftlerinnen oder die Zivilgesellschaft beteiligt wurden.

