Die Stiftung Wissenschaft und Politik (SWP) aus Berlin stellt der EU in Sachen  Cybersicherheit ein schlechtes Zeugnis aus. Der Experte und Regierungsberater Dr. Sandro Gaycken räumt ebenfalls Mängel ein. Im Gespräch mit politik-digital fordert er mehr Investitionen in passive Sicherheit anstatt in die Überwachung der Bürger.

ACTA, Vorratsdatenspeicherung, Export von Überwachungstechnik an Diktatoren – dies sind einige herausragende Beispiele europäischer Cyberpolitik, an denen sich zuletzt massive Kritik entzündet hat. EU und Länderregierungen nähmen im Namen der Sicherheit bewusst die Beschneidung bürgerlicher Freiheitsrechte in Kauf, empörten sich Bürger, Journalisten und Oppositionspolitiker. Widerstand formierte sich vor allem gegen die Art und Weise, wie innerhalb der EU sicherheitspolitische Richtlinien umgesetzt werden. Annegret Bendiek von der Stiftung Wissenschaft und Politik urteilt: „Transparenz und Rechenschaftspflicht lassen in fast allen beschriebenen Bereichen sehr zu wünschen übrig“.

Die Politikwissenschaftlerin Bendiek untersuchte für die aktuelle SWP-Studie die vier Kernpunkte der europäischen Sicherheitsstrategie, die EU-Innenkommissarin Cecilia Malström auf dem transatlantischen Forum in Washington Anfang Mai 2012 vorgestellt hatte: Prävention, Widerstandsfähigkeit und Reaktionsfähigkeiten, öffentlich-private Partnerschaften sowie globale Zusammenarbeit mit Partnern.
Bendiek kommt in ihrer Analyse zu dem Schluss, dass die EU ihren demokratischen Ansprüchen nicht Rechnung trägt. Erstens stellt sie eine zunehmende Verschmelzung von Innen- und Außenpolitik fest, die zu Kompetenzüberschneidung und unklaren Zuständigkeiten führe.
Zum Zweiten warnt sie vor einer „Versicherheitlichung“ europäischer Politik. Aufgrund der Bedrohungswahrnehmung durch Cyberverbrechen würden EU-Kommission und Mitgliedsstaaten in ihrem Ziel, einen „Raum der Freiheit, der Sicherheit und des Rechts“ zu schaffen, „zunehmend einseitig zugunsten sicherheitspolitischer Maßnahmen“ handeln.
Als dritten Kritikpunkt führt Bendiek die Privatisierung des Regierens an. Ohne den technologischen Wissensvorsprung privater Unternehmen könne heute weder Staat noch Staatenverbund für umfassenden Cyberschutz sorgen. Dadurch sei die Einflussnahme nichtstaatlicher Akteure auf die Agendasetzung im sicherheitspolitischem Bereich sehr ausgeprägt.
 

Damit die europäische Cybersicherheitspolitik künftig nicht weiter der Grundlage der Rechtsstaatlichkeit (wie bei der Vorratsdatenspeicherung), mangelnder demokratischer Transparenz (wie bei ACTA) sowie Glaubwürdigkeit (wie bei dem Export von Überwachungstechnik) entbehrt, gibt die stellvertretende Leiterin der SWP- Forschungsgruppe EU-Außenbeziehungen mehrere Empfehlungen ab. Unter anderem fordert Bendiek von Bürgern und privaten Unternehmen die Weiterleitung von Cyberangriffen an staatliche Stellen oder die Aufdeckung der Anzahl und Qualität dieser Attacken. Damit soll das öffentliche Bewusstsein über die Bedrohungslage geschärft werden. Über diese und weitere Empfehlungen sowie ihre Kritik an der europäischen Cybersicherheitspolitik spricht politik-digital mit dem Cybersicherheitsexperten Dr. Sandro Gaycken.

politik-digital: Herr Gaycken, die Politikwissenschaftlerin Annegret Bendiek stellt in ihrer Studie erhebliche Mängel im demokratischen Verfahren der europäischen Cybersicherheitspolitik fest. Wo sehen Sie die größten Defizite?

Dr. Sandro Gaycken: Es gibt dort tatsächlich viele Inkonsistenzen und andere Probleme. Es gibt keine klaren Zuständigkeiten – das wird gerade noch ausgefochten. Und es herrscht wenig Transparenz in vielen Verfahren. Alles in allem eine chaotische Situation, zumindest im Moment noch. Einige Vorstöße sind dann tatsächlich sogar menschenrechtsfeindlich wie der Export von Überwachungstechnik an Regime. Es gibt aber auch immer wieder gute Einzelprojekte – das muss auch gesagt werden. Zum Teil haben einige Bereiche in der EU gute Arbeitsebenen, die vernünftige Dinge tun. Die kommen nur eben leider nicht immer zum Zug in diesen Fragen.

politik-digital: Bendiek postuliert, dass Parlamente – nationale wie supranationale – bei der Cybersicherheitspolitik marginalisiert werden. Versuchen Regierungen Ihrer Einschätzung nach, ihre Kenntnisse bewusst unter Verschluss zu halten?

Gaycken: Das ist nur zum Teil so, viel passiert auch recht transparent. Die deutsche Cybersicherheitspolitik etwa hat eine explizite Strategie und viele öffentlich bekannte Projekte und Stoßrichtungen. Wenn Dinge unter Verschluss gehalten werden, dann meist aus Sicherheitsgründen, wobei aber viele Berater und Forscher die Sicherheitsbedenken überzogen finden und für eine stärkere Veröffentlichung plädieren. Unter anderem weil dann ein ganz anderes Problembewusstsein entstünde. Ein anderer Grund für Zurückhaltung ist Inkompetenz. Viele Politiker, die das Thema nicht verstehen und keine sachkundigen Berater haben, halten sich dann lieber mit Äußerungen zurück, bevor sie auf irgendwelche Lobbyisten hereinfallen, und überlassen das Feld anderen.

politik-digital: Bendiek empfiehlt unter anderem eine globale Harmonisierung des Strafrechts, um rechtsfreie Räume bei Cyberkriminalität zu minimieren. Wäre dies eine effiziente Maßnahme zur Eindämmung anonymer Cyberattacken?

Gaycken: Eine globale Harmonisierung ist nur sehr schwer umzusetzen, außerdem müssen sie die rechtlichen Möglichkeiten auch mit organisatorischen und technischen Mitteln unterfüttern, also IT-Forensik und Cybercrime-Abteilungen weltweit aufbauen. Das wäre zwar wünschenswert, ist aber im Moment nicht realistisch. Abgesehen davon hat eine Harmonisierung des Strafrechts nichts mit Anonymität zu tun. Das sind zwei unterschiedliche Baustellen. Gegen Anonymität möglicher Täter hilft in geringem Maße rigorose Überwachung und in etwas höherem Maße konventionelle polizeiliche Ermittlungsarbeit von Fachabteilungen. Wie gesagt: Ermittler dazu aufbauen wäre dringend geraten. Bei Überwachung dagegen ist die Verhältnismäßigkeit meiner Meinung nach nicht gegeben, da man da nur die dümmsten Angreifer erwischt. Die sind aber gerade nicht so gefährlich, dass man dafür Privatheit im Netz aufgeben müsste.

politik-digital: Wie weit ist die europäische Cybersicherheitspolitik Ihrer Meinung nach im Vergleich zu den Großmächten USA oder China?

Gaycken: In den Kinderschuhen, mindestens fünf Jahre hinterher. Allerdings könnte Europa schnell aufholen und letztlich besser dastehen als die Großmächte, wenn es um passive Sicherheit geht. Wir haben gute Techniker, die passende Industrie und keine so hohen Widerstände in dieser Richtung.

politik-digital: Der enorme Widerstand der Bürger gegen die mangelnde demokratische Transparenz des EU-Parlaments hat ACTA erst auf nationaler und schließlich auf europäischer Ebene gekippt. Dürfen die Bürger in Zukunft mit mehr Einbindung rechnen?

Gaycken: Das ist sehr zu hoffen. Es ist natürlich in keiner Weise akzeptabel, dass Entscheidungen, bloß weil man Widerstände fürchtet, einfach still und heimlich durchgeschummelt werden. Das darf nicht noch einmal passieren.

politik-digital: Sie beraten die Bundesregierung in Fragen Cybersicherheitspolitik. Was sind Ihre wichtigsten Empfehlungen?

Gaycken: Meine Empfehlungen gehen konsequent dahin, objektiv risikoorientiert zu arbeiten und die passive Sicherheit radikal zu erhöhen, statt zu viel auf Überwachung zu setzen. Arbeitet man risikoorientiert, kann man sich Fehlinvestitionen in unsinnige “Lösungen” an falschen Stellen sparen und dann kann man eben im Bereich passiver Sicherheit noch unendlich viel tun. Da haben die Bemühungen noch nicht einmal richtig angefangen, weil viele das utopisch finden – vor allem natürlich die Lobbyisten derjenigen Firmen, die von einem konsequenten Abbau unsicherer IT monetär betroffen wären. Aber dieser Ansatz wäre aus Sicherheitsperspektive garantiert effektiver, er wäre 100 Prozent Privacy-verträglich, weil man sich dann die ohnehin ineffiziente Überwachung sparen kann. Und ein vollkommen neuer technologischer Ansatz, eine Reform der Computer nach Sicherheit wenn man so will, wäre auch ein unheimlicher Gewinn für Wissenschaft und Wirtschaft. Eine Win-Win-Win-Situation quasi. Aber eben gegen den Willen vieler Lobbyisten und auch einiger Nationen. Daher ist das schwierig durchzusetzen, wenn auch nicht unmöglich. Es gibt auch viel Zuspruch und wachsendes Verständnis. Über Details kann ich sonst natürlich nicht sprechen.

Privacy Preference Center