Als im April 2015 der französische Sender TV5-Monde gehackt wurde, war die Sorge um das Ausmaß groß, auch in Deutschland. Was können die Folgen derartiger Angriffe sein und wie können Schäden verhindert werden? Diese Fragen wurden für die deutschen Sicherheitsbehörden hierzulande umso relevanter, als einem Monat später das Netzwerk des Deutschen Bundestages durch einen schweren Hackerangriff beeinträchtigt wurde. Ein kritischer Blick auf die Rahmenbedingungen der deutschen Cybersicherheit.
Die Diskussionen um den Hackerangriff auf den Bundestag kochen weiter, das kürzlich verabschiedete IT-Sicherheitsgesetz tut sein Übriges dazu. Während man mit Hilfe der Gesetzesinitiative versucht, die Unternehmen in die Pflicht zu nehmen, geben Behörden und Verwaltung hinsichtlich ihrer eigenen Netzsicherheit kein gutes Bild ab.
Eine gründliche Analyse zur deutschen Cybersicherheitspolitik legte der Politikwissenschaftler Jakob Kullik mit seiner vielsagenden Studie Vernetzte (Un-)Sicherheit? im Jahr 2014 vor. Das Ergebnis war ernüchternd. „Cybersicherheitspolitik mit großen Defiziten“, so titelte der Deutschlandfunk vor einem Jahr, unter Berufung auf den Forscher. Doch wo liegen die konkreten Mängel? Zwar besitzt Deutschland bereits eine eigene Cybersicherheitspolitik, dieser fehle es aber an Konsistenz, so der Experte. Kullik schlüsselt nach strategischen, politisch-institutionellen und operativen Defiziten auf.
Ein kritischer Blick: Strategien, Institutionen und Operationen
Strategisch gibt es tatsächlich einige Initiativen, die den Schutz kritischer Infrastrukturen gewährleisten und das Sicherheitsniveau anheben sollen, einige dieser Schritte greifen jedoch zu kurz. So verfolgt die deutsche Cybersicherheitspolitik vor allem zivile Strategieansätze und vernachlässigt die strategische Relevanz informationstechnischer Kapazitäten in militärischen Auseinandersetzungen . Passivität und lediglich reaktive Handlungspotentiale können angesichts neuer dynamischer Konfliktfelder im Cyberspace einen klaren sicherheitsstrategischen Nachteil bedeuten.
Politisch-institutionell gibt es sowohl bereits existierende Organisationseinheiten als auch im Aufbau befindliche neue Strukturen. Die hauptverantwortliche Bundesbehörde ist das Bundesministerium des Inneren (BMI) mit seinen nachgeordneten Behörden: dem Bundesamt für Sicherheit in der Informationstechnik (BSI), dem Bundeskriminalamt (BKA) und dem Bundesamt für Verfassungsschutz (BfV). Weiteren Einfluss nehmen – je nach Ressort – auch das Bundesministerium für Wirtschaft und Energie (BMWi), Bundesministerium der Verteidigung (BMVg), das Auswärtige Amt, das Bundesministerium für Bildung und Forschung (BMBF) sowie die Länder. Schlussendlich sind noch das Nationale Cyberabwehrzentrum und der Nationale Cybersicherheitsrat eingebunden.
Probleme entstehen auf der Ebene der Koordination zwischen den Ministerien und Einrichtungen, der Hauptgrund hierfür sind die unklaren Regelungen, welche Institutionen welche Zuständigkeiten bezüglich der Cybersicherheit haben. Kritisch sieht der Wissenschaftler auch die bisherige Dominanz des BMI, da andere Ministerien wie beispielsweise das BMVg, gemessen an ihrer sicherheitspolitischen Bedeutung, nur sehr wenige Akzente in der Cybersicherheit setzen.
Operativ agieren die Behörden in den Bereichen Kriminalitätsbekämpfung (BKA), der Spionageabwehr (BND, BfV), der Abschirmung von Regierungsnetzwerken (BSI) und der militärischen Arbeitsfelder („Kommando Strategische Aufklärung“ der Bundeswehr). Ein Hauptdefizit für die Arbeit dieser Einrichtungen ist der Mangel an qualifizierten IT-Fachkräften, was sich langfristig verheerend auf die operativen Fähigkeiten der Behörden entwickeln könnte. Imageprobleme und der herrschende Fachkräftemangel, auf den die freie Wirtschaft flexibler reagieren kann, verschärfen das Nachwuchsproblem, daher sind Investitionen in den personellen und technischen Ausstattungen unabdingbar.
Das Nationale Cyberabwehrzentrum (NCAZ)
Das NCAZ, gegründet im Jahr 2011, wurde als Beratungsgremium zur Erfassung und Analyse von Angriffen aus dem Cyberspace konzipiert. “Ziel ist es, die operative Zusammenarbeit der relevanten staatlichen Stellen zu optimieren und die Schutz- und Abwehrmaßnahmen gegen IT-Vorfälle besser zu koordinieren”, so das Bundesinnenministerium. Das NCAZ bündelt die Informationen zu Angriffen, die nach den jeweiligen Zuständigkeiten dann bewertet werden. Das BSI analysiert die technischen Aspekte des Angriffs, der BND überprüft die Herkunft und ob ausländische Nachrichtendienste den Angriff koordinierten und schließlich beurteilt das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BKK), inwiefern eine Gefährdung für diverse kritische Infrastrukturen vorliegt.
Das ambitionierte Projekt lässt nach Expertenmeinung jedoch Wünsche offen. Der Bundesrechnungshof rügt das Gremium als „nicht gerechtfertigt“. Recherchen verschiedener Medienhäuser zufolge kamen die Rechnungsprüfer zum Ergebnis, dass die Konzeption „nicht geeignet [sei], die über die Behördenlandschaft verteilten Zuständigkeiten und Fähigkeiten bei der Abwehr von Angriffen aus dem Cyberraum zu bündeln“. Auch stellen sich Fragen nach der Effektivität, da die Einrichtung lediglich zehn feste Mitarbeiter beschäftigt. Experten forderten mindestens das Zehnfache an Mitarbeitern. Das BMI spricht von 900 IT-Sicherheitsvorfällen, die im Zeitraum zwischen April 2011 und März 2013 bewertet wurden, doch scheint diese Zahl angesichts von sieben ernsten Hackerangriffen pro Tag allein auf die Bundesregierung nicht effektiv.
Auf Anfrage von politik-digital, bezüglich möglicher Konsequenzen in der Organisation des NCAZ teilt das Bundesministerium des Inneren mit: „Erste Maßnahmen zur Verbesserung der Organisation und der Aufgabenwahrnehmung wurden zusammen mit den im Cyber-Abwehrzentrum vertretenen Behörden unternommen. Auch wurde die Evaluierung und Weiterentwicklung des Cyber-Abwehrzentrums zwischenzeitlich intensiviert.“ Außerdem sei die Fortentwicklung des Abwehrzentrums ein kontinuierlicher Prozess, „bei dem neue Bedrohungen aber auch veränderte Rahmenbedingungen wie das IT-Sicherheitsgesetz berücksichtigt werden müssen“. Die einzelnen Vorgänge und Maßnahmen wurden nicht konkretisiert.
Zusätzliche finanzielle und personelle Mittel für das BKA, das BfV und den BND sollen den wachsenden Aufgabenbereich abfedern, inwieweit das strukturelle Mängel beseitigen kann bleibt abzusehen, die Opposition steht diesen Regelungen mit großen Vorbehalten gegenüber.
Cyber-Mittelmacht Deutschland
Der Angriff auf das IT-Netz des Deutschen Bundestags legt die Wunden erneut offen. Die Regierung habe die Probleme „verschnarcht“ kommentiert der netzpolitische Sprecher der Grünen Konstantin von Notz. Die Zuständigkeiten der Behörden erschweren eine Löung, denn bei der Sicherung des Bundestagsnetzwerks beharrt der Bundestag auf seinen Zuständigkeitsbereich. Die Parlamentarier stehen einereiner Mithilfe durch das Bundesamt für Verfassungsschutz skeptisch gegenüber, weil sich dann die Legislative in einem sensiblen Punkt in die Hände einer exekutiven Behörde begibt.
Ein Fazit zur Cybersicherheitspolitik mit den Worten des Forschers Kullik: „Deutschland kann […] bestenfalls als eine sich entwickelnde Cyber-Mittelmacht bezeichnet werden, dessen vorhandene Cyberfähigkeit momentan weit hinter den Möglichkeiten der USA, Chinas, Russlands, Großbritanniens und vermutlich auch Frankreichs und Israels zurückstehen.“
Bild: Tom Raftery (CC BY-NC-SA 2.0)
[…] Dieser Beitrag erschien zuerst bei politik-digital.de […]