Sicherheit und Schutz der Bürger im Cyber-Raum
⟩⟩⟩ von Dorothee Frank, Behörden Spiegel
Deutschlands Strukturen sind im Sicherheitssektor noch nicht ganz im digitalen Zeitalter angekommen. Der Verbrecher schleicht nicht mehr durch die Dunkelheit und der Feind überschreitet nicht mehr in Uniform die Grenze. Was bleibt, ist allerdings das Grundrecht des Bürgers auf Sicherheit, die der Staat zu gewährleisten hat. Nur mit welchen Akteuren?
Die Grenzen verschwimmen im Cyber-Raum. Angriffe sind nicht immer klar als solche zu erkennen. Hinzu kommt eine neue Verwundbarkeit. So stellte Dr. Haya Schulman, Abteilungsleiterin Cybersecurity Analytics und Defences beim Fraunhofer SIT die Frage, ob Deutschland sich nicht in neue Abhängigkeiten begebe. Die meiste Hardware käme aus China, die meiste Software aus den USA. Digital gesehen sei Deutschland nicht mehr souverän.
Stefan Vollmer, Direktor Cyber Strategy bei der ESG Elektroniksystem- und Logistik-GmbH, sah in der heutigen globalisierten Welt allerdings auch nicht mehr die Notwendigkeit, oder Möglichkeit, dass wirklich alles Made in Germany ist. Es gelte vielmehr, Schlüsselfähigkeiten in angebrachtem Maßstab zu erhalten, auch durch gezielte Auftragsvergabe oder Förderprogramme. Deutschland habe gute Fähigkeiten und Kräfte, sowohl in der Industrie als auch in Wissenschaft und Forschung. Diese gelte es in vernünftigem Maß zu fördern.
Die Abhängigkeit von ausländischen Herstellern wird sich nicht auflösen lassen. Europa wird nie so günstig produzieren können wie China, der Markt gibt den Aufbau von Knowhow in diesem Bereich dementsprechend nicht her. Schließlich bringen nicht die Aufträge aus dem Öffentlichen Dienst die Milliarden in Forschung und Entwicklung, sondern die Konsumenten.
Somit muss der Fokus darauf liegen, sich das Knowhow so weit zu erhalten, dass die Technologien in Bezug auf ihre Sicherheit geprüft und zugelassen werden können. Hinzu kommen deutsche Sicherheitsapplikationen oder -systeme, welche der ausländischen Hard- und Software übergestülpt werden können, um beispielsweise die sichere Kommunikation zwischen den Behörden zu gewährleisten. Die Resilienz der Systeme ist demnach von entscheidenderer Bedeutung als die Herkunft.
Verschiedene Zuständigkeiten
Ein weiteres Problem der staatlichen Sicherheitsakteure im Cyber-Raum ist die schwierige Verfolgbarkeit der Angreifer. Ob diese von staatlichen Stellen aus gesteuert werden oder aus der Organisierten Kriminalität kommen, lässt sich oft nicht nachvollziehen. Dabei sehen die deutschen Gesetze vor, dass der Bundesnachrichtendienst nur dann tätig wird, wenn Spionageversuche von Staaten initiiert wurden. Während beispielsweise der Verfassungsschutz allen Arten von Industriespionage nachgeht. Sollte der Verursacher eines Angriffes aus dem Ausland die Organisierte Kriminalität oder Kriminelle Banden sein, nimmt sich die Polizei der Sache an. Sind die Angreifer militärischen Ursprungs, ist es eine Angelegenheit der Bundeswehr.
Wie die Bundeswehr sich aufgestellt hat, beschrieb unter anderem Brigadegeneral Jens-Olaf Koltermann, Unterabteilungsleiter Cyber/Informationstechnik, Bundesministerium der Verteidigung (BMVg). Das BMVg habe 2017 mit der Aufstellung des neuen Organisationsbereiches “Cyber- und Informationsraum” zum einen anerkannt, dass der Cyber-Raum neben Land, Luft und See ein eigenständiger Aktionsraum geworden ist. Und dieser Erkenntnis sei mit der Aufstellung von Kräften speziell für diese Dimension Rechnung getragen worden. Deutschland habe hier als eines der ersten Länder auf die neue Bedeutung der digitalen Welt reagiert, mittlerweile gebe es ähnliche Strukturen in der NATO und mehreren Staaten.
Während in der Bundeswehr also die Cyber-Kräfte gebündelt würden, gebe es in Deutschland bei der Cyber-Sicherheitsvorsorge unterschiedliche Zuständigkeiten. “Im Innenministerium haben wir den Anteil Cyber-Abwehr. Wir haben dann im Außenministerium den Anteil Cyber-Außenpolitik. Und der Anteil, den ich vertrete, also das Verteidigungsministerium und die Bundeswehr, ist die Cyber-Verteidigung”, beschrieb Brigadegeneral Koltermann gegenüber dem Behörden Spiegel. Die Zusammenarbeit zwischen diesen Ressorts sei allerdings nichts Neues und laufe sehr eng und vertrauensvoll. “Das alles wird gemacht, damit wir im Prinzip selbstbestimmt und souverän mit unserem Land im Cyber-Raum wirken können und auch bestehen können.”
Erheblicher Aufwand für die Sicherheit
Zur Frage, wie Deutschland im Cyber-Raum aufgestellt ist, sagte Hans-Ulrich Schade, Direktor und Leiter, Zentrum für Cyber-Sicherheit der Bundeswehr, dass besonders die Bundeswehr sehr gut aufgestellt sei. “Wir betreiben aber auch einen erheblichen Aufwand.” Die Netze der Bundeswehr seien ein relativ geschlossenes Gebilde, das mit Sensoren kontrolliert würde. Die Bundeswehr bewege sich damit allerdings bereits in einer “Grauzone” bezogen auf den Datenschutz. Viele Dinge seien dem Nutzer aus dem Netz der Bundeswehr heraus zudem gar nicht möglich, beispielsweise das Aufrufen von eBay oder Amazon.
Dieses Abschotten kann sich zwar eine Bundeswehr, ein BMVg und wahrscheinlich auch ein BMI leisten, nicht aber die Industrie und schon gar nicht deren Nutzer der Plattformen. Eine besondere Herausforderung stellt nach diesen Prämissen der Schutz der Kritischen Infrastrukturen dar, wo nicht nur die staatlichen Akteure, sondern auch Industrien und wirtschaftliche Interessen und die Bürger zusammenkommen. Schließlich stellt der Bürger an die Industrie die Vorgabe, dass Technologien einfach nutzbar sind. Vom Staat kommt die Vorgabe, dass sie unter keinen Umständen kompromittierbar sein dürfen. Und im Eigeninteresse des Konzerns liegt das Weiterbestehen, was eine grundlegende Gewinnmarge bedingt. Die Angriffe werden dabei immer professioneller.
“Wenn jemand gehackt wurde, wir sollten Abstand davon nehmen den Vorwurf zu machen, der ist selber schuld daran”, betonte Dr. Dirk Häger, Abteilungsleiter Operative Cyber-Sicherheit beim Bundesamt für Sicherheit in der Informationstechnik. „Es ist ein echtes Problem. Die Leute wollen im normalen Geschäftsfeld Geld verdienen und machen IT dabei.” Daraus ergab sich für Häger die Frage: “Ist die IT vielleicht zu kompliziert, zu fehlerhaft? Müsste man nicht eigentlich auf Seiten der Hersteller irgendwo etwas rüberbringen, um es dem Anwender einfacher zu machen?” Womit sich der Kreis im Grunde wieder zurück zu dem Punkt dreht, woher die Hard- und Software eigentlich stammt und welchen Einfluss Deutschland auf die herstellenden Unternehmen nehmen könnte. Gewissermaßen das Henne-Ei-Problem der IT, das sich im jetzigen bereits begonnenen Digitalzeitalter nicht mehr lösen lässt. Zu integriert sind bereits die amerikanischen und chinesischen Technologien. Somit bleibt nur der Weg, darin waren sich die Experten einig, die IT-Security als Schlüsseltechnologie zu fördern, so dass Deutschland hier weiterhin mit an der Weltspitze steht. Dadurch kann die staatliche Souveränität erhalten bleiben, obwohl in einer globalisierten Welt nicht alles aus dem eigenen Land stammt.