Cybersicherheit nachhaltig ausrichten

Deutschland verfolgt seit Jahren einen präventiven Ansatz zur Cybersicherheit, bei dem der Schwerpunkt auf der technologischen Kontrolle von Sicherheitsbedrohungen im Cyberspace liegt. Als zentraler IT-Sicherheitsdienstleister des Bundes spielt das Bundesamt für Sicherheit in der Informationstechnik (BSI) eine führende Rolle in der nationalen Cybersicherheitsarchitektur.

In der öffentlichen Wahrnehmung ist die Cybersicherheit untrennbar mit den Dimensionen Datenschutz, Informationssicherheit, kritische Infrastrukturen und technologischer Diversifikation verbunden. Datenschutz wird in Deutschland besonders seit den Enthüllungen von Edward Snowden im Jahre 2013, aber auch der EU-Datenschutz-Grundverordnung (DSGVO) vom Mai 2018 und zahlreichen prominenten Datenschutzvorfällen hervorgehoben. Mit dem Aufschwung von Cyberangriffen hat sich auch das nationale Interesse an der digitalen Souveränität entwickelt. Im Zuge der fortlaufenden Digitalisierung von Verwaltungsprozessen in Deutschland und der international zu verzeichnenden IT-Anbieterkonzentration und Serviceangebote gewinnt das Schlagwort an Bedeutung und gilt als Kernkriterium in Digitalisierungsinitiativen.

Die BITKOM versteht unter Digitaler Souveränität „die Fähigkeit zu Selbstbestimmung im digitalen Raum“ (Rohleder, 2015). Besonderes Augenmerk liegt dabei auf der Rückgewinnung von Unabhängigkeit und Handlungsfähigkeit gegenüber globalen IT-Lösungen, Architekturen und Dienstleistungen, weil Kosten unkontrollierbar werden. Im Strategiepapier der Bundesregierung zur Stärkung der Sicherheits- und Verteidigungsindustrie vom Februar 2020 heißt es sinngemäß, dass die „notwendigen Schlüsseltechnologien […] von dauerhaft vertrauenswürdigen Herstellern bezogen werden [sollten], ohne dabei von Drittstaaten außerhalb der EU abhängig zu sein.“

In seinem Positionspapier vom März 2020 definiert der IT-Planungsrat digitale Souveränität als „die Fähigkeiten und Möglichkeiten von Individuen und Institutionen, ihre Rolle(n) in der digitalen Welt selbstständig, selbstbestimmt und sicher ausüben zu können“. Dabei ist die Sicherung der Herstellerunabhängigkeit durch die Unterstützung der heimischen digitalen Industrie auf einem wettbewerbsintensiveren globalen Markt nur eine Seite der Herausforderung. Die andere besteht darin, auch den steigenden Anforderungen an die Cybersicherheit, den Daten- und Geheimschutz – insbesondere im Zuge der Digitalisierung - Rechnung zu tragen. Der Bundes-CIO führt in dem kürzlich veröffentlichten 9-Punkte-Plan für ein digitales Deutschland (Juli 2020) diese Punkte weiter aus und nimmt sich der Cybersicherheit und Souveränität als Kernaufgabe an.

Nicht selten sind nationale Ansätze Reaktionen auf geopolitische Kräfteverhältnisse. 2019 wurde das Thema digitale Souveränität zuletzt stark durch die Diskussionen um chinesische Netzwerkausrüster und Geschäftsbeziehungen mit anderen meist privaten IT-Anbietern außerhalb der EU angeheizt. Sicherheitsbedenken gegen Tech-Unternehmen aus China und den USA sowie die Angst vor Spionage prägten die Debatte. Im selben Atemzug nahm das Thema Widerstandsfähigkeit (Resilienz) im Cyberraum Fahrt auf und es wurde viel über offensive Gegenmaßnahmen nachgedacht. In der Sicherheitsdebatte um den chinesischen Telekomriesen Huawei forderte beispielsweise BSI-Chef Arne Schönbohm, dass Deutschland auch die Fähigkeit haben sollte, auf Hackerangriffe aus dem Ausland mit Gegenangriffen (Hackback-Operationen) zu reagieren (Heise, 2019). Dies korreliert mit Forderungen der Bundeswehr aus 2016 man müsse sich verstärkt im Bereich der Cyberverteidigung aufstellen (BMVg, 2016).

Erinnern lässt das stark an die gegenwärtig dominante Ausrichtung in der globalen Cybersicherheitspolitik: Da wäre zum einen die US-amerikanische oder israelische Ausrichtung, die sich die Nutzung von offensiven Cyberoperationen in Ergänzung zu defensiven Maßnahmen zu eigen macht. Daneben stehen andere dominante Strömungen, die vorwiegend offensive Cyberoperationen zum Schaden des Gegners und der Überwachung der eigenen Bevölkerung ohne besonderen Fokus auf defensive Maßnahmen nutzen. Staaten wie China, Russland und VAE haben eine lange Historie in dieser Ausrichtung (Schulze, 2020).

Zentrale Herausforderung im Kontext Cyber-Attacken ist meist die Attribution, sprich die Nachweisbarkeit von Attacken. Angriffe erfolgen häufig unterschwellig, konterkariert und sind nur schwer attributierbar - gerade, wenn Kommunikationsschnittstellen wie Proxies als Vermittler in Computernetzwerke verwendet wurden und Angriffe durch nicht-staatliche Akteure verübt werden. Ohne eindeutige Verantwortungszuschreibung besteht laut Kriegsvölkerrecht (ius ad bellum) kein Recht auf Gegenmaßnahmen (souveränes Selbstverteidigungsrecht, Artikel 51 UN-Charta).

Auch ist bislang nicht geregelt, ob Staaten für Handlungen nicht-staatlicher Akteure (z. B. politisierte und teilweise institutionalisierte patriotische Akteure) verantwortlich gemacht werden können.

Beruhigend ist, dass trotz seriöser Herausforderungen im internationalen Raum verbindliche Rechtsrahmen vorhanden sind.

Im Zuge bestehender Sicherheitsdebatten und -herausforderungen im internationalen Umfeld sollte insbesondere ein europäischer Rahmen im Umgang mit Cyberangriffen auf IT-Systeme und Kritische Infrastrukturen formuliert werden. Hier besteht das Potential in Abgrenzung von USA und Israel einerseits, und China und Russland andererseits einen europäischen Gegenentwurf, der auf Resilienz und den Fähigkeiten zum Krisenmanagement fokussiert, für die Cybersicherheit selbst zu gestalten.

Es gibt wesentliche Gründe, die für eine Stärkung der digitalen Souveränität auf nationaler Ebene sprechen. Dabei erfordert Digitale Souveränität mehr als nur Technik. Drei mögliche Handlungsoptionen zur Stärkung der digitalen Souveränität sollten berücksichtigt werden:

1.  Cybersicherheit koordinieren (6)
   Deutschland verfügt über eine vielgliedrige staatliche Cybersicherheitsarchitektur, die aus den Behörden des Bundes, der Länder und der Kommunen besteht. Der Gesetzesentwurf zum IT-Sicherheitsgesetz 2.0 (07.05.2020) bleibt bei seinem Ansatz, Verantwortung für die Sicherheit der IT in Deutschland vor allem beim BSI als unabhängige Beratungsinstanz anzusiedeln (Meister, 2020). Weitgehende Kontrollbefugnisse des BSI für den digitalen Raum sind grundlegend zu begrüßen. Mit politischem Diskurs ist allerdings zu rechnen, gerade im Hinblick auf die flächendeckende Portscans (von Industrieanlagen oder vernetzten Medizingeräten) des BSI oder die Sperrverpflichtungen von TK-Anbietern zur Verhinderung der Verbreitung gestohlener Daten. Eine mangelnde Grundabsicherung vorhandener Infrastrukturen und fehlende Anwendung bestehender Standards wird das BSI mit stichprobenartigen Überprüfungen nicht ersetzen können (Schallbruch, 2020).  
   Aufgrund vielfältiger Akteure sowie finanzieller und personeller Ressourcen ist eine Koordination auf Bundesebene und gleichzeitige Fokussierung der Aktivitäten zur Stärkung der Resilienz (digital/analog) zielführend. Neben dem Aufbau von Resilienz und den Fähigkeiten zum Krisenmanagement ist die Gewährleistung einer koordinierten Cybersicherheit Grundvoraussetzung für die Souveränität Deutschlands. Die Koordination innerhalb der Sicherheitsarchitektur muss die Potentiale der Digitalisierung nutzen.
   
   
2. Cybersicherheit mutig gemeinsam gestalten
   Vor dem Hintergrund der Grenzenlosigkeit des Cyber- und Informationsraums sollte auch auf europäischer Ebene die enge Zusammenarbeit angestrebt werden, um die Digitale Souveränität Europas gemeinsam und mutig zu stärken. Cybersicherheit lässt sich angesichts der internationalen Kräfteverhältnisse national nicht abgekapselt betrachten. Eine gemeinsame europäische Cybersicherheitspolitik und Cybersicherheitsstrategie haben massiv an Bedeutung gewonnen. Im Zuge der deutschen EU-Ratspräsidentschaft (seit Q3/2020) sollte man ein solches Vorhaben europaweit intensiv begleiten und vorantreiben. Dabei sollten u.a. auf europäischer Ebene Regeln zum staatlichen Umgang mit Sicherheitslücken vereinbart werden. Das Völkerrecht kann bei der internationalen Koordination eine Stütze darstellen, da es rechtliche Grundlagen im Umgang mit Cyber-Angriffen und staatlicher Gegenmaßnahmen bereithält.
   
   
3. Cybersicherheit messbar machen
   Der IT-Planungsrat fordert ebenfalls Abhängigkeiten zu IT-Anbietern und daraus resultierende Schmerzpunkte regelmäßig zu analysieren sowie ihre Auswirkung auf die Digitale Souveränität der Öffentlichen Verwaltung zu überprüfen. Dies ist in jedem Fall zu begrüßen, denn nationale Sicherheitsinteressen müssen auch bei Kooperationen mit IT-Anbietern gewahrt bleiben. Gerade im KRITIS-Bereich ist eine größtmögliche Herstellerunabhängigkeit essenziell. Organisationen oder Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen benötigen Handlungsspielräume, um sich vor Ausfällen oder Beeinträchtigungen nachhaltig zu schützen. Insbesondere für den KRITIS-Bereich bietet es sich an standardisierte Kriterien abzuleiten, die Organisationen befähigen gegenwärtige Abhängigkeiten zu IT-Anbietern zu evaluieren.

Die Anforderungen an die Cybersicherheit Deutschlands sind in den vergangenen Jahren im Zuge der wachsenden Bedrohung durch Angriffe auf die Cybersicherheit und zunehmenden Abhängigkeit von technologischen Monopolisten größer geworden. Der Handlungsrahmen zur Stärkung der Digitalen Souveränität auf nationaler Ebene ist abgesteckt und muss mit greifbaren Maßnahmen nun ausgestaltet werden – auch innerhalb Europas. Dafür sollte die bestehende Cybersicherheitsarchitektur entsprechend ausgerichtet werden.  
Benötigt wird ein verbindlicher Rahmen, wie IT-Systeme und Kritische Infrastrukturen des Landes gegen Angriffe auf deren Verfügbarkeit, Integrität und Vertraulichkeit geschützt werden. Es sollte dabei diskutiert werden, inwieweit man sich verstärkt im Bereich der Cyberverteidigung aufstellen sollte oder eine Abkehr vom präventiven Ansatz zur Cybersicherheit anstrebt. Ein defensiver Ansatz, der auf Resilienz und den Fähigkeiten zum Krisenmanagement fokussiert, wäre ein Gegenentwurf zu den aktuell vorherrschenden Entwürfen im internationalen Raum.