Evaluation der Cyber-Sicherheitsstrategie für Deutschland 2016

Beitrag

Am 23. Juli 2020 bat das Bundesministerium des Innern, für Bau und Heimat um Mitwirkung der „Gesellschaft und Wirtschaft“ bei der Evaluation der Cyber-Sicherheitsstrategie 2016. Frist für Einreichung beim Ministerium war der 7. August 2020. Als Basis diente der folgende Fragebogen:


1. Welche Schwerpunktthemen und Ziele der CSS 2016 haben sich bewährt? Welche Verabredungen, Strukturen und Maßnahmen wirkten sich positiv auf die Zielerreichung aus?

Die Handlungsfelder sind sehr generisch (Anwender, Wirtschaft, Behörden, Internationales) und daher schwer zu kritisieren. Generell sind die Bereiche Gesellschaft (hier: Anwender), Wirtschaft und Behörden sinnvoll. Hinzukommen sollte der Bereich Wissenschaft, während in allen Bereichen dann auch die internationale Komponente berücksichtigt werden sollte, als Querschnittsthema, statt es als separaten Bereich auszuweisen.

Wegen einem Mangel an konkreten Erfolgskriterien und öffentlich verfügbarer Informationen (z. B. was machen die „Cyber-Teams“ von BfV und BND, wie ist der Stand beim „deutschen Institut für internationale Cyber-Sicherheit“, o. ä.) ist die Beurteilung der Einzelmaßnahmen schwer bis unmöglich vorzunehmen. Positiv hervorzuheben wären – lediglich auf Basis von anekdotischer Evidenz - z. B.:

„Die Fähigkeit zur Analyse und Reaktion vor Ort stärken“ (Mobile Incident Response Teams des Bundesamts für Sicherheit in der Informationstechnik)

„Zwischen Bund und Ländern eng zusammenarbeiten“ (Verbindungsbüros des Bundesamtes für Sicherheit in der Informationstechnik)

Natürlich könnten Einzelmaßnahmen wie z. B. „Gründung der Zentralen Stelle für Informationstechnik im Sicherheitsbereich (ZITiS)“ als positiv beschieden werden, da die Gründung stattgefunden hat. Die lange Personalsuche, der Mangel an öffentlichen Erfolgen und anekdotische Evidenz bzgl. mangelnder Produkt- und Dienstleistungslieferungen an Sicherheitsbehörden – der Hauptaufgabe von ZITiS – würden aber auf das Gegenteil hindeuten.

Die Bundesregierung stellt nicht ansatzweise ausreichend öffentliche Informationen bereit, um eine sinnvolle Beurteilung vornehmen zu können.

2. Welche Schwerpunktthemen und Ziele der CSS 2016 erachten Sie als erreicht bzw. für überholt und bedürfen nach Ihrem Kenntnisstand zukünftig weniger Beachtung?

Alle Aspekte die sich mit der Verteidigungspolitik beschäftigen (u. a. „Verteidigungsaspekte der Cyber-Sicherheit  stärken“, „Die Cyber-Verteidigungspolitik der NATO weiterentwickeln“) oder statt IT-Sicherheit die Stärkung der öffentlichen Sicherheit adressieren (u. a. „Gründung der Zentralen Stelle für Informationstechnik im Sicherheitsbereich“) sollten keine(!) Beachtung in einer Cybersicherheitsstrategie finden. Dies sind Aspekte die teilweise oder komplett der Cybersicherheit Deutschlands entgegenlaufen und sollten in separaten Dokumenten adressiert werden. Vgl. z.B. https://www.spiegel.de/netzwelt/netzpolitik/it-sicherheitsgesetz-bundesi...

Diese Aspekte könnten z. B. im Weißbuch des BMVg oder einer nationalen Strategie für öffentliche Sicherheit adressiert werden. Innerhalb der Cybersicherheitsstrategie verwässern sie die Unterscheidung zwischen defensiven und offensiven Maßnahmen zu stark und sind daher einer strategischen Betrachtung abträglich.

Weiterhin gilt „Die Bundesregierung stellt nicht annähernd ausreichend Informationen bereit, um eine sinnvolle Beurteilung vornehmen zu können“ (vgl. Antwort auf Frage 1).

3. Welche Schwerpunktthemen und Ziele sind seit der Fortschreibung der CSS im Jahr 2016 aus Ihrer Sicht hinzugekommen und bedürfen einer zusätzlichen Erwähnung? Welche Verabredungen, Strukturen und Maßnahmen können Staat, Gesellschaft und Wirtschaft festlegen und vereinbaren um die von Ihnen genannten Ziele zu erreichen?

Die unten genannten Aspekte sind nicht „hinzugekommen“, sondern wurden von der CSS2016 lediglich ignoriert und stellen eine Auswahl an Themen dar.

  1. IT-Sicherheit von Maschinellem Lernen, s. https://www.stiftung-nv.de/sites/default/files/securing_artificial_intelligence.pdf
  2. Technisch-politischer Rahmen für die strategische Beantwortung von Cyberoperationen mit staatlichem Hintergrund; unter Beachtung bilateraler und multilateraler (v. a. EU) Rahmenbedingungen und Kooperationsmöglichkeiten.
  3. Schutz der politischen Parteien und Wahlinfrastrukturen vor Cyberoperationen, s. https://www.stiftung-nv.de/sites/default/files/der_schutz_von_wahlen_in_vernetzten_gesellschaften.pdf
  4. Stärkere (fachliche) Unabhängigkeit des Bundesamts für Sicherheit in der Informationstechnik vom Bundesministerium des Innern, für Bau und Heimat.
  5. Der Präsident des Bundesamtes für Sicherheit in der Informationstechnik sollte als Chief Information Security Officer (CISO) des Bundes ernannt werden und damit nicht der inhaltlichen Weisungsbefugnis des Bundes-CIO unterstellt sein.
  6. Staatliche IT-Sicherheitsdienstleisungen (z. B. SES und SPS) als Public-Private-Partnership zum besseren Schutz u. a. von Kleinen und mittelständischen Unternehmen.
  7. Stärkerer Fokus auf die Implementierung und Evaluierung von Maßnahmen zur Stärkung der Resilienz.
  8. Zusammenarbeit zwischen Zivilgesellschaft und Staat (und anderen Akteuren) stärken/schaffen – der Nationale Pakt für Cybersicherheit ist ein Beispiel dafür, wie man es nicht machen sollte (vgl. https://background.tagesspiegel.de/digitalisierung/nationaler-pakt-cybersicherheit-nur-opium-fuers-volk)
  9. Der Cyber-Sicherheitsrat muss transparenter arbeiten und Vertreter:innen der Zivilgesellschaft permanent mit einbeziehen. Ein Koordinator für Cybersicherheitspolitik mit Vortragsrecht im Bundeskanzleramt sollte diskutiert werden.
  10. Fachkräftemangel in der öffentlichen Verwaltung adressieren. Die starren Strukturen, wie das hierarchisch organisierte Laufbahnrecht, die Bevorzugung von Generalisten und Juristen und traditionelle Arbeitsformen in nicht-interdisziplinären Teams in der Verwaltung,  verhindern eine Karriere für IT-Spezialist:innen innerhalb des Öffentlichen Dienstes attraktiv zu gestalten. (vgl. https://www.stiftung-nv.de/sites/default/files/it-sicherheitsfachkraeftemangel.pdf)
  11. U. v. m.

4. Welche weiteren Änderungen an der CSS würden Sie begrüßen?

Folgende strukturelle Änderungen sollten vorgenommen werden:

1. Statt einem Sammelsurium von Maßnah[m]en aus den unterschiedlichen Behörden, sollte die Strategie, eine wirkliche Strategie sein – d. h. eine strategische Ausrichtung vorgeben.

a) Dies beinhaltet sowohl eine Diskussion über die zivil-militärische, als auch die offensiv-defensive Unterscheidung, vis-à-vis der Bereiche Kriminalität, nachrichtendienstliche Aktivitäten und militärische Maßnahmen. Gem. Antwort auf Frage 2 sollte hier bzgl. der zivil-militärischen Betrachtung eine möglichst klare Abgrenzung getroffen werden – Betrachtungsdimension für die Strategie sollte die nicht-militärische Domäne sein.

b) Optimalerweise würde die deutsche Bundesregierung hiermit den Grundstein für eine defensiv-resiliente Strategie legen, die sowohl andere EU-Mitgliedsstaaten, als auch andere Staaten sich zum Vorbild nehmen könnten. Es würde hiermit einen wichtigen Gegenpol zu den offensiven Strategien u. a. der Vereinigten Staaten bilden.

c) Dies beinhaltet weiterhin eine Ausarbeitung der zu erreichenden Cybersicherheitsarchitektur, inklusive einem Umbau des Cyberabwehrzentrums, des Cybersicherheitsrats und einer stärkeren inhaltlichen Unabhängigkeit des BSIs.

2. Sollte die Bundesregierung an dem Format „Maßnahmenpaket“ als Strategie festhalten, ist es notwendig den Erfolg der Umsetzung messbar zu machen.

a) Dies beinhaltet konkrete Erfolgsindikatoren, die bereits im Maßnahmenpaket genannt werden.

b) Weiterhin beinhaltet dies eine reguläre (z. B. einmal im Jahr) Fortschrittsmessung (vgl. UP Bund), die auch veröffentlicht wird.

c) Nach einem vorher zu definierenden Zeitraum sollte es eine verbindliche Evaluation durch ein unabhängiges Expert:innengremium geben.

d) Federführung sollte hier der Cyber-Sicherheitsrat haben, da dies – eigentlich - seine raison d’être ist.

3. Die deutsche CSS2021 sollte zwingend mit der ENISA Strategie 2020 „A Trusted and Cyber Secure Europe“ und der „Security Union Strategie“ 2020 der Europäischen Kommission harmonisieren.

Weitere Informationen (Auswahl):

- Sven Herpig (2019): Stellungnahmen zur deutschen Cybersicherheitspolitik im Bundestagsausschuss für Inneres und Heimat,
https://www.stiftung-nv.de/de/veranstaltung/innenausschuss-zu-it-sicherheit

- Sven Herpig (2020): „Strategieunfähig: Deutschland braucht eine Resilienzstrategie 2020“, https://www.youtube.com/watch?v=qTRmKHoRSZo&feature=youtu.be

- Sven Herpig und Rebecca Beigel (2020): „Akteure und Zuständigkeiten in der deutschen Cybersicherheitspolitik“, https://www.stiftung-nv.de/de/publikation/akteure-und-zustaendigkeiten-d...

5. Welche Anregungen haben Sie für den anstehenden Fortschreibungsprozess?

Es wird angeregt, dass das BMI eine Reihe von interdisziplinären, inklusiven Workshops mit Teilnehmer:innen aus Politik, Wissenschaft, der Zivilgesellschaft und der Industrie durchführt, um die neue Cybersicherheitsstrategie zu erstellen. Als Unterbau könnten hierfür Arbeitsgruppen dienen, die nicht nur dafür sorgen würden, dass die Cybersicherheitsstrategie 2021 gut wird (inhaltlich, inklusiv, strategisch ..), sondern nach Veröffentlichung auch die Unterstützung – u. a. bei der Umsetzung - der unterschiedlichen Sektoren erfährt. Siehe z. B. https://www.springerprofessional.de/transatlantic-cyber-forum-cooperating-on-borderless-cyber-securi/17496896 und https://www.homeaffairs.gov.au/about-us/our-portfolios/cyber-security/strategy

Bei der Einbindung der Zivilgesellschaft und der Wissenschaft in öffentliche Konsultationen, Workshops, Arbeitsgruppen und Umfragen wie dieser hier, müssen angemessene Fristen gesetzt werden. Zivilgesellschaft und Wissenschaft sind im Vergleich zu Behörden und Wirtschaftsunternehmen nicht mit den Ressourcen ausgestattet um nebenher in kurzer Zeit substantiell mitarbeiten zu können.

Weiterhin bleibt anzumerken, dass es unredlich ist, zivilgesellschaftlichen Vertreter:innen mitten in der Sommerpause eine nicht mal dreiwöchige Frist für die Evaluation einer Strategie zu geben – deren Umsetzung ohne weiterführende Informationen und Erfolgsindikatoren von außen nur sehr schwer zu beurteilen ist. Ein weiterführender Dialog und die anhaltende Einbindung zivilgesellschaftlicher Akteure in die Evaluationsmaßnahmen ist daher entscheidend.

Deutschland ist in Bezug auf Cybersicherheitspolitik bisher strategieunfähig. Es ist daher elementar zuerst zu klären, wie sich Deutschland strategisch positionieren will. Der Fokus auf eine zivile, Resilienz- und IT-Sicherheits-orientierte Strategie wäre sinnvoll. Diese Positionierung ist nicht nur für den Entwurf der Strategie, sondern auch für die Einbettung in das internationale System und die Strategien anderer Staaten und der Europäischen Union zwingend notwendig.

 

Kontakt

Dr. Sven Herpig
Leiter „Internationale Cybersicherheitspolitik“ bei der Stiftung Neue Verantwortung e. V.

 

06. August 2020
Ansprechpartner:in: 
Themen: