Lunch-Briefing: Wer macht was in der deutschen Cyber-Sicherheitspolitk?

Es handelt sich um ein Transkript der Veranstaltung "Lunch-Briefing: Wer macht was in der deutschen Cyber-Sicherheitspolitk?" mit Dr. Sven Herpig vom 29.8.2018 in der Stiftung Neue Verantwortung. Der Text wurde zur besseren Lesbarkeit bearbeitet. Es gilt das gesprochene Wort.

– Beginn des Transkripts –

Stefan Heumann: Ein herzliches Willkommen bei der Stiftung Neue Verantwortung. Wir wollen ein neues Format heute starten und auch in einer gewissen Weise auch ausprobieren und zwar wollen wir digitalpolitische Themen in einem Mittagsbriefing von fünfzig Minuten herausstellen.

Mein Name ist Stefan Heumann, ich bin Mitglied im Vorstand dieser Stiftung Neue Verantwortung und den Auftakt für das neue Format, für das neue Lunch-Briefing-Format macht mein Kollege Sven Herpig mit dem Thema Cyber-Sicherheit.

Sven leitet bei uns das Themenfeld nationale und internationale Cyber-Sicherheitspolitik, war vorher für IT-Sicherheit zuständig im Auswärtigen Amt, hat in dem Bereich gearbeitet und auch beim Bundesamt für Sicherheit in der Informationstechnik, ist seit knapp zwei Jahren bei uns und hat das Transatlantische Cyber-Forum aufgebaut, ein Forum, das Cyber-Sicherheitsexpertinnen und -experten aus Deutschland und den USA zusammenbringt. Die haben auch gerade erste Papiere veröffentlicht, zum Beispiel ein spannendes Papier zum Thema staatliches Schwachstellenmanagement, das ich Ihnen auch allen empfehlen möchte.

Sven Herpig: Super, Stefan. Vielen Dank. Ja, auch herzlich willkommen von meiner Seite aus. Schön, dass Sie alle Ihren Weg hierher gefunden haben.

Wir wollen heute über Cyber-Sicherheitsarchitekturaufgaben in der deutschen Cyber-Sicherheitspolitik reden. Ein ganz wichtiger Punkt, mit dem ich gerne anfangen möchte, der vielleicht ein bisschen theoretisch ist für zwei Minuten, ist, warum heißt es jetzt eigentlich Cyber- und nicht mehr IT-Sicherheit? Der Punkt ist, Cyber ist halt nur mehr als IT-Sicherheit. IT-Sicherheit kennen wir als den Schutz der Daten vor Veränderung, davor, dass sie veröffentlicht werden, wenn sie nicht veröffentlicht werden sollen, und dass Daten verfügbar sein müssen, wenn sie verfügbar sein sollen. Das sind diese drei Kernziele der IT-Sicherheit.

Im Bereich Cyber-Sicherheit bringen wir noch viele andere Bereiche mit rein, die politische Sphäre, die juristische Sphäre, aber auch die sozialpsychologische Sphäre. Wie sollen Organisationen aufgebaut sein? Wie soll Cyber-Sicherheit vermittelt werden? Wie werden Prozesse implementiert, und so weiter? All das, wenn man das zusammennimmt, kommt man von dieser technischen Definition von IT-Sicherheit zum Thema Cyber-Sicherheit.

Ein Schritt, der noch weiter gemacht wurde, seitdem 2016 von der Bundesregierung die Cyber-Sicherheitsstrategie für Deutschland verabschiedet worden ist, war, dass man jetzt Cyber-Sicherheit nicht mehr nur als IT-Sicherheit plus die anderen Domänen mit annimmt, sondern dass man das auch noch erweitert in, Cyber-Sicherheit kann auch heißen IT-Unsicherheit. Also das heißt zum Beispiel, wenn das BKA, das Bundeskriminalamt den Bundestrojaner einsetzen möchte, um damit auf System zuzugreifen von Kriminellen, von Terroristen, dann ist das nicht IT-Sicherheit, keine Förderung der IT-Sicherheit sondern eine Förderung der öffentlichen Sicherheit (hoffentlich) unter Ausnutzung von IT-Unsicherheit.

Also ganz wichtig, Cyber-Sicherheit ist mittlerweile ein Begriff, der in Deutschland so verwendet wird, dass er sowohl die IT-Sicherheit stärkt als auch die IT-Sicherheit manchmal eben schwächt. So wird er jedenfalls von unserer Regierung seit 2016 verwendet.

Was sind die Kernziele der deutschen Cyber-Sicherheitspolitik? Hinter mir sehen Sie die deutsche Cyber-Sicherheitsarchitektur. Ich muss hinzufügen, es ist nur die staatliche und auch nur die nationale. Wir haben unten angefangen, auch die Länderebene mit einzubauen, aber da ist weder die europäische noch die internationale Ebene vertreten, zum Beispiel die NATO ist nicht dabei und andere Akteure. Nicht-staatliche Akteure haben wir nur dann aufgenommen, wenn sie direkt von staatlichen Mitteln profitieren. Das heißt, diese Grafik, die in den Medien wahlweise als norwegischer Strickpullover oder als Wimmelbild beschrieben worden ist, soll nur verdeutlichen, wie viele Akteure sich alleine schon auf staatlicher Ebene damit beschäftigen. Und uns ist bewusst, dass es keine vereinfachende Darstellung ist, sondern einfach mal eine erste grafische Darstellung, weil wir gesagt haben, okay, eigentlich müssten die Bundesregierung und die Ministerien doch wissen, was bei ihnen vorgeht und welche Akteure beteiligt sind, eigentlich müssten die so eine Grafik haben. Das hat auch zu sehr viel Zuspruch in den Behörden geführt, die sich gefreut haben.

Was sind also die vier Kernziele der deutschen Cyber-Sicherheitspolitik? Das erste Kernziel ist Prävention von Angriffen, das heißt, zu verhindern, dass Angriffe stattfinden können, beziehungsweise dass sie erfolgreich sind. Hierzu zählen Maßnahmen wie Systeme sicherer machen, Zertifizierung, Akkreditierung, die ganzen technischen Maßnahmen wie Firewalls, Antivirenprogramme und so weiter. Also in diesem ganzen Rahmen ist die Prävention eine der Hauptaufgaben, der ältesten Aufgaben der deutschen damals noch IT-, jetzt Cyber-Sicherheitspolitik und eben Kernbestandteil dessen, was auch heute noch erreicht und vorrangig erreicht werden soll.

Zweite Stufe ist die Detektion von Cyber-Angriffen. Also ich kann sie abwehren oder nicht, hoffentlich kann ich das, aber in jedem Fall muss ich sie detektieren können, das heißt, ich muss sehen können, dass diese Angriffe gerade stattfinden. Nur wenn das gewährleistet ist, kann ich sie gegebenenfalls zurückverfolgen, kann ich gegebenenfalls meine Systeme darauf einstellen, dass sie nicht mehr so gut angegriffen werden können, und nur dann weiß ich, was ich unternehmen muss, um mehr IT-Sicherheit herzustellen.

Dritte Säule der Cyber-Sicherheitspolitik ist die Reaktion. Ich weiß also durch meine Detektionsfähigkeiten, dass gerade ein Angriff stattfindet oder stattgefunden hat. Beispiel: Der Angriff auf das Auswärtige Amt, der im Anfang dieses Jahres veröffentlicht worden ist. Dieser Angriff hat natürlich nicht an einem Tag stattgefunden, er hat über mehrere Monate stattgefunden, über mehrere Monate, nachdem er von den Behörden detektiert worden war, wurde er auch von den Behörden bearbeitet. Das war die Reaktionsphase. Also die Präventionsphase ist gescheitert, man konnte diesen Angriff nicht verhindern, die Detektionsphase hat irgendwann gegriffen, man wusste, dass man angegriffen wird, und dann hat die Reaktionsphase gegriffen: „Wie reagieren wir auf diesen Angriff? Machen wir es dem Angreifer schwerer, lassen wir ihn ganz aus dem System raus?“ In diesem Fall hat sich die Bundesregierung beziehungsweise die zuständige Behörde offensichtlich dafür entschieden, dass sie sich angucken, was der Angreifer macht, haben ihn davon abgehalten, in besonders kritische Bereiche vorzudringen und haben versucht, dass er nicht merkt, dass er schon detektiert worden ist. Man hat ihn halt machen lassen, was er gemacht hätte, was er sowieso machen wollte, um zu erkennen, welches Muster dahintersteckt, welche Angriffsziele dahinterstecken und hat aber gleichzeitig versucht, schlimmen Schaden zu verhindern. Die Reaktionsphase.

Die vierte Säule, die auch sehr wichtig für die deutsche Cyber-Sicherheitspolitik ist, die aber bei uns, sage ich mal, noch relativ neu ist, ist die repressive Phase. Also konnte ich den Angriff verhindern? Ja/nein. Habe ich den Angriff detektieren können? Ja/nein. Wie habe ich darauf reagiert, wenn ich ihn habe detektieren können? Und dann, wenn ich ihn habe detektieren können, wie habe ich darauf reagiert? Erst mal natürlich mit Sicherheitsmaßnahmen, den Angreifer auszusperren, zu gucken, was der so macht. Die repressive Phase geht dann da über Vergeltung. So, was mache ich da? Schlage ich zurück, wie schlage ich zurück, welche Möglichkeiten habe ich, was bringt mir das, wie mache ich das technisch? Und wir haben ja diese Debatte in Deutschland, kommen wir vielleicht später noch darauf, diese aktive Cyber-Abwehr. Da will ich jetzt gerade nicht so viel darauf eingehen, aber der Punkt ist, repressive Maßnahmen können natürlich immer technisch sein, die können aber auch politisch sein, zum Beispiel Diplomaten ausweisen oder einen Gesandten einbestellen, sie können auch wirtschaftlich sein, indem Sanktionen verschärft werden, neue Sanktionen verhängt werden und so weiter.

Diese vier Phasen (Prävention, Detektion, Reaktion, Repression) sollten die Säulen jeder Cyber-Sicherheitspolitik sein – in Deutschland sind sie es auch. Dann gucken wir uns an, okay, diese drei Säulen haben aber noch einen Querschnitt und dieser Querschnitt sind die drei Bereiche, in denen er greift, der erste Bereich ist der Staat: das sind Regierungsnetze, Computer unserer Auslandsbediensteten, der Diplomaten, der Bundeswehr im Ausland. Alles, was Regierungsnetze sind auf Bundesebene, auf Landesebene, auf lokaler Ebene, all das fällt unter Staat.

Dann haben wir parallel dazu die zweite Querschnittsebene. Dazu zählt natürlich der Schutz der Wirtschaft. Da kann man dann noch mal verschiedene Ebenen einziehen, wenn man möchte. Wir haben es mit dem IT-Sicherheitsgesetz getan, das heißt, besonderer Schutz der kritischen Infrastrukturen, die essentiell sind für den Erhalt der öffentlichen Ordnung in Deutschland. Es gibt dann noch eine lose Definition der INSIs, also der Institutionen im besonderen staatlichen Interesse, die auch noch in der Wirtschaft angesiedelt sind, wo auch noch bestimmte besondere Sicherheitsaspekte berücksichtigt werden.

Und dann haben wir die Zivilgesellschaft als Querschnittsebene, das heißt, die Bürgerinnen und Bürger Deutschlands, die natürlich auch vor Cyber-Angriffen geschützt werden sollen. Auch da greifen alle vier Säulen.

Der Schwerpunkt in Deutschland hat sich innerhalb der vier Säulen von Prävention langsam hin zur Repression entwickelt. Das heißt nicht, dass wir Prävention aufgegeben haben, sondern dass die anderen Säulen dazugekommen sind, spätestens seit dem letzten Jahr mit der Schaffung des Cyber-Kommandos in der Bundeswehr, mit der aktuellen Debatte um diese aktive Cyber-Abwehr oder Hackbacks, mit der Schaffung der Zentralen Stelle für Informationstechnik im Sicherheitsbereich (ZITiS), die ja die Bundesbehörden mit Werkzeugen ausstatten soll, wie sie selber zum Beispiel Bundestrojaner einsetzen können. Spätestens seit 2017 hat man feststellen können, dass wir uns auch im repressiven Bereich mehr und mehr in Deutschland aufstellen.

Wenn wir uns jetzt die drei horizontalen Linien angucken, also Staat, Wirtschaft, Gesellschaft, dann hat der Staat, seitdem er angefangen hat, Cyber-Sicherheitspolitik zu betreiben, natürlich erst einmal sich selber geschützt, er hat angefangen, die staatlichen Netze sicherer zu machen, dann kam die Unterstützung der Wirtschaft dazu und schließlich kommt so langsam auch die Unterstützung der Bürgerinnen und Bürger dazu. Natürlich gibt es auch für die Bürgerinnen und Bürger schon seit vielen Jahren erste Handreichungen, wie man sich besser schützt, aber das proaktive Auf-den-Bürger-Zugehen, das jetzt wie im Koalitionsvertrag auch verankerte Thema Verbraucherschutz in der IT-Sicherheit, all das sind auch Themen, die gerade erst greifen.

2017/'18 war ganz klar im Fokus der repressiven Maßnahmen, aber wir haben natürlich auch präventive und andere Maßnahmen, die gerade verstärkt diskutiert werden, wie zum Beispiel die Zertifizierung von Produkten.

Kommen wir kurz dazu, welche Ministerien in Deutschland eigentlich am wichtigsten sind. In Deutschland gibt es zwei Ministerien, die hier besonderes Augenmerk finden, das ist einmal das Bundesministerium des Innern, für Bau und Heimat, das BMI, und dann natürlich das Bundesministerium der Verteidigung für den militärischen Bereich. Wer gerade eben die Pressekonferenz des Innenministers und der Verteidigungsministerin zum Thema Aufbau einer neuen Agentur verfolgt hat – da kommen wir vielleicht auch später dazu – der wird sehen, dass sich auch die Verteidigungsministerin des Öfteren mal sehr stark zu Innenpolitik äußert und weniger zu Verteidigungspolitik im Cyber-Raum. Daran wird klar, dass diese Aufteilung zwischen, was ist eigentlich Verteidigungspolitik im Cyber-Raum und was ist eigentlich Innenpolitik im Cyber-Raum, in Deutschland auch noch nicht ganz klar ist und dass wir da auch noch ein paar Schritte zu gehen haben.

Andere Ministerien, die zu den aktiveren gehören, also gewissermaßen das zweite Level unter dem Innenministerium und dem Verteidigungsministerium, sind das Auswärtige Amt, das Bundesministerium für Justiz- und Verbraucherschutz, das Bundesministerium für Wirtschaft und natürlich das Bundesministerium für Bildung und Forschung, aber generell befassen sich alle Ministerien mittlerweile mit irgendeinem Thema aus dieser Querschnittsmenge.

Kommen wir zu den nachgeordneten Behörden. Ich glaube, es lässt sich in dieser Grafik relativ unschwer verstecken, dass das Bundesamt für Sicherheit in der Informationstechnik, hier eine ganz zentrale Rolle einnimmt, hier auch visuell und grafisch dargestellt, wo viele Fäden einfach zusammenlaufen in der deutschen Cyber-Sicherheitsarchitektur. Dort gibt es verschiedene Bereiche, ohne jetzt in die Details gehen zu wollen, aber alle Bereiche, zumindest von der Prävention, Detektion und Reaktion für Staat, Wirtschaft und Gesellschaft, all diese Säulen und horizontalen Ebenen werden dort eben betreut und Cyber-Sicherheit für diese Bereiche hergestellt.

Dann haben wir natürlich noch das Bundesamt für Verfassungsschutz, das Bundeskriminalamt, den Bundesnachrichtendienst und die eben genannte ZITiS-Behörde. Bei diesen Behörden geht es vornehmlich um repressive Maßnahmen, beim BfV und beim BND auch teilweise noch um reaktive Maßnahmen und um detektive Maßnahmen, aber nicht um präventive Maßnahmen. Das heißt, die decken eher das untere Spektrum dieser vier Säulen ab im Gegensatz zum Bundesamt für Sicherheit in der Informationstechnik.

Dann haben wir noch zwei zentrale Einrichtungen, die hier auch zentral gelistet sind, einmal ganz oben der Cyber-Sicherheitsrat. Ein Gremium, das die strategische Ausrichtung Deutschlands im Cyber-Raum, im Cyber-Informationsraum beschreibt, wo sich Vertreter von Ministerien und teilweise auch aus der Wirtschaft zusammensetzen und so zum Beispiel 2015 beschlossen haben, dass es eine neue Cyber-Sicherheitsstrategie braucht. Also dort soll dieser übergeordnete strategische Rahmen diskutiert werden. Und dann sehen wir hier unten noch mal relativ klein, weil es angegliedert ist, das Cyber-Abwehrzentrum und das nationale Cyber-Abwehrzentrum. Das ist eine operative Plattform, wo verschiedene deutsche Behörden, unter anderem der Verfassungsschutz, das Kriminalamt, das BSI, aber auch das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe und andere zusammenarbeiten, um Cyber-Vorfälle aufzuklären und um Informationen auszutauschen, sofern sie das denn dürfen. Auch hier gilt das Trennungsgebot.

Dieses Cyber-Abwehrzentrum ist auch gerade in der aktuellen politischen Diskussion eines der Hauptthemen. Es soll aufgebaut werden zum Cyber-Abwehrzentrum Plus. Plus kann hier bessere Einbindung der Wirtschaft heißen oder überhaupt Einbindung der Wirtschaft. Unklar ist derzeit, welche.. Und eine zweite Möglichkeit ist natürlich die Ausweitung und Einbindung der Länder, die bisher nur mäßig bis gar nicht dort eingebunden worden sind. Es macht aber total Sinn, auch diese in die operative Koordination für Cyber-Sicherheit in Deutschland einzubinden.

So, wenn ich jetzt ein Fazit ziehen würde, wo wir mit der Cyber-Sicherheitsarchitektur und der Cyber-Sicherheitspolitik in Deutschland stehen, dann würde ich zum einen sagen: let's give it some time. Die Struktur ist noch im Aufbau. Wir haben gesehen, dass einige Organisationen dieses oder letztes Jahr geschaffen worden sind, gerade vor einer Stunde, wie gesagt, haben der Innenminister und die Verteidigungsministerin eine neue Agentur für Innovationen für Cyber-Sicherheit angekündigt. Geschaffen, modelliert nach der DARPA, der amerikanischen Agentur für Innovationsförderung, die unter anderem dafür bekannt ist, dass ihre Förderung dazu geführt hat, dass das Internet erfunden oder geschaffen wurde. So eine Behörde oder Agentur soll jetzt auch in Deutschland geschaffen werden. Sie soll Innovationssprungförderung betreiben und das anders als die Förderung, die bisher durch das Bundesministerium für Bildung und Forschung, das Bundesamt für Sicherheit in der Informationstechnik, das Cyber Innovation Hub der Bundeswehr und weiteren Akteuren bereits betrieben wird. Mal sehen, wie sich diese Agentur einfügen wird in dieses Puzzle.

Weil wir schon wussten, dass eine solche Einrichtung geplant ist, haben wir sie schon mal in die Architektur eingebaut. Damals hieß es noch Agentur für Disruptive Innovationen im Cyber-Bereich (ADIC). Wie sich diese neue Agentur einfügen wird in dieses Puzzle, welche Rolle sie übernehmen wird und ob es entweder zu mehr Arbeit führt oder wirklich eine effektive Behörde wird, die das hält, was es verspricht, und einen zusätzlichen Mehrwert zu dieser Cyber-Sicherheitsarchitektur liefert, wird sich zeigen.

Auch das Auswärtige Amt plant laut Cyber-Sicherheitsstrategie 2016 einen weiteren Akteur, den es noch nicht gibt. Den haben wir hier oben noch mal als Deutsches Institut für Internetsicherheit mit Arbeitstitel beschrieben. Auch dort wird diskutiert, ob das Auswärtige Amt noch ein weiteres Institut, Behörde oder wie auch immer geartete Plattform schafft, die sich mit IT-Sicherheit und Cyber-Sicherheit im Rahmen von Außenpolitik beschäftigt. Hier gibt es noch keine offiziellen Statements, aber auch dort wird an etwas gearbeitet.

Also wie gesagt, die Struktur der deutschen Cyber-Sicherheitsarchitektur ist noch im Aufbau. Dann, wenn wir uns angucken, das sind alles Akteure, die in Deutschland Cyber-Sicherheitspolitik in irgendeiner Weise mitgestalten, entweder als Programmierer und Administratoren on the ground, um Sicherheit herzustellen, oder eben relativ hochtrabend auf der Ebene der strategisch-politischen Steuerung.

Im Endeffekt brauchen alle diese Behörden Fachkräfte. Wir haben aber einen Fachkräftemangel in bestimmten Bereichen in Deutschland. Die Bundesagentur für Arbeit gibt da jedes Jahr einen sehr guten Report raus. Ich muss Ihnen nicht erzählen, dass es im IT-Bereich nicht so richtig gut aussieht und wenn wir dann noch spezialisiert in den IT-Sicherheits- und Cyber-Sicherheitsbereich reingucken, sieht das dort auch noch ein bisschen problematischer aus. Wir haben generell einen Fachkräfteengpass in Deutschland, vor allem aber bei bestimmten Positionen. Im öffentlichen Dienst benötigen all die genannten Behörden solche Fachkräfte, gleichzeitig haben sie aus Sicht der Bewerber natürlich bestimmte Nachteile wie den Tarifvertrag für den Öffentlichen Dienst – inwiefern das ein Nachteil ist, darüber kann man vortrefflich diskutieren. Wir sehen aber, dass mehr Akteure, eher dazu führen, dass wir dann noch weniger Fachkräfte pro Behörde haben. Und dann müssen wir uns irgendwann auch die Frage stellen… wir gucken uns die vier Säulen an (Prävention, Detektion, Reaktion und Repression), wo wollen wir die Fachkräfte hinstecken und welche Aufgaben innerhalb dieser Säulen sollen sie vorrangig erfüllen? Und auch bei den horizontalen Linien müssen wir darauf gucken, was wollen wir eher beschützen, Staat, Wirtschaft oder Bürgerinnen? Wir müssen, glaube ich, ganz ehrlich zu uns sein und sagen, wenn wir alle diese Behörden schaffen, werden wir dort nicht überall Fachkräfte hinbekommen – zumindest nicht die, die wir haben wollen, zumindest nicht kurz- und mittelfristig. Wie teilen wir diese Fachkräfte auf? Das ist eine Debatte, die wir noch weiter führen müssen und ein großes Problem der deutschen Cyber-Sicherheitsarchitektur und Cyber-Sicherheitspolitik.

Es gibt aber auch positive Nachrichten. Mit dem IT-Sicherheitsgesetz, auch dem BKA-Gesetz, was eben den Einsatz des Bundestrojaners erlaubt und auch regelt, sind wir vielen Ländern einen Schritt voraus. Dr. Heumann hat vorhin das Transatlantische Cyber Forum der SNV angesprochen. Dort tauschen wir uns sehr, sehr intensiv und eng mit den amerikanischen Experten aus und wenn wir denen dort erzählen, was unser IT-Sicherheitsgesetz zum Schutz kritischer Infrastrukturen besagt oder dass wir rechtliche Rahmenbedingungen dafür haben, wann und wie unsere Polizei hacken darf, dann denken die immer: „Wow, das ist ja interessant, so etwas hätten wir auch gerne.“ Nur mal zum Vergleich, dort werden kritische Infrastrukturen natürlich auch geschützt, aber wir haben hier Minimumstandards, IT-Sicherheitsstandards, die rechtlich eingehalten werden müssen durch die Betreiber der kritischen Infrastrukturen und sie müssen Schadensfälle umgehend melden. All das gibt es zum Beispiel in den USA gerade nicht. Dort gibt es finanzielle Förderung dafür, solche Maßnahmen zu schaffen. Das ist ein sogenanntes „softes Element“, aber auch dort würde wahrscheinlich ein bisschen mehr Regulierung in dem Bereich nicht schlecht sein. Wir wissen aus der Vergangenheit aber auch, dass in den USA Regulierung nicht so einfach zu erzielen ist. Fazit, wir sind in Deutschland eigentlich sehr glücklich damit, wie Regulierung im IT-Sicherheitsbereich gemacht wird.

Natürlich kann man immer etwas kritisieren – und das sollte man auch. Das BKA-Gesetz beziehungsweise der Einsatz des Bundestrojaners ist mal wieder vor dem Verfassungsgericht. Natürlich muss sich das auch einpendeln. Wir reden hier über rechtliche Nuancen, auch teilweise wirklich wichtige rechtliche Aspekte, die berücksichtigt werden müssen. Aber dass wir diese regulatorische Debatte haben, dass wir solche Gesetze verabschieden und dass wir sie dann auch regulatorisch prüfen lassen, ist ein wichtiger Aspekt, den wir auch positiv bewerten sollten.

Das Cyber-Abwehrzentrum, da habe ich mal ein Zettelchen hier mit drei Fragezeichen versehen. Es ist super, ein koordinierendes Gremium auf operativer Ebene zu haben, wo die Behörden zusammenkommen und sich austauschen, wo Kommunikation betrieben wird, wo man Vorfälle zusammen bearbeitet. Ob das praktisch alles so funktioniert, möchte ich hinterfragen. Welche Pläne es für ein Cyber-Abwehrzentrum Plus gibt, weiß man noch nicht. Auf jeden Fall ist das Gremium an sich in dieser Struktur etwas, was sehr sinnvoll ist, weil es zentral ist und weil es eben wichtige Informationen und Akteure zusammenbringt, was, wer Behördenkommunikation kennt, nicht oft der Fall ist. Von daher ist es wichtig, einen solchen Akteur zu haben. Er muss sicherlich noch ein bisschen mehr ausgestattet werden mit finanziellen und personellen Ressourcen, als er bisher ist, um das leisten zu können, was man von ihm erwartet.

In der Cyber-Sicherheitsstrategie 2010 wurde das Cyber-Abwehrzentrum angekündigt, 2011 dann langsam geschaffen mit damals einer Handvoll Personen, die es koordinieren sollen. Dass man diesem Gremium dann den Namen Cyber-Abwehrzentrum gibt, ist natürlich total irreführend und vielleicht auch nicht glücklich und vor allem nicht gut, wenn man über das Vertrauen in Deutschland spricht und sagt: „Hey, wir haben ein Cyber-Abwehrzentrum, da arbeiten aber irgendwie sechs Leute und der Rechnungshof hat gesagt, was die dort machen, ist ziemlich problematisch.“ Das trägt nicht zum Vertrauen bei, was wir in unsere Cyber-Sicherheitsarchitektur haben sollten.

Kommen wir zu den letzten zwei Punkten. Was gut in Deutschland läuft, auch im Vergleich zu anderen Ländern, vor allem anderen europäischen Ländern, ist die deutsche Debattenkultur zu den Themen, die wir antreiben. Das heißt zum Beispiel die aktive Cyber-Abwehr, aber auch die Schaffung der Zentralen Stelle für Informationstechnik im Sicherheitsbereich, die aktuelle Diskussion darum, welche Schwachstellen von Behörden zurückgehalten werden sollen, um sie selber einzusetzen, oder auch nicht zurückgehalten werden sollen. Über all diese Sachen führen wir eine relativ offene Debatte und das nehmen wir für gegeben hin. Das ist aber nicht selbstverständlich, sondern ein wichtiger Aspekt in Deutschland, der auch unsere Cyber-Sicherheitspolitik hier auszeichnet und wie wir mit diesen Themen umgehen, die in den Ministerien und Behörden erarbeitet werden. Es gibt viele Beispiele, wo solche Sachen einfach intern entschieden werden und teilweise überhaupt gar nicht ans Licht kommt, was dort verabschiedet wird. Und hier sind wir meines Erachtens schon einen Schritt weiter. Ich weiß, das sind zähe Debatten, es sind auch viele Debatte, die manche von uns hier im Raum nicht gewinnen, aber es sind Debatten, die wir führen, und das ist schon ein wichtiger erster Schritt, dass man hier konstruktiv in Deutschland in der Öffentlichkeit zusammenarbeiten und diskutieren und teilweise Veränderungen bewirken kann an eben den regulatorischen Planungen in diesem Bereich.

Wir hatten, und das wird langsam aufgeweicht, bisher immer eine relativ starke Trennung zwischen dem zivilen und dem militärischen Bereich in der deutschen Cyber-Sicherheitspolitik. Heute mit der Ankündigung einer Agentur für Innovation für Cyber-Sicherheit, die getragen werden soll durch das Ministerium des Innern, für Bau und Heimat und dem Bundesministerium für Verteidigung zusammen ist ein weiterer Schritt in das Verschwimmen dieser beiden Bereiche. Ein anderer Schritt wurde letztes Jahr getätigt, wo die Zentrale Stelle für Informationstechnik im Sicherheitsbereich (ZITiS) geschaffen wurde und geografisch an das Cyber Defense Center der Bundeswehr angegliedert wurde. All das sind Sachen, wo man sagen kann, das ist ein Vorteil, wenn diese Fachkräfte dann auch beieinandersitzen und sich beim Kaffee austauschen können. Die werden sicherlich auch Projekte zusammen machen. Gleichzeitig ist es aber auch ein Verschwimmen der Grenze zwischen dem zivilen und militärischen Bereich der deutschen Cyber-Sicherheitspolitik. Dieses Verschwimmen hatten wir vorher nicht so in dieser Art und müssen gucken, wie sich das weiterentwickelt und ob sich das positiv oder negativ auswirkt.

Wenn Sie sich die Presseerklärung heute oder morgen noch mal irgendwann anschauen, werden sie auch sehen, dass die Verteidigungsministerin von der Leyen sehr, sehr wenig dazu sagt, was ihr eigenes Ressort eigentlich im Cyber-Sicherheitsbereich macht oder was diese Agentur, die sie gerade schaffen, für ihren Bereich machen soll, sondern sie redet viel mehr und teilweise auch viel nuancierter darüber, was das Ministerium von Herrn Seehofer da eigentlich macht und machen sollte, was sehr verwirrend ist, wenn man sich diese Presseerklärung noch mal anschaut. Es zeigt aber auch, dass diese Bereiche verschwimmen.

Wir hatten vor zwei Jahren die Diskussion darüber, wenn ein Angriff auf kritische Infrastrukturen stattfindet, ob dann nicht die Bundeswehr einspringen sollte, weil im realen Raum tun sie es ja auch. Wenn es Katastrophenfälle gibt, zieht man ja auch die Bundeswehr hinzu, zum Beispiel um Sandsäcke zu schleppen, sage ich mal ganz salopp, ob wir das im Cyber-Sicherheitsraum nicht auch so machen können? Die Diskussion wurde relativ schnell fallen gelassen vonseiten des Bundesministeriums der Verteidigung, aber auch da sehen wir, dass diese Bereiche sich langsam aufeinander zubewegen. Natürlich auch dem geschuldet, dass im Cyber-Raum diese beiden Bereiche natürlich auch nicht ganz scharf getrennt werden können.

So, jetzt habe ich erst mal sehr viel geredet und freue mich auf Ihre Fragen. Vielen Dank.  

Teilnehmer: Hallo. Ich arbeite unter anderem für den Bereich Cyber-Security. Sie haben gesagt, dass Frau von der Leyen das nicht unterscheiden kann, also was zur Verteidigung und was zu Inneres gehört in diesem Bereich. Was wünschen Sie konkret von den Verteidigungspolitikern?

Sven Herpig: Vielen Dank für die Frage. Also ich glaube, sie kann gut unterscheiden, sie hat es aber nicht getan und ich glaube auch, dass sie es absichtlich nicht getan hat. Das ist der erste Punkt. Der zweite Punkt ist, der Bereich, wie die Bundeswehr und das Militär im Cyber-Raum in Deutschland agieren sollen, ist relativ klar festgeschrieben. Der eine Punkt, das ist der Hauptpunkt, ist ganz klar Prävention, Reaktion und Detektion von Angriffen auf Systeme der Bundeswehr. Das sind nicht nur die Computer der Bundeswehr und Netzwerke, das sind vor allem Hubschrauber, das sind Fregatten, das sind Panzer, die alle mittlerweile mehr Computer haben als wir uns vorstellen können, und die müssen gesichert werden. Das ist die Hauptaufgabe im Ressort des Bundesministeriums der Verteidigung und darum sollte man sich auch vorrangig kümmern.

Zweites Ziel, nachrangig, aber auch wichtig, ist, natürlich offensive Fähigkeiten aufzubauen in der Bundeswehr für Cyber-Operationen, die im Rahmen eines Auslandsmandat oder im schlimmsten Fall vom Verteidigungsfall dann genutzt werden müssen. Auch dafür gibt es relativ klare Richtlinien. Auch da muss sich die Bundeswehr richtig aufstellen und das tun sie auch oder sind auf dem Weg dorthin und auch das sehe ich ganz klar als Aufgabe der Bundeswehr. Wenn wir aber darüber reden, dass dann Soldaten bei einem Ransomware-Angriff auf ein Wasserwerk unterstützend tätig werden sollen, dann stelle ich mir sehr, sehr viele Fragen, allen voran, wie das überhaupt funktionieren soll und ob wir nicht sonst auch in Ordnung ausgestattet sind. Das ist eine Diskussion, die wir bestimmt führen müssen, aber die Antwort sollte nicht per Default sein, „dann müssen die halt helfen“, sondern vielleicht sollten wir die zivilen Fähigkeiten in dem Bereich aufbauen, wenn das unsere zivilen Kräfte bisher nicht lösen können.

Teilnehmer:  Aus meiner Sicht fehlen in der Graphik die für die IT-Infrastruktur des Bundes zuständigen Institutionen. Gerade diese spielen bei der praktischen Umsetzung der sicherheitspolitischen Vorgaben oder der vom BSI entwickelten Standards eine zentrale Rolle.

Sven Herpig: Vollkommen richtig. Wir hatten in der Grafik auch die technischen Infrastrukturbetreiber rausgelassen, aber im nächsten Update werden wir die auch mit einpflegen. Ich glaube, wir müssen da noch an einem 3D-Modell dafür arbeiten. Also wer Vorschläge hat für eine 3D-Darstellung, ist immer herzlich willkommen, oder einen 3D-Drucker zu Hause hat. Genau, werden wir einpflegen, wird zusammen mit der Erweiterung um die internationale Ebene und der Vollständigkeit der Länderebene der nächste Schritt sein in unseren Aktualisierungen. Definitiv. Also danke für die Anmerkung noch mal.

Teilnehmer: Die neue Agentur, die jetzt geschaffen werden soll, wurde da bereits angekündigt, ob das dann eine Innovationsforschung für zivile oder militärische Cyber-Sicherheit sein soll? Mein Hintergrund der Frage ist, dass wir bei den Verhandlungen um die europäischen Forschungsgelder gerade im Namen Deutschlands argumentiert haben, dass man eben weiterhin klar trennen soll zwischen ziviler und militärischer Forschung, weil sonst beispielsweise das BKA oder andere Institutionen sich gar nicht an diesen Forschungsgeldern vergreifen können, weil es halt gesetzlich geregelt ist, dass sie keine militärische Forschung machen dürfen. Gibt es da schon Hinweise, inwiefern das geregelt werden soll?

Sven Herpig: Ja, das ist ganz klar, dass die Agentur Projekte zur Sprunginnovation fördern soll, sowohl im militärischen als auch im zivilen Bereich und genau deswegen wird sie auch komplett unter BMI und BMVg gestellt, weil sie eben, wie ja in der Presse etwas überbordend, aber nicht ganz falsch kolportiert wurde, als Cyber-Waffenagentur bezeichnet wurde. Also es soll natürlich auch Forschung gefördert werden, die Quantenverschlüsselungen brechen können soll, sage ich mal, also offensive Maßnahmen, aber auch defensive Maßnahmen.

Nachfrage: Aber inwiefern können sich denn dann diese Organisationen, die jetzt aktuell dafür argumentiert haben, dass auf europäischer Ebene getrennt wird, weil sie sich eben nicht in der militärischen Forschung beteiligen dürfen, dann in diesen Rahmen an Forschung beteiligen?

Sven Herpig: Das ist mir vollkommen unklar. Aber die konkrete Ausgestaltung, wie und was für Projekte gefördert werden sollen, weil das nicht nur Innovationen sein sollen, sondern Sprunginnovationen, und die sollen auch schon in einem sehr frühen Stadium gefördert werden. Ich kann Ihnen nur das sagen, was ich gerade gehört habe und auch auf die Rückfragen der Journalisten vor Ort, etwas konkreter zu werden, sind die beiden, der Minister und Ministerin nicht eingegangen, von daher kann ich dazu noch nicht viel sagen. Ich denke, das ist etwas, was noch ausgestaltet werden wird.

Teilnehmer: Ja, also im Koalitionsvertrag stehen, glaube ich, erste Stichpunkte zu dem Thema drin.

Sven Herpig: Genau.

Teilnehmer: Sie haben so schön von dem Puzzle gesprochen, in das sich dann neue Einrichtungen quasi noch einfügen müssen, ihren Platz finden müssen und dann haben sie gesprochen vom Fachkräfteproblem, also je mehr Einrichtungen man dann hat, desto schwieriger wird es, zu verteilen. Ich habe jetzt noch eine Frage, sehen Sie da irgendwo Konsolidierungsbedarf in der Cyber-Sicherheitsarchitektur?

Sven Herpig: Ja. Also ich bin der Meinung, dass wir das bisher ganz gut gelöst haben über eben diese zentralen Gremien wie das Abwehrzentrum im BSI, das BSI selber, dann den Cyber-Sicherheitsrat, also Gremien, die halt koordinierende Funktionen von den bestehenden Behörden und Aufgaben zusammenbringen. Gleichzeitig müssen wir die, glaube ich, noch stärken und deswegen hätte ich auch gedacht, dass mit dieser neuen Agentur, die geschaffen wird, dass das eher ein koordinierendes Gremium wird oder eine koordinierende Agentur, die eben die ganzen Bestrebungen, die wir eben in den Behörden und Gremien haben, wo schon Cyber- und IT-Sicherheitsprojekte, die Forschung gefördert wird, dass man dort ein koordinierendes Gremium einsetzt. Das würde meines Erachtens Sinn machen. Wir haben mit der Zentralen Stelle für Informationstechnik im Sicherheitsbereich eine dritte koordinierende Stelle, die koordiniert natürlich die ganzen Bedürfnisse des Bundeskriminalamts, des Bundesverfassungsschutz, der Bundespolizei, des Zollkriminalamts, also all diejenigen, die aktiv offensiv hacken wollen. Wir brauchen aber auch ressortübergreifende Koordination und die Frage ist, können wir das in irgendeiner dieser Gremien leisten? Der Cyber-Sicherheitsrat und auf operativer Ebene das Cyber-Abwehrzentrum tun dies bereits. Ich glaube, wir sprechen hier wirklich auch über die Rolle des Bundesamts für Sicherheit in der Informationstechnik, das ja derzeit noch im Innenressort angegliedert ist. Könnte das eine koordinierende Rolle übernehmen? Wenn ja: im Innenressort oder nicht im Innenressort? Die Frage kommt ja auch immer wieder. Und auf der strategischen Ebene: der Cyber-Sicherheitsrat, den wir dort haben, ist der ausreichend als Gremium, um dieses mittlerweile relativ große Puzzle zu koordinieren? Ja oder nein?

Ich sehe, dass wir uns darüber mehr Gedanken machen müssen und ich habe auch nicht das Gefühl, dass diese Struktur einem Masterplan folgt, wo man so langsam jetzt Behörden schafft, um Puzzleteile einzufügen, sondern eher neue Sachen reinpackt und dann guckt, wo sie reinpassen. Ich glaube, da würde mich auch mal interessieren, was der rote Faden dahinter ist.

Teilnehmer: Ja, ich habe noch mal ein, zwei Sachen. Also an ein losgelöstes BSI ähnlich einem Datenschutzbeauftragten glaube ich nicht, wenn es Befugnisse haben soll. Und wie schätzt du in dem, was du jetzt gerade gesagt hast, die Rolle von der Cyber-Sicherheitsabteilung im BMI ein? Kann das das sein, was in diese Richtung lenkt?

Sven Herpig: Zur Unabhängigkeit des Bundesamts für Sicherheit in der Informationstechnikgibt es verschiedenste Modelle. Das kann wie beim Datenschutzbeauftragten sein, es kann eher so wie das Statistische Bundesamt aufgebaut werden, es kann vielleicht an ein anderes Ministerium angegliedert werden. Also da gibt es verschiedene Modelle. Das müsste man mal intensiv durchdenken. Das steht auch auf meiner Agenda. Es ist in dem Fall nicht ganz so schwarz und weiß. Also da glaube ich, müssen wir, und hoffentlich wird das auch noch in dieser Legislaturperiode geschehen, uns auf politischer Ebene noch ein bisschen damit befassen, da gibt es nämlich ein paar nette Möglichkeiten.

Die Konsolidierung der Abteilung Cyber- und IT-Sicherheit im Bundesinnenministerium ist meiner Meinung nach ein guter Schritt, gleichzeitig haben wir jetzt auch hier eine Abteilung, die sowohl die offensiven (also Bundeskriminalamt, zum Teil ZITiS, Bundesamt für Verfassungsschutz), aber auch die defensiven (Bundesamt für Sicherheit in der Informationstechnik) Behörden mit beinhaltet. Das heißt, natürlich ist es schön, jetzt eine Abteilung zu haben, die konsolidiert IT- und Cyber-Sicherheit macht, gleichzeitig haben wir das Kernproblem aber nicht gelöst, dass die sogenannten Code Maker und Code Breaker, also die, die die Sicherheit schaffen und die IT-Unsicherheit schaffen, dass wir die gleichzeitig immer noch in einer Abteilung im BMI gebündelt haben. Ich glaube, da sollte das letzte Wort noch nicht gefallen sein, ehrlich gesagt.

Teilnehmer: Haben wir nicht ein generelles Problem in diesem Umfeld, dass wir alle miteinander offensichtlich akzeptieren, dass wir mit unsicherer Infrastruktur arbeiten, dass wir also eine Schadsoftware infiziert bekommen, dass wir uns dagegen eigentlich nicht wirklich wirkungsvoll wehren können? Wollen wir das akzeptieren, oder sollte nicht auch ein Ansatz sein, da einen wirklich disruptiven Wandel herbeizuführen? Und dann wäre, denke ich, möglicherweise ein richtiger Ansatz, zu sagen, wir wollen eine andere IT-Sicherheitsarchitektur für kritische Anwendungen.

Sven Herpig: Also ich glaube nicht, dass es irgendwer von uns hier akzeptiert, dass wir unsichere IT-Strukturen haben. Die Diskussion darüber, die haben wir ja schon seit Jahren, das ist diese Diskussion um die technologische Souveränität, auch darum, hypersichere IT-Systeme oder Plattformen herzustellen, die sicherer sind, oder Software herzustellen, die auf unsicheren IT-Systemen laufen kann. Natürlich sollte das da hingehen, vor allem für den militärischen Bereich, aber auch für die kritischen Infrastrukturen. Natürlich kann eine Agentur, die Geld in die Hand nimmt, um disruptive Forschung zu fördern, da auch der richtige Ansatz sein. Dazu bräuchte ich eine Glaskugel, um zu sehen, ob das wirklich auch so ist. Aber wir wissen auch, dass wenn wir das machen wollen, dann reden wir über alles vom Chip, der in China hergestellt wird, bis zur Software, die in Israel oder USA oder wo auch immer programmiert wird, bis zu Dienstleistungen, die von woanders betrieben werden. Und dann reden wir nicht über zweihundert Millionen, sondern dann sind wir im Milliardenbereich angekommen, um darüber zu diskutieren, was wir brauchen würden, um dieses Level an sicheren Infrastrukturen herzustellen. Und deswegen müssen wir auch eigentlich trennen, über was wir konkret sprechen: Reden wir über die zivilen Systeme, die vielleicht Sie und ich nutzen, die vielleicht in den Sicherheitsbehörden Anwendung finden, oder die, die in kritischen Infrastrukturen im Militär Anwendung finden? Das sind verschiedene Ansätze und dort gibt es auch verschiedene Sicherheitsvorgaben. Ich glaube nicht, dass einer von uns hier unsichere Infrastrukturen akzeptiert, aber im Endeffekt ist es auch immer ein Risikomanagement, über welche Aspekte reden wir, wo kommen die zum Einsatz und wie sicher müssen wir die machen? Natürlich sollten wir in der Lage sein, sie so sicher wie möglich zu machen, aber wie gesagt, ich glaube, daran arbeiten wir, aber es wird einfach teuer werden.

Teilnehmer: Das Kernproblem ist ja eigentlich, dass unsere Endgeräte unsicher sind. Die zentralen Systeme, die kann man ja mit sehr hohem Aufwand einigermaßen sicher hinkriegen, aber die Endgeräte, die PCs, die Laptops, die Tablets, da ist überall ein Betriebssystem drin, da wird überall Software heruntergeladen, damit kann zwangsläufig das Herunterladen von Schadsoftware gar nicht verhindert werden. Ist das aber notwendig, dass wir so viel Intelligenz in den Endgeräten haben? Vor der Erfindung des PCs hatte man sehr altmodische, sehr dumme Geräte, die konnte man zwar auch abwehren, aber man konnte sie nicht manipulieren und ich denke, dahin müssen wir überwiegend kommen.

Sven Herpig: Das ist sicherlich eine Sichtweise. Das ist natürlich eine sehr grundlegende Sichtweise, eine grundlegende Veränderung. Aber ich glaube, im Endeffekt ist es auch so, dass die Digitalisierung stattfindet, auch in Deutschland. Auch wir werden irgendwann Breitband bekommen, auch wir werden uns digitalisieren und wir können die Digitalisierung nicht aufhalten. Das einzige, was wir machen können, ist, dafür zu sorgen, dass sie sicher gemacht wird und darauf müssen wir hinarbeiten und das sollte unser vorrangiges Ziel sein. Und da sind wir mit der Architektur der Cyber-Sicherheitspolitik in Deutschland auf dem richtigen Weg, das heißt aber nicht, dass wir hier stoppen sollten.

Und jetzt möchte ich mich bei Ihnen ganz herzlich bedanken, dass Sie hier waren, dass Sie zugehört haben, dass Sie Fragen gestellt haben. Ich stehe Ihnen gerne jederzeit auch weiterhin für Fragen zur Verfügung. Ich hoffe, Sie haben unser neues Format und das Essen genossen. Also noch mal vielen Dank an Sie und ich wünsche Ihnen noch einen schönen Tag.

-Ende des Transkriptes-