Cybersicherheit in der Nationalen Sicherheitsstrategie Deutschlands

Dr. Sven Herpig und Dr. Alexandra Paulus im Gespräch mit Fenja Wiluda, Polis180

Fenja: Liebe Alexandra, lieber Sven, welche Erwartungen und Wünsche habt Ihr an die Nationalen Sicherheitsstrategie Deutschlands im Bereich Cybersicherheit?

Sven: Aus nationalstaatlicher Perspektive sind zwei Punkte in den letzten Strategiedokumenten zur Sicherheitspolitik zu kurz gekommen: Die Auflösung von Zielkonflikten und die Förderung von Resilienz. Mit Auflösung von Zielkonflikten meine ich, dass es gerade bei der Schnittmenge Innen- und Cybersicherheitspolitik unterschiedliche Bedarfe bei Nachrichtendiensten, Polizei und Informationssicherheitsbehörden gibt. Die Innenpolitik hat sich zum Beispiel in den letzten Jahren dafür eingesetzt, dass bestimmte Software, zum Beispiel verschlüsselte Messenger wie Signal, Threema oder WhatsApp, Hintertüren enthalten soll, damit Strafverfolger:innen und Nachrichtendienste an die Kommunikation von Kriminellen rankommen. Das dies nicht nur einen beträchtlichen Schaden für Industrie und Zivilgesellschaft bedeutet würde, sondern auch die Gefahr beinhaltet, dass andere Nachrichtendienste diese Hintertür in Systemen von Abgeordneten des Bundestags, Berufsgeheimnisträgerinnen und anderen öffnen können, wird dabei gerne ignoriert. Von solchen Zielkonflikten haben wir an der Schnittmenge zwischen Innenpolitik und Sicherheitspolitik einige, die bisher viel zu selten konstruktiv adressiert wurden.

Zum zweiten wichtigen Punkt, der Steigerung von Resilienz: In der IT- und Cybersicherheit versucht man Cyberoperationen zu verhindern, sie zu detektieren und letztlich mit reaktiven Maßnahmen den Schaden zu beheben. Prävention ist wichtig, aber wir müssen anerkennen, dass jede IT-Infrastruktur komprimiert werden kann. Resilienz im Cyberraum bedeutet, den Schaden so gering wie möglich zu halten, das System so schnell wie möglich wieder ans Laufen zu bringen und gestärkt aus diesem Vorfall hervorzugehen. Konkret bedeutet dies zum Beispiel: Wenn man eine Kompromittierung feststellt, kapselt man zunächst die betroffenen Teile vom Rest der IT-Infrastruktur ab. Anschließend spielt man für diese ein Backup ein, bringt sie so wieder ans Laufen und schließt am Ende die Schwachstellen, über die die Cyberkriminellen oder Nachrichtendienste ihre Schadsoftware aufgebracht haben. Mit dem Fokus auf Resilienz könnte Deutschland einen Gegenentwurf zu anderen internationalen Strategien und Schwerpunkten bieten. Beispielsweise legt China seinen Schwerpunkt auf Überwachung von Regimekritiker:innen und Minderheiten, Russland auf Cyberoperationen im militärischen und nachrichtendienstlichen Kontext. Auch die USA legen mit ihrer „Persistent Engagement“ Doktrin einen Schwerpunkt auf die Kompromittierung von IT-Systemen. Deutschland dagegen sollte seinen Fokus auf Resilienz legen, vereinfacht gesagt: Wenn in Berlin die Lichter wegen einer Cyberoperation aus Russland ausgehen, dann möchte ich nicht, dass wir im Gegenzug in Moskau die Lichter ausschalten. Ich möchte, dass die Lichter bei uns so schnell wie möglich wieder angehen und an bleiben.

Alexandra: Ich würde vor allem auf die außenpolitische und internationale Ebene eingehen. Was die deutsche Außenpolitik auch jenseits des Politikfeldes Cybersicherheit auszeichnet, ist die Betonung von multilateralen Kooperationen, also eine regelbasierte Außenpolitik. 2015 wurden elf Normen von der UN-Generalversammlung im Konsens verabschiedet, sprich die internationale Staatengemeinschaft hat sich zu deren Einhaltung verpflichtet. Beispiele für solche Normen sind die Verpflichtung von Staaten, eigene kritische Infrastrukturen zu schützen oder verantwortungsvoll mit Schwachstellen umzugehen. Danach gab es in verschiedenen multilateralen Formaten Initiativen, wo diese Normen weiter bestärkt wurden. Ein spannendes Beispiel ist die Global Commission on the Stability of Cyberspace, die sich ganz stark mit dem Thema Public Core of the Internet beschäftigt hat. Hier war es den teilnehmenden Expert:innen wichtig, den sogenannten öffentlichen Kern des Internets zu schützen, also Infrastruktur, die entscheidend ist für die Aufrechterhaltung der Funktionsweise des Internet.

Was aber was jetzt folgen muss, ist eine entschiedenere nationale Implementierung dieser Richtlinien für Staatenhandeln. Deutschland sollte noch stärker als bisher vorangehen und erstens konkrete nationale Policies entwerfen und zweitens sich über diese mit internationalen Partnern austauschen. Hierzu ein Beispiel: Eine VN-Norm verlangt den verantwortungsvollen Umgang mit Schwachstellen, wie Sven bereits erwähnt hat. Wenn Deutschland hierzu einen Prozess einrichtet, könnte die Bundesregierung mit gutem Beispiel vorangehen, indem sie eine sehr abstrakte Norm in konkrete Cyberpolitik übersetzt. Ein solcher Prozess ist zwar seit langem in Arbeit, aber leider noch nicht veröffentlicht.

Ein zweiter Punkt ist, dass wir auch den Bereich des Cyber Capacity Building – den internationalen Fähigkeitsaufbau– gezielt auf die Etablierung der Normen ausrichten. Deutschland ist hier in Zusammenarbeit mit vielen anderen Staaten bereits sehr aktiv, doch die Kooperationsformate sind häufig noch auf sehr grundlegende Cybersicherheitspraktiken ausgerichtet, wie zum Beispiel der Formulierung von Cybersicherheitsstrategien. Das ist natürlich wichtige Grundlagenarbeit, aber hier sollten Cyber Capacity Building und die Implementierung der Cyber-Normen enger verzahnt werden. Das kann funktionieren durch eine Fokussierung und Unterstützung in konkreten Bereichen wie der Schutz kritischer Infrastruktur, den Umgang mit Schwachstellen und so weiter.

Als drittes plädiere ich für Kooperation und Dialog über Cybernormen mit gleichgesinnten Staaten. Gerade in der gegenwärtigen internationalen politischen Situation sehe ich Potenziale für sogenannte Like-minded-Formate. In der Vergangenheit hatte Deutschlands beispielsweise seine G7-Präsidentschaft genutzt, die Themen Cybersicherheit und Resilienz zu stärken. Auch in ad-hoc Koalitionen, wie z.B. mit dem Paris Call for Cyber Security and Trust in Cyberspace, könnte Deutschland mit gleichgesinnten Staaten stärker kooperieren. Das können Staaten sein, die traditionell zu den gleichgesinnten Partnern Europas und der USA zählen, sprich unter anderem Südkorea, Japan, Australien, Neuseeland und Kanada. Mit diesen Staaten gibt es bereits Kooperationsformate. Was aber fast noch spannender ist aus meiner Sicht und wo auch noch mehr passieren könnte, sind Staaten, die noch unentschlossen sind, mit wem sie kooperieren möchten. In der Cyberdiplomatie ist seit Jahren eine Lagerbildung zu beobachten: Auf der einen Seite China, Russland und gleichgesinnte Staaten, die gewisse Vorstellungen bei Themen wie Überwachung teilen, und auf der anderen Seite die USA, die EU und andere gleichgesinnte, die stärker auf digitale Rechte und Offenheit des Internets Wert legen. Allerdings gibt es auch eine dritte Gruppe, die sich ganz bewusst keinem dieser Lager angeschlossen hat. Einige dieser Staaten sind Teil des Non-Aligned-Movements wie Indien oder Singapur, andere Beispiele sind Brasilien oder Mexiko. Viele dieser Staaten haben eine ausgereifte nationale Cybersicherheitsarchitektur und spannende Policies in diesem Bereich. Daher wäre eine Kooperation mit diesen Staaten für Deutschland und Europa nicht nur strategisch wichtig, sondern auch eine Bereicherung für beide Seiten.

Fenja: Wie weit sollte oder darf Politik im Rahmen einer Nationalen Sicherheitsstrategie den Cyberraum regulieren? Wo wird bereits eingegriffen und wo sollte Eurer Meinung nach noch mehr eingegriffen werden?

Sven: Aus nationaler Perspektive hat der Staat hat eine Sicherheitsverantwortung für seine Gesellschaft. Das umfasst Behörden, Industrie und Privatpersonen innerhalb wie außerhalb des Cyberraums. Die fraglichen IT-Infrastrukturen sind größtenteils in privater Hand. Cybersicherheit ist erstmal eine nationale Aufgabe, auch innerhalb der EU. Auf europäischer Ebene wird zusätzlich gerade über die zweite Direktive für IT- und Cybersicherheit diskutiert. Diese wird dann in nationales Recht übersetzt werden müssen. Während Cybersicherheit also erstmal Aufgabe der Mitgliedsstaaten ist, kann kollektives Handeln der EU ein Vorteil sein. Ein Land wie Malta hat ganz andere Möglichkeiten auf Firmen wie META oder Microsoft einzuwirken, als wenn die EU als Ganzes versucht, diese Aktivitäten zu regulieren.

Zur normativen Frage, inwiefern der Staat regulieren sollte, hat John Perry Barlow in seiner Declaration of Independence of Cyberspace 1996 gefordert, dass der Staat hier überhaupt keine Rolle hat. Das war eine sehr romantische und verklärte Sicht der Dinge, wie er später auch selbst eingeräumt hat. Heute wissen wir, dass die digitalen Infrastrukturen des Internets das Rückgrat großer Bereiche unserer Gesellschaft und Wirtschaft sind. Damit hat der Staat die Verantwortung sicherzustellen, dass diese Infrastrukturen stabil und sicher sind und privat wie beruflich genutzt werden können. Dabei sollte der Staat mit Akteuren aus Privatwirtschaft, Zivilgesellschaft und Wissenschaft zusammenarbeiten, um gemeinsam ein best governance model zu entwickeln.

Fenja: Welche sind für Euch die entscheidenden Normen, die im Cyberraum gelten sollten? Wie sollen Normenverstöße nachgewiesen und sanktioniert werden, wenn sie nicht zweifelsfrei zuzuordnen sind?

Alexandra: Sehr lange schien es sehr schwierig oder gar unlösbar, sicher herauszufinden, wer hinter einer Cyberoperation und dem Bruch einer Norm steckt, weil Täter viele technische Möglichkeiten haben, anonym zu bleiben und falsche Fährten zu legen. Das wurde lange Zeit als Attributionsproblem bezeichnet. Inzwischen sprechen wir aber eher von einer Attributionsherausforderung, weil hier große Fortschritte gemacht wurden, aber der Prozess weiterhin sehr ressourcenintensiv ist und eine zweifelsfreie Identifikation der Verantwortlichen kaum möglich ist.

Die Frage, wer wiederum für eine Cyberoperation politisch verantwortlich ist, ist noch ein Stück komplizierter. Aber auch hier beobachten wir, dass Staaten zunehmend Aussagen treffen, mutmaßlich auf Basis reichhaltigerer technischer und nachrichtendienstlicher Erkenntnisse. Ein Beispiel Fall ist eine Cyberoperation auf das US-amerikanische Unternehmen Viasat, das Satellitenkommunikationsdienste bereitstellt und zu deren Kunden unter anderem das ukrainische Militär zählt. Kurz vor der russischen Invasion in der Ukraine wurde eine Cyberoperation durchgeführt, die diese Satellitenkommunikationsdienste unterbrach. . Die Vereinigten Staaten und die EU haben diesen Angriff öffentlich dem russischen Militärgeheimdienst zugeschrieben.

Was unternommen werden soll, wenn diese Normen gebrochen werden, ist die Gretchenfrage der Cyberdiplomatie. Auf europäischer Ebene gibt es dafür einen inzwischen mehrfach erprobten Instrumentenkasten, die sogenannte Cyber Diplomacy Toolbox. Zu den ersten Schritten gehört es, den Angriff öffentlich zu machen und diplomatische Stellungnahmen abzugeben. Bei den nächsten Schritten kann die EU individuelle Sanktionen gegen Personen oder Organisationen verhängen, wie etwa Konten einzufrieren oder Einreisesperren zu erteilen. Theoretisch möglich wären aber zukünftig auch sektorale Sanktionen, was gegen Russland momentan aus bekannten Gründen schon der Fall ist – allerdings wäre hierfür eine Änderung der entsprechenden Ratsschlussfolgerungen nötig. Prinzipiell wäre eine Überarbeitung der Cybersecurity Toolbox der EU zu erwägen, um den Instrumentenkasten zu erweitern und ihm so eine größere Schlagkraft zu verleihen.

Sven: Auf nationalstaatlicher Ebene sind die Abläufe ähnlich, wobei hier Sanktionen weniger eingesetzt werden, sondern man versucht das über die EU zu regeln. Wenn man die Gruppe hinter einer Cyberoperation identifiziert und weiß, dass ein Staat Mitverantwortung trägt, kann man zum Beispiel den:die Botschafter:in einbestellen und/oder ein Strafverfahren gegen die Beteiligten einleiten. Dann gibt es noch die Frage, welchen Effekt Normen oder eben bei Verstößen diplomatische Stellungnahmen und Sanktionen haben. Man darf sich nicht entmutigen lassen, wenn große Länder wie Russland oder die USA sich nicht an Normen halten. Es gibt viele kleinere Länder, die in diesem Bereich aktiv sind und die Normen oder Konsequenzen bei Verstößen durchaus abschrecken bzw. zu besserem Verhalten animieren können.

Fenja: Wo sind aus Eurer Sicht gegenwärtig Doppelstrukturen zwischen innen- und außenpolitischen Instrumenten der Cybersicherheit, die abgebaut werden müssen?

Alexandra: Hier geht es nicht so sehr um Doppelstrukturen als vielmehr die Notwendigkeit, über Ressortgrenzen hinweg mit einer Stimme zu sprechen. Ein Beispiel ist das Thema Verschlüsselung. Außenpolitisch setzt sich hier Deutschland seit Jahren stark für den Schutz von verschlüsselter Kommunikation ein, etwa im Rahmen der Freedom Online Coalition. Wie Sven schon beschrieben hat, hat das Innenressort hier in den letzten Jahren eine konträre Position verfolgt, etwa durch eine EU-Ratsschlussfolgerung. Die aktuelle Bundesregierung hat hier allerdings einen Politikwechsel angekündigt, der Innen- und Außenpolitik zueinander bringen würde.

Sven: Während ich in den letzten zwei Jahren das Gefühl gewonnen habe, dass sich das Auswärtige Amt und das Innenministerium besser bei dem Thema abstimmen, gibt es immer noch innenpolitische Forderungen und geplante Maßnahmen, die wir in internationalen Gremien möglicherweise anders gesehen haben. Hinzu kommt, dass alle paar Jahre wieder so getan wird, als gäbe es keine klare Trennung der Zuständigkeiten im Cyberraum zwischen dem Innen- und dem Verteidigungsressort. Das ist aber nicht richtig. Cyber- und IT-Sicherheit ist in der Zuständigkeit des Innenressorts. Das BMVg, genauer die Bundeswehr, ist für den Eigenschutz ihrer IT-Systeme und für militärische Cyberoperationen unter anderem im Rahmen von Auslandsmandaten zuständig. Das zum Beispiel im Rahmen von Aktiver Cyberabwehr außerhalb von Spannungs- oder Verteidigungsfall und Auslandsmandat die Bundeswehr aktiv werden soll ist gefährlich und falsch. Das ist schlicht nicht ihre Zuständigkeit.

Fenja: Liebe Alexandra, lieber Sven, vielen Dank für das Gespräch.

Dieses Interview wurde mit freundlicher Unterstützung von Philip Nock vorbereitet und durchgeführt.