Stellungnahme im Ausschuss Digitales des Deutschen Bundestages zum Thema: "Cybersicherheit – Zuständigkeiten und Instrumente in der Bundesrepublik Deutschland"

Seit der Verabschiedung der „Cybersicherheitsstrategie für Deutschland“ im Jahr 2011 ist die deutsche Cybersicherheitsarchitektur zu einem hochkomplexen Gebilde herangewachsen. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat einen massiven Personal-, Finanz- und Zuständigkeitsaufwuchs erfahren, auch andere Behörden haben neue Abteilungen und Organisationsbereiche geschaffen. Teils sind völlig neue Einrichtungen entstanden, wie zum Beispiel der Nationale Cyber-Sicherheitsrat (NCSR) und das Nationale Cyber-Abwehrzentrum (NCAZ), und es wurden zahlreiche Initiativen ins Leben gerufen.

Alles in allem umfasst die deutsche Cybersicherheitsarchitektur heute mehr als 80 Akteure, die wiederum mit einer Vielzahl von Akteuren auf Kommunal-, Länder-, EU- und NATO-Ebene in Verbindung stehen. Entsprechend groß ist die Gefahr, dass es zu Ineffizienz, Chaos und – in den Worten des IT-Sicherheitsexperten Manuel Atug – zu einer „Verantwortungsdiffusion“ kommt. Reformen und ein „struktureller Umbau der IT-Sicherheitsarchitektur“, wie ihn sich die Bundesregierung in ihrem Koalitionsvertrag vorgenommen hat, sind dringend geboten.

Dabei betreffen die strukturellen Probleme nicht nur das institutionelle Gefüge, sondern auch die zur Verfügung stehenden Instrumente. So ist in einigen Fällen – beispielhaft wäre hier die Debatte um Hackbacks und aktive Cyberabwehr zu nennen – unklar, warum die Bundesregierung erweiterte Befugnisse anstrebt; in anderen Fällen gibt es dringenden Verbesserungsbedarf, etwa beim Schwachstellenmanagement. Diese Instrumente gemeinsam mit Expert:innen und Praktiker:innen aus unterschiedlichen Sektoren auszuarbeiten und passgenauer zu machen, wäre ein wichtiger Schritt in Richtung einer klugen, nachhaltigen Cybersicherheitspolitik.

Die vorliegende Stellungnahme ist anlässlich der öffentlichen Anhörung des Ausschusses für Digitales des Deutschen Bundestags am 25. Januar 2023 zum Thema „Cybersicherheit – Zuständigkeiten und Instrumente in der Bundesrepublik Deutschland“ entstanden. Sie enthält exemplarisch konkrete Empfehlungen, wie eine Reform des institutionellen Gefüges aussehen und das zur Verfügung stehende Instrumentarium verbessert werden könnte. Bisher fehlte es den Bundesregierungen an Transparenz, proaktiver Kommunikation und Evaluations- und Reformwillen. Zudem gelingt es nicht, die Zivilgesellschaft in einem angemessenen Rahmen einzubeziehen. Letzteres wäre aber besonders wichtig, um Defizite zu erkennen und zu beseitigen.

Eine zentrale Empfehlung lautet deshalb, dass die Bundesregierung eine mit unabhängigen Expert:innen und Praktiker:innen besetzte Kommission zur Evaluierung der deutschen Cybersicherheitsarchitektur und Erarbeitung des entsprechenden Reformbedarfs einsetzt; diese Kommission sollte hinreichend mit Informationen ausgestattet werden, um effektiv arbeiten zu können. Die teils antagonistische Beziehung zwischen Regierung auf der einen und Vertreter:innen von Wirtschaft, Wissenschaft und Zivilgesellschaft auf der anderen Seite sollte dringend verbessert werden, um die deutsche Cybersicherheitspolitik bestmöglich aufzustellen und Deutschland im Cyberraum zu mehr Resilienz zu verhelfen.