Eindrücke aus dem Kernseminar: kritische Fragen der Cybersicherheit - in 30 Sekunden. Und für alle, die mehr erfahren wollen, geht Seminarteilnehmerin Henrike Stein-Ratjen auch ins Detail.

Wir befinden uns mitten im Zeitalter der Digitalisierung, und die Bedrohungen durch Cyberausspähung und -sabotage sind weithin bekannt. Die Aufmerksamkeit in Medien und Öffentlichkeit ist allerdings nur dann groß, wenn solche Cyberangriffe, wie zum Beispiel beim sogenannten Bundestags-Hack 2015 in erheblichem Ausmaß erfolgen. Zukunftsszenarien und Handlungsoptionen in der Cybersicherheitspolitik bleiben hingegen wenig beachtete Nischenthemen in der öffentlichen Diskussion. Ein Grund dafür ist sicher, dass wir (noch) keine Gesellschaft aus Digital Natives sind. Umso wichtiger ist es, der Öffentlichkeit Grundkenntnisse für cybersicherheitspolitische Diskussionen an die Hand zu geben.

Doch wer hat für eine vertiefte Erarbeitung von neuen Themen noch Zeit und Geduld in einem digitalisierten Umfeld? Im Netz entscheiden die ersten 30 Sekunden darüber, ob der digitale Betrachter einem Medienbeitrag seine Aufmerksamkeit schenkt oder weitersurft. Im Kernseminar erfuhren wir in einem Medientraining am eigenen Leib, wie herausfordernd es ist, in diesem kurzen Zeitfenster komplexe Sachverhalte gegenüber einem Medienvertreter darzustellen. Gelingt es, Kernfragen der Cybersicherheitspolitik in einem 30-Sekunden-Beitrag greifbar zu machen? Ein Versuch: Deutschland sieht sich in signifikantem Umfang mit Cyberangriffen konfrontiert. Maßnahmen der IT-Sicherheit alleine sind wie dicke Mauern. Man kann hoffen, dass sie halten. Der Schutzauftrag des Staates geht darüber hinaus. Er muss die Ursachen bekämpfen, also die Täter ermitteln – am besten vor der Tat. Ist der Staat gerüstet für diese Aufgabe? Was ist, wenn die Mauern nicht halten und der Täter nicht zu fassen ist? Ist dann der Cybergegenschlag gegen Tätersysteme im Ausland eine Option? Das sind brennende Fragen, denen wir uns stellen müssen, bevor wir nur noch reagieren können. Nun dürften die 30 Sekunden um sein - wer mehr wissen möchte, sei aber herzlich eingeladen, hier weiterzulesen.

Sind wir gerüstet? - Cybersicherheitsarchitektur des Bundes

Deutschlands Cybersicherheitsarchitektur auf Bundesebene wird bestimmt durch das Bundesamt für Sicherheit in der Informat-ionstechnik, durch das Bundesamt für Verfassungsschutz und den Bundesnachrichten-dienst sowie durch das Bundeskriminalamt, die Bundeswehr und den Militärischen Abschirmdienst. Gemeinsam vertreten sind sie im Nationalen Cyberabwehrzentrum in Bonn, einer Plattform für schnellen Informationsaustausch und Koordinierung. Ungläubiges Kopfschütteln gab es im Seminar bei der Vorstellung, dass mit ZITiS, der Zentralen Stelle für Informationstechnik im Sicherheitsbereich, noch eine zusätzliche Behörde geschaffen wurde. Die deutsche Cybersicherheitsarchitektur scheint auf den ersten Blick oft nur Experten verständlich.

Die Aufgaben von ZITiS sind Unterstützung, Beratung und Forschung für das Bundeskriminalamt, die Bundespolizei und das Bundesamt für Verfassungsschutz auf den Feldern Digitale Forensik, Telekommunikationsüberwachungstechnik, Kryptoanalyse und Big Data. Verschlüsselungs-techniken in der Onlinekommunikation schützen die Kommunikation etwaiger Täter und erschweren den Sicherheitsbehörden in bedenklichem Maße das rechtzeitige Aufklären von Straftaten, Anschlagsvorbereitungen, Netzwerkbildung oder Rekrutierung. Mit ZITiS reagiert das Bundesministerium des Innern auf diese Herausforderung und die Notwendigkeit der Ressourcenbündelung. Allerdings: Staatliche Sicherheitsbehörden sind bei allem Know-how nur so wirkungsvoll wie die Eingriffsbefugnisse, die der Gesetzgeber ihnen gibt. Ein Blick auf andere Demokratien Europas zeigt, dass Gesellschaft und Politik in Deutschland für den Schutz der Bürgerinnen und Bürger vor Straftaten mehr Eingriffsbefugnisse wagen könnten und aus Sicht von Sicherheitsbehörden auch müssten.

Aktive Cyberverteidigung?

Das Bundesministerium der Verteidigung hat in der Bundeswehr einen eigenständigen Organisationsbereich für den Cyber- und Informationsraum (CIR) eingerichtet. Hier wird der Cyberraum neben Land, Luft und See als ein eigener militärischer Operationsraum verstanden. Auch international ist die Bundeswehr mit Blick auf den Cyberraum aktiv – zum Beispiel gemeinsam mit anderen deutschen Sicherheitsbehörden bei der regelmäßigen NATO-Cyberübung Locked Shields, die dem Kernseminar im NATO Cooperative Cyber Defence Centre of Excellence in Estland vorgestellt wurde. Die Gretchenfrage: Bleibt es "nur" bei Cyberangriffen gegen ein Land, ohne dass zugleich konventionelle Waffen eingesetzt werden, handelt es sich dann um einen Verteidigungsfall?  Und wenn ja, ab welcher Intensität des Cyberangriffs? Die Entscheidungsträger in europäischen Staaten führen diese Diskussion bewusst mit Bedacht. Die Zuordnung von Cyberangriffen zu einem Täter, die sogenannte Attribution, ist schwierig und liefert, gerade bei staatlichen Akteuren, nur selten gerichtsfeste Beweise.

Was aber, wenn die Täter unbekannt und die Auswirkungen ihrer Cyberangriffe schwerwiegend sind? Denkbar ist ein Szenario, in dem nachweislich über Server auf fremdem Staatsgebiet kritische Infrastrukturen in Deutschland sabotiert werden und der fremde Staat kurzfristig nicht willens und/oder nicht fähig ist, die betreffenden Server auszuschalten. Bislang hat in Deutschland keine Behörde in Friedenszeiten das Recht, solche Angreifersysteme durch eigene Cyberangriffe unschädlich zu machen. Der Einsatz ist hoch: Befürworter einer "aktiven Cyberabwehr" kritisieren die Wehrlosigkeit in einem solchen Szenario, während Kritiker auf die Gefahren von Kollateralschäden und ungewollter Eskalation verweisen. Das Auswärtige Amt begleitet diese cybersicherheitspolitischen Abwägungen mit außenpolitischen Deeskalationsmechanismen, wie zuvorderst die stetige Pflege diplomatischer Kommunikationskanäle und das Mitwirken in entsprechenden Ausschüssen Internationaler Organisationen. Deutschland befürwortet zudem die Unterstützung von Staaten, die nicht ausreichend gerüstet sind, sich oder andere vor Cyberangriffen ausgehend von ihrem Territorium zu schützen.

Unter dem Strich ergibt sich ein gemischtes Bild: Deutsches IT-Know-how ist heute ein international anerkanntes Gut. Dieses Wissen in den deutschen Sicherheitsstrukturen gilt es auszubauen, Zukunftsszenarien und Handlungsoptionen zu durchdenken, in letzter Konsequenz auch militärisch. Sehr kritisch muss der heutige Rechtsrahmen auf die Frage hin geprüft werden, ob er auf die Gefahren der Digitalisierung wehrhaft antwortet und Polizei und Nachrichtendienste mit ausreichend Befugnissen ausstattet, um Kriminellen, Extremisten, Terroristen sowie cyberaggressiven Staaten schlagkräftig gegenüberzutreten.

Autorin: Henrike Stein-Ratjen