Cybersicherheitsstrategie ist beschlossen

Das Bundeskabinett hat in seiner Sitzung am 9. November die neue „Cyber-Sicherheitsstrategie für Deutschland“ be­schlossen. Sie löst das bisher gültige Papier aus dem Jahr 2011 ab. Teile eines Entwurfs waren im Sommer bereits be­kannt geworden. Die jetzt beschlossene Version entspricht im Wesentlichen dem da­maligen Entwurf aus dem Bundesinnenministerium (BMI), einige Passagen wurden anscheinend im Laufe der Ressort­abstimmung abgemildert oder gestrichen.

Die Cyber-Sicherheitsstrategie ist in vier Handlungsfelder unterteilt:

  1. Sicheres und selbstbestimmtes Handeln in einer digitali­sierten Umgebung
  2. Gemeinsamer Auftrag Cyber-Sicherheit von Staat und Wirtschaft
  3. Leistungsfähige und nachhaltige gesamtstaatliche Cyber- Sicherheitsarchitektur
  4. Aktive Positionierung Deutschlands in der europäischen und internationalen Cyber-Sicherheitspolitik.

Im ersten Handlungsfeld geht es um die Rahmenbedingun­gen für Cyber-Sicherheit. „Die Bürgerinnen und Bürger müs­sen – ebenso wie Unternehmen, Staat und sonstige Akteure in Deutschland – in der Lage sein, die Chancen und Risiken beim Einsatz von Informationstechnik zu erfassen, zu be­werten und ihr Handeln daran auszurichten“, heißt es in der Einleitung des Kapitels. Um sie dazu in die Lage zu versetzen, will die Bundesregierung mit Schul-, Aus- und Weiterbildung die digitale Kompetenz fördern.

„Jede Schulabgängerin und jeder Schulabgänger sollte ein technisches Grundverständ­nis und grundlegende Kenntnisse im sicheren Umgang mit Informations- und Kommunikationstechnik haben.“

Beim Thema „Verschlüsselung“ verfolgt die Bundesregie­rung eine Doppelstrategie. Einerseits gilt: „Eine leicht hand­habbare und sichere Verschlüsselung gewährleistet eine vertrauliche elektronische Kommunikation für alle Akteure und sollte zum Standard werden.“ Anderseits folgt man auch dem Ansatz „Sicherheit trotz Verschlüsselung“. Danach sol­len die „technischen Fähigkeiten der Strafverfolgungs- und Sicherheitsbehörden zur Entschlüsselung parallel zu den technischen Entwicklungen in Sachen Verschlüsselung stetig fortentwickelt werden“.

Die Cyber-Sicherheitsstrategie beschäftigt sich auch mit der sicheren Identifizierung von Nutzern im Netz. „Das derzeit verbreitete, aber nicht sichere Benutzername/Passwort- Verfahren ist als Standard zu ergänzen und nach Möglichkeit abzulösen“ wird dort gefordert. Als staatlichen Beitrag dazu sieht die Bundesregierung den elektronischen Personal­ausweis bzw. Reisepass. Damit stelle die Bundesregierung bereits „eine hochsichere und datensparsame Identifikati­onsmöglichkeit im Netz“ bereit. Ziel sei es, die Online-Aus­weisfunktion als Standard-Identifizierungsmittel für sensible Dienste zu etablieren, fortzuentwickeln und vergleichbare sichere Lösungen auch in der Wirtschaft zu fördern.

Dem eGovernment-Monitor 2016 zufolge können allerdings nur vier Prozent der Internetnutzer in Deutschland alle Funktio­nen des elektronischen Personalausweises vollständig nut­zen. Ein Gesetz, das u.a. die Nutzung des E-Personalausweises erleichtert, soll nach der Zeitplanung des BMI aus dem Oktober am 16. November im Kabinett be­handelt werden. Im Entwurf der Strategie war ein Hinweis auf die „sich abzeichnenden Entwicklungen hin zur Nutzung von DE-Mail in Fachanwendungen“ enthalten, der sich in der finalen Version nicht mehr wiederfindet. Auch DE-Mail war im eGovernment-Monitor eine geringe Nutzung bescheinigt worden.

cybersicherheit-1500x984
Foto: CC BY-SA 2.0 Flickr User: Blue Coat Photos. Bildname: Secure Data – Data Security. Ausschnitt bearbeitet

Zertifizierungen und ein Gütesiegel hält die Bundesregie­rung für wichtige Elemente, um sichere Produkte zu stärken. So kündigt sie an, „ein Basis-Zertifizierungsverfahren, für sichere IT-Verbraucherprodukte“ einzuführen, dessen Krite­rien durch das Bundesamt für Sicherheit in der Informati­onstechnik (BSI) festgelegt werden sollen. Auch auf ein ein­heitliches Gütesiegel will die Bundesregierung hinarbeiten.

Im Handlungsfeld „Gemeinsamer Auftrag von Staat und Wirt­schaft“ sind einige Streichungen gegenüber dem Entwurf erkennbar. So ist im Abschnitt „Unternehmen in Deutsch­land schützen“ der Hinweis gestrichen worden, dass die Bundesregierung es für sinnvoll halte, „dass in jede Unter­nehmensführung eine Person mit ausgewiesenem IT-Know-how berufen wird“. Auch der Plan, die Bundesdruckerei zu einem IT-Sicherheitskonzern des Bundes zu entwickeln, der Beteiligungen an strategisch wichtigen deutschen IT-Herstel­lern erwirbt, findet sich nicht mehr in der Kabinettsfassung. Im Abschnitt „Die deutsche Wirtschaft stärken“ heißt es jetzt allgemein:

„In nationalen Schlüsseltechnologien sind die Vernetzung mit der nationa­len IT-Sicherheitswirtschaft zu stärken und – wo möglich und sinnvoll – eigene Kapazitäten aufzubauen, zu fördern und zu schützen.“

Dieses Handlungsfeld beschäftigt sich auch mit der ge­meinsamen Reaktion von Staat und Wirtschaft auf Cyber- Angriffe. Die Bundesregierung prüft, die im IT-Sicherheits­gesetz festgelegten Präventions- und Reaktionspflichten für die Betreiber kritischer Infrastrukturen auch auf „an­dere Unternehmen von hoher gesellschaftlicher Relevanz“ auszuweiten. In der Strategie wird in allgemeiner Form von einer Zusammenarbeit von privaten Unternehmen und staatlichen Stellen bei der Abwehr von Cyberangriffen ausgegangen. So ist von „gegenseitigem Austausch von IT-Fachwissen“, der „Bildung von Spezialisten-Netzwerken“ und „personellen Austauschprogrammen“ die Rede. Die im BSI konzipierte „Cyberwehr“ wird nicht explizit erwähnt. In der Strategie wird eine Koopera­tionsplattform für Staat und Wirtschaft beschrieben, „die innerhalb der vorgegebenen rechtlichen Grenzen vor allem einen Austausch relevanter Lageinformationen zur Abwehr von Cyberangriffen ermöglicht.“

Im Handlungsfeld 3 „Leistungsfähige und nachhaltige ge­samtstaatliche Cyber-Sicherheitsarchitektur“ werden ins­besondere die Strukturen des Bundes zur Cyberabwehr beschrieben – von der Weiterentwicklung des Nationalen Cyber-Abwehrzentrums über die „Mobile Incident Respon­se Teams“ des BSI, die „Quick Reaction Force“ des Bundes­kriminalamtes und ähnliche Einheiten beim Bundesamt für Verfassungsschutz, dem Bundesnachrichtendienst und dem Militärischen Abschirmdienst. Dem BSI soll als neue Aufgabe die Unterstützung von Landesbehörden übertragen werden, wenn diese mit der Bewältigung von Cyber-Sicherheitsvorfällen befasst sind. Bisher ist nur die Unterstützung von Polizeien und Strafver­folgungsbehörden geregelt.

Der vierte und letzte Handlungsabschnitt „Aktive Positio­nierung Deutschlands in der europäischen und internati­onalen Cyber-Sicherheitspolitik“ beschäftigt sich mit der Außen- und Verteidigungspolitik in Sachen Cybersicherheit. So will sich die Bundesregierung dafür einsetzen, dass die IT-Sicherheit auf der EU-Ebene bei Fragen des Datenschutzes und des internationalen Datenaustausches berücksichtigt wird. Außerdem geht es um die deutschen Aktivitäten in in­ternationalen Organisationen von der NATO über die OSZE bis zur UN.

Diplomatie spielt anscheinend nicht nur in der Cyber-Außenpolitik, sondern auch in der Innenpolitik gegenüber den eigenen Bürgern eine Rolle. So wurde der Bevölkerung im Referentenentwurf noch zugerufen:

„Die Cyber-Bedrohungs­lage wird durch eine digitale Sorglosigkeit der Bürgerinnen und Bürger verschärft.“ Daraus wurde in der abgestimmten Version: „Neben Bildung bedarf verantwortungsvolles und risikobewusstes Handeln regelmäßiger Sensibilisierung, um digitaler Sorglosigkeit der Bürgerinnen und Bürger im priva­ten und beruflichen Umfeld entgegenzutreten.“

Der vorstehende Artikel erscheint im Rahmen einer Kooperation mit dem Tagesspiegel Politikmonitoring auf UdL Digital. Sascha Klettke ist Chef vom Dienst und Analyst für Netzpolitik.