Deutschland
Analyse

Ursula Von der Leyen und Horst Seehofer schaffen eine "Agentur für Cyber-Sicherheit"

Analyse

Ursula von der Cyber schlägt wieder zu: 5 Probleme ihrer neuen Sicherheits-Agentur

14.08.2018, 09:5314.08.2018, 22:03
Mehr «Deutschland»

Es gab einmal eine Zeit, da war der Verteidigungsministerin und ihren Leuten ein Mantra ziemlich wichtig.

"Nicht Angriff bedeutet Verteidigung, sondern Verteidigung bedeutet Verteidigung"

Das war im Mai 2016. Die Ministerin hatte gerade das Kommando "Cyber- und Informationsraum" (CIR) für die Bundeswehr vorgestellt. Und eben dieses Kommando weckte bei Kritikern Ängste, dass auch Deutschland in das internationale Wettrüsten mit Sicherheitslücken und Schadsoftware einsteigen würde.

Ein Wettrüsten, das zwischen Russland und den USA gerade für heftige Spannungen sorgt:

Deswegen eben das Mantra von der Leyens. Die Verteidigungsministerin wollte klarstellen, dass es wirklich nur um Verteidigung ginge. "Systeme härten", wie sie damals betonte. Hier und da fiel auch mal das Wort "Abschreckung".

Nun will sie im Kabinett  eine "Agentur für Innovation in der Cybersicherheit" auf den Weg bringen. Auch ihr Amtskollege und Innenminister Horst Seehofer wird dabei sein. Erst war die Vorstellung für Mittwoch geplant, dann hat das Innenministerium den Termin wieder verschoben. Gründe dafür wurden bislang nicht genannt. Die Agentur soll für die "IT-Sicherheit" forschen und entwickeln, aber es gibt einige Probleme mit der Planung.

Denn auch jetzt wird von der Leyen viel von Cyber-Sicherheit sprechen. Wieder kocht die alte Diskussion um Angriff und Verteidigung hoch. Wie der Spiegel erfahren haben will, geht es der neuen Agentur nämlich eben dann doch auch um Angriff: "So will man der Entwicklung von Cyberwaffen nicht weiter hinterherlaufen", zitiert das Magazin aus dem Vorstoß des Ministeriums.

Dabei hat sich an grundsätzlichen Fragen nichts geändert. Rechtlich, technologisch und organisatorisch bleibt der Angriff im Internet für die deutschen Behörden schwierig.

Wann beginnt ein Angriff überhaupt?

Das ist in der IT gar nicht so klar, wie es oft scheint. Dass eine Firewall, das Aufstellen falscher Ziele und der Virenschutz zur "Abwehr" gehören, das ist klar.

Geht der Staat aber bereits zum Angriff über, wenn er versucht, einen Gegner durch das Internet zurückzuverfolgen? Was ist mit dem Versuch, einen laufenden Angriff zu unterbinden, etwa ein Bot-Netz? Darf er dazu Server angreifen, egal in welchem Land sie stehen?

All diese Fragen sind bis heute noch immer nicht eindeutig geklärt.

Welcher Gegner soll überhaupt angegriffen werden?

Es gibt technische Hindernisse bei dieser Frage:

  • Nach wie vor ist es schwierig, einen Angriff aus dem Internet zurückzuverfolgen.
  • Attacken laufen mit Monaten der Planung und Durchführung ab. Es gibt normalerweise gar nicht den einen "Angriff" – eher lässt sich das Ganze mit täglicher Spionage vergleichen. Und Spione legen falsche Fährten.
  • Sogenannte Attribution ist zwar möglich, aber Angreifer benutzen Umwege über andere Länder. Benutzen fremde Sprachen, Codes und verschlüsseln ihre Software.
  • Am Schluss kann man nie sicher sein, den Richtigen zu treffen. Politische Eskalationen bleiben deshalb eine immense Gefahr. 

Es gibt aber auch rechtliche Hindernisse:

  • Wann ist ein Angriff verhältnismäßig? Wenn ein Unternehmen gehackt wird? Eine politische Stiftung? der Bundestag?
  • Wann tritt etwa der Verteidigungsfall ein, den es theoretisch braucht, damit die Bundeswehr aktiv werden darf?
  • Wer entscheidet in solch einer Situation über den Einsatz? Muss es das Parlament tun, wie bei anderen Auslandseinsätzen der Bundeswehr? In der Praxis wird das kaum möglich sein.

Zu viele Behörden mit gegensätzlichen Aufgaben

Es gibt in Deutschland und Europa geradezu einen Dschungel an Behörden und Institutionen, die sich sowohl mit der Verteidigung, als auch mit dem Angriff auf IT-Systeme beschäftigen.

Ihre Aufgaben sind teils so widersprüchlich, dass kaum klar ist, wie eine Koordination am Ende möglich sein soll.

Defensive

  • Da ist das Bundesamts für Sicherheit in der Informationstechnik (BSI), das Unternehmen und Verwaltung bei der Sicherheit ihrer Systeme helfen soll. Wenn russische Hackergruppen den Bundestag, die Konrad-Adenauer- oder Friedrich-Ebert Stiftung angreifen. Dann schickt das BSI die Feuerwehr.
  • Die Unternehmen und auch Teile der Verwaltung haben außerdem noch eigene Computer Emergency Response Team (CERTS), mit denen sich etwa die deutsche Telekom um ihre eigene Sicherheit kümmert.
  • Auch noch mit von der Partie ist die Europäische Agentur für Netz- und Informationssicherheit (ENISA).

Offensive

  • Die Zentrale Stelle für Informationstechnik im Sicherheitsbereich (ZITiS)  soll der deutschen Polizei die Instrumente liefern, um in Smartphones und Rechner einzudringen und Verschlüsselung zu knacken.
  • Da sind die Geheimdienste, allen voran der Bundesnachrichtendienst (BND) mit dem neuen BND-Gesetz, der am zentralen Internetknotenpunkt in Frankfurt den deutschen Internet-Traffic anzapft.
  • Neben dem CIR der Bundeswehr hat auch die NATO eine eigene "Cyber"-Abteilung und plant auch Zentren, die sich mit dem Angriff auf feindliche Systeme beschäftigen.

Die gute Nachricht: Die meisten der Organisationen suchen die Zusammenarbeit und müssen das auch auf Grundlage einer bundesdeutschen Sicherheitsstrategie aus dem Jahr 2016 tun.

Mit jeder neuen "Agentur", wie sie am Mittwoch vorgestellt wird, wird diese Zusammenarbeit schwieriger.

Probleme für die IT-Sicherheit der Bürger

Wer im Internet angreifen will, braucht Sicherheitslücken. Das gilt für die Polizei, die auf das Smartphone eines Verdächtigen zugreifen will, genauso wie für die Bundeswehr, wenn sie gegnerische Systeme angreift.

Im zivilen Bereich gibt es deshalb bereits seit Jahren eine heftige Debatte.

Gerade wenn es um das Hacken von militärischen und Hochsicherheitssystemen geht, braucht etwa die Bundeswehr Hintertüren in gegnerischen Systemen, die sie aufwändig erforschen und/oder (so wie bisher) einkaufen muss. Wird die Lücke bekannt, verliert sie ihren strategischen Nutzen.

Horten Bundeswehr und Polizei aber diese Hintertüren, ohne sie mit Entwicklern zu teilen, bleiben sie auch für jeden Verbrecher offen, der sie findet. Das Internet wird unsicherer.

Die berühmtesten Folgen sind die Epidemien mit den Kryptotrojanern NotPetya und WannaCry – sie verursachten Milliarden von Dollar Schaden und legten sogar Krankenhäuser lahm. Sie nutzten eine Sicherheitslücke, die zuvor bei amerikanischen Geheimdiensten geleakt worden war.

Geht ein Staat also in die Offensive, untergräbt er gleichzeitig die Arbeit von Behörden wie dem BSI und den CERTs, die versuchen, Systeme zu sichern.

Wo sollen eigentlich all die Experten herkommen?

Die neue Agentur von Seehofer und von der Leyen ist auch deshalb so paradox, weil seit Jahren ein Notstand an IT-Experten herrscht.

Die Behörde ZITiS klagte etwa Ende vergangenen Jahres noch laut darüber, nicht das richtige Personal zu finden. Auch das Bundeswehr-Kommando CIR hat Schwierigkeiten, die richtigen Leute zu rekrutieren. Privatunternehmen zahlen schlicht besser und bieten bessere Karrierechancen. IT-Leute, die sich mit den Behörden einlassen, haben außerdem keinen besonders guten Ruf in der Branche. 

Zusätzlich kannibalisieren sich die staatlichen Stellen gegenseitig, wenn sie immer neue Stellen schaffen, anstatt die zu benutzen, die es bereits gibt. 

Genderverbot in Bayern: Das ist Populismus ohne Wirkung, liebe Söder:innen

Es ist passiert: Bayern hat das Gendern verboten. In Schulen, an Universitäten und in Behörden dürfen Sternchen oder Doppelpunkte nicht genutzt werden. Das hat das Kabinett beschlossen und die dafür notwendigen Anpassungen an der "Allgemeinen Geschäftsordnung für die Behörden des Freistaates Bayern" vorgenommen.

Zur Story