Es gab einmal eine Zeit, da war der Verteidigungsministerin und ihren Leuten ein Mantra ziemlich wichtig.
Das war im Mai 2016. Die Ministerin hatte gerade das Kommando "Cyber-
und Informationsraum" (CIR) für die Bundeswehr vorgestellt. Und eben dieses Kommando weckte bei Kritikern Ängste, dass auch Deutschland in das internationale Wettrüsten mit Sicherheitslücken und Schadsoftware einsteigen würde.
Deswegen eben das Mantra von der Leyens. Die Verteidigungsministerin wollte klarstellen, dass es wirklich nur um Verteidigung ginge. "Systeme härten", wie sie damals betonte. Hier und da fiel auch mal das Wort "Abschreckung".
Nun will sie im Kabinett eine "Agentur für Innovation in der Cybersicherheit" auf den Weg bringen. Auch ihr Amtskollege und Innenminister Horst Seehofer wird dabei sein. Erst war die Vorstellung für Mittwoch geplant, dann hat das Innenministerium den Termin wieder verschoben. Gründe dafür wurden bislang nicht genannt. Die Agentur soll für die "IT-Sicherheit" forschen und entwickeln, aber es gibt einige Probleme mit der Planung.
Denn auch jetzt wird von der Leyen viel von Cyber-Sicherheit sprechen. Wieder kocht die alte Diskussion um Angriff und Verteidigung hoch. Wie der Spiegel erfahren haben will, geht es der neuen Agentur nämlich eben dann doch auch um Angriff: "So will man der Entwicklung von Cyberwaffen nicht weiter hinterherlaufen", zitiert das Magazin aus dem Vorstoß des Ministeriums.
Dabei hat sich an grundsätzlichen Fragen nichts geändert. Rechtlich, technologisch und organisatorisch bleibt der Angriff im Internet für die deutschen Behörden schwierig.
Das ist in der IT gar nicht so klar, wie es oft scheint. Dass eine Firewall, das Aufstellen falscher Ziele und der Virenschutz zur "Abwehr" gehören, das ist klar.
Geht der Staat aber bereits zum Angriff über, wenn er versucht, einen Gegner durch das Internet zurückzuverfolgen? Was ist mit dem Versuch, einen laufenden Angriff zu unterbinden, etwa ein Bot-Netz? Darf er dazu Server angreifen, egal in welchem Land sie stehen?
All diese Fragen sind bis heute noch immer nicht eindeutig geklärt.
Es gibt technische Hindernisse bei dieser Frage:
Es gibt aber auch rechtliche Hindernisse:
Es gibt in Deutschland und Europa geradezu einen Dschungel an Behörden und Institutionen, die sich sowohl mit der Verteidigung, als auch mit dem Angriff auf IT-Systeme beschäftigen.
Ihre Aufgaben sind teils so widersprüchlich, dass kaum klar ist, wie eine Koordination am Ende möglich sein soll.
Die gute Nachricht: Die meisten der Organisationen suchen die Zusammenarbeit und müssen das auch auf Grundlage einer bundesdeutschen Sicherheitsstrategie aus dem Jahr 2016 tun.
Mit jeder neuen "Agentur", wie sie am Mittwoch vorgestellt wird, wird diese Zusammenarbeit schwieriger.
Wer im Internet angreifen will, braucht Sicherheitslücken. Das gilt für die Polizei, die auf das Smartphone eines Verdächtigen zugreifen will, genauso wie für die Bundeswehr, wenn sie gegnerische Systeme angreift.
Gerade wenn es um das Hacken von militärischen und Hochsicherheitssystemen geht, braucht etwa die Bundeswehr Hintertüren in gegnerischen Systemen, die sie aufwändig erforschen und/oder (so wie bisher) einkaufen muss. Wird die Lücke bekannt, verliert sie ihren strategischen Nutzen.
Horten Bundeswehr und Polizei aber diese Hintertüren, ohne sie mit Entwicklern zu teilen, bleiben sie auch für jeden Verbrecher offen, der sie findet. Das Internet wird unsicherer.
Die berühmtesten Folgen sind die Epidemien mit den Kryptotrojanern NotPetya und WannaCry – sie verursachten Milliarden von Dollar Schaden und legten sogar Krankenhäuser lahm. Sie nutzten eine Sicherheitslücke, die zuvor bei amerikanischen Geheimdiensten geleakt worden war.
Geht ein Staat also in die Offensive, untergräbt er gleichzeitig die Arbeit von Behörden wie dem BSI und den CERTs, die versuchen, Systeme zu sichern.
Die neue Agentur von Seehofer und von der Leyen ist auch deshalb so paradox, weil seit Jahren ein Notstand an IT-Experten herrscht.
Die Behörde ZITiS klagte etwa Ende vergangenen Jahres noch laut darüber, nicht das richtige Personal zu finden. Auch das Bundeswehr-Kommando CIR hat Schwierigkeiten, die richtigen Leute zu rekrutieren. Privatunternehmen zahlen schlicht besser und bieten bessere Karrierechancen. IT-Leute, die sich mit den Behörden einlassen, haben außerdem keinen besonders guten Ruf in der Branche.
Zusätzlich kannibalisieren sich die staatlichen Stellen gegenseitig, wenn sie immer neue Stellen schaffen, anstatt die zu benutzen, die es bereits gibt.