Deutschland

Analyse

Ursula von der Cyber schlägt wieder zu: 5 Probleme ihrer neuen Sicherheits-Agentur

Es gab einmal eine Zeit, da war der Verteidigungsministerin und ihren Leuten ein Mantra ziemlich wichtig.

"Nicht Angriff bedeutet Verteidigung, sondern Verteidigung bedeutet Verteidigung"

Das war im Mai 2016. Die Ministerin hatte gerade das Kommando "Cyber- und Informationsraum" (CIR) für die Bundeswehr vorgestellt. Und eben dieses Kommando weckte bei Kritikern Ängste, dass auch Deutschland in das internationale Wettrüsten mit Sicherheitslücken und Schadsoftware einsteigen würde.

Ein Wettrüsten, das zwischen Russland und den USA gerade für heftige Spannungen sorgt:

Deswegen eben das Mantra von der Leyens. Die Verteidigungsministerin wollte klarstellen, dass es wirklich nur um Verteidigung ginge. "Systeme härten", wie sie damals betonte. Hier und da fiel auch mal das Wort "Abschreckung".

Nun will sie im Kabinett  eine "Agentur für Innovation in der Cybersicherheit" auf den Weg bringen. Auch ihr Amtskollege und Innenminister Horst Seehofer wird dabei sein. Erst war die Vorstellung für Mittwoch geplant, dann hat das Innenministerium den Termin wieder verschoben. Gründe dafür wurden bislang nicht genannt. Die Agentur soll für die "IT-Sicherheit" forschen und entwickeln, aber es gibt einige Probleme mit der Planung.

Denn auch jetzt wird von der Leyen viel von Cyber-Sicherheit sprechen. Wieder kocht die alte Diskussion um Angriff und Verteidigung hoch. Wie der Spiegel erfahren haben will, geht es der neuen Agentur nämlich eben dann doch auch um Angriff: "So will man der Entwicklung von Cyberwaffen nicht weiter hinterherlaufen", zitiert das Magazin aus dem Vorstoß des Ministeriums.

Dabei hat sich an grundsätzlichen Fragen nichts geändert. Rechtlich, technologisch und organisatorisch bleibt der Angriff im Internet für die deutschen Behörden schwierig.

Wann beginnt ein Angriff überhaupt?

Das ist in der IT gar nicht so klar, wie es oft scheint. Dass eine Firewall, das Aufstellen falscher Ziele und der Virenschutz zur "Abwehr" gehören, das ist klar.

Geht der Staat aber bereits zum Angriff über, wenn er versucht, einen Gegner durch das Internet zurückzuverfolgen? Was ist mit dem Versuch, einen laufenden Angriff zu unterbinden, etwa ein Bot-Netz? Darf er dazu Server angreifen, egal in welchem Land sie stehen?

All diese Fragen sind bis heute noch immer nicht eindeutig geklärt.

Welcher Gegner soll überhaupt angegriffen werden?

Es gibt technische Hindernisse bei dieser Frage:

Es gibt aber auch rechtliche Hindernisse:

Zu viele Behörden mit gegensätzlichen Aufgaben

Es gibt in Deutschland und Europa geradezu einen Dschungel an Behörden und Institutionen, die sich sowohl mit der Verteidigung, als auch mit dem Angriff auf IT-Systeme beschäftigen.

Ihre Aufgaben sind teils so widersprüchlich, dass kaum klar ist, wie eine Koordination am Ende möglich sein soll.

Defensive

Offensive

Die gute Nachricht: Die meisten der Organisationen suchen die Zusammenarbeit und müssen das auch auf Grundlage einer bundesdeutschen Sicherheitsstrategie aus dem Jahr 2016 tun.

Mit jeder neuen "Agentur", wie sie am Mittwoch vorgestellt wird, wird diese Zusammenarbeit schwieriger.

Probleme für die IT-Sicherheit der Bürger

Wer im Internet angreifen will, braucht Sicherheitslücken. Das gilt für die Polizei, die auf das Smartphone eines Verdächtigen zugreifen will, genauso wie für die Bundeswehr, wenn sie gegnerische Systeme angreift.

Im zivilen Bereich gibt es deshalb bereits seit Jahren eine heftige Debatte.

Gerade wenn es um das Hacken von militärischen und Hochsicherheitssystemen geht, braucht etwa die Bundeswehr Hintertüren in gegnerischen Systemen, die sie aufwändig erforschen und/oder (so wie bisher) einkaufen muss. Wird die Lücke bekannt, verliert sie ihren strategischen Nutzen.

Horten Bundeswehr und Polizei aber diese Hintertüren, ohne sie mit Entwicklern zu teilen, bleiben sie auch für jeden Verbrecher offen, der sie findet. Das Internet wird unsicherer.

Die berühmtesten Folgen sind die Epidemien mit den Kryptotrojanern NotPetya und WannaCry – sie verursachten Milliarden von Dollar Schaden und legten sogar Krankenhäuser lahm. Sie nutzten eine Sicherheitslücke, die zuvor bei amerikanischen Geheimdiensten geleakt worden war.

Geht ein Staat also in die Offensive, untergräbt er gleichzeitig die Arbeit von Behörden wie dem BSI und den CERTs, die versuchen, Systeme zu sichern.

Wo sollen eigentlich all die Experten herkommen?

Die neue Agentur von Seehofer und von der Leyen ist auch deshalb so paradox, weil seit Jahren ein Notstand an IT-Experten herrscht.

Die Behörde ZITiS klagte etwa Ende vergangenen Jahres noch laut darüber, nicht das richtige Personal zu finden. Auch das Bundeswehr-Kommando CIR hat Schwierigkeiten, die richtigen Leute zu rekrutieren. Privatunternehmen zahlen schlicht besser und bieten bessere Karrierechancen. IT-Leute, die sich mit den Behörden einlassen, haben außerdem keinen besonders guten Ruf in der Branche. 

Zusätzlich kannibalisieren sich die staatlichen Stellen gegenseitig, wenn sie immer neue Stellen schaffen, anstatt die zu benutzen, die es bereits gibt. 

0
Bubble Weil wir die Kommentar-Debatten weiterhin persönlich moderieren möchten, sehen wir uns gezwungen, die Kommentarfunktion 48 Stunden nach Publikation einer Story zu schliessen. Vielen Dank für dein Verständnis!
0Alle Kommentare anzeigen

Palmer warnt bei Lanz vor "schwarzer Pädagogik" – und provoziert heftige Reaktionen

Boris Palmer ist auf vielen Arten anders. Der Tübinger ist wohl der einzige deutsche Bürgermeister, der regelmäßig in Talkshows sitzt und auch außerhalb seiner (gar nicht soo großen) Stadt sehr bekannt ist. Und Boris Palmer ist Grünen-Politiker – zum Leiden mancher Parteikollegen. Denn Palmer polarisiert. Am liebsten mit heiklen Positionen zu heiklen Themen wie Migration. Der grüne Rathauschef aus Tübingen sorgt so regelmäßig für deutschlandweite Diskussionen.

Am Donnerstagabend war der …

Artikel lesen
Link zum Artikel