Es sind nur etwa eineinhalb Sätze, die im
Ergebnispapier der Sondierungen für die laufenden Koalitionsverhandlungen von
SPD, Grünen und FDP aufhorchen lassen: Von einer „Generalrevision“ der
deutschen Sicherheitsarchitektur ist die Rede – und einer Stärkung der
„Fähigkeiten und Strukturen für die Abwehr von Cyberrisiken“ samt Schaffung
einer gesetzlichen Grundlage.
Das ist bitter notwendig, denn angesichts der ständig steigenden Zahl der Attacken aus dem Netz wurde in der Großen Koalition viel geredet, aber zu wenig unternommen.
Das Zuständigkeitschaos verhindert eine schnelle Reaktion im Notfall
Zu viele Zuständigkeiten verhindern mehr Cybersicherheit. Im Notfall – wie etwa bei den Cybersicherheitsvorfällen in den Landkreisen Anhalt-Bitterfeld oder nun in Wismar und Schwerin – wird klar: Wir haben eher zu viele Behörden und Einrichtungen, aber im Zweifel dennoch zu wenige Ressourcen und verlieren wertvolle Zeit, die richtigen Zuständigkeiten zu ermitteln. Das gilt nicht nur für öffentliche Einrichtungen, sondern auch für Unternehmen.
Aus Sicht eines von einem Cybersicherheitsvorfall betroffenen Unternehmens ist die Lage mehr als verwirrend. Ein Beispiel: Hat man als Unternehmerin oder Unternehmer etwa den Verdacht, man würde von einer fremden staatlichen Organisation im Internet ausgespäht, dann handelt es sich um Wirtschaftsspionage und fällt unter den Aufgabenbereich des jeweiligen Landesverfassungsschutzes. Ist es jedoch ein Wettbewerber oder eine nichtstaatliche Organisation, handelt es sich um Industriespionage und ist Sache der Polizeibehörden. Aber wie soll man das im Krisenfall entscheiden? Die Ursachenfindung bei solchen Vorfällen ist schwierig bis unmöglich.
Es mangelt an präventiven Cybersicherheitsmaßnahmen
Die Debatte um Zuständigkeiten verstellt vielfach einen weiteren wesentlichen Punkt: Die für einen sicheren IT-Betrieb notwendigen präventiven Maßnahmen spielen in der Praxis vieler Unternehmen und Behörden keine große Rolle.
Dabei wäre es ganz einfach: Für Behörden gilt die Leitlinie Informationssicherheit in der öffentlichen Verwaltung des IT-Planungsrates. Diese ist verbindlich für Bund und Länder und empfohlen für Kommunen. Der IT-Grundschutz nach BSI ist hier Kern der Anforderungen. Für Führungskräfte in Unternehmen ergibt sich bereits aus dem Aktiengesetz (und analog GmbH-Gesetz) die Pflicht, für existenzbedrohende Risiken vorzusorgen. Auch hier ist der IT-Grundschutz ein guter erster Anhaltspunkt. Doch diese Botschaften sind längst noch nicht überall angekommen, wie Cybersicherheitsvorfälle beinahe jede Woche aufs Neue belegen.
Auch ohne Digitalministerium braucht es geordnete Zuständigkeiten
Das bei Start-ups übliche und in vielen
Digitalisierungsprojekten geübte Vorgehen, zunächst nur ein halbfertiges
Produkt mit nur den nötigsten Funktionen bereitzustellen, das dann in der
Anwendung beim Kunden reift, steht im krassen Gegensatz zu einem wünschenswerten
„Security-By-Design“, bei dem Cybersicherheit von Anfang an fester Bestandteil
der Überlegungen ist. Ein Widerspruch, der nicht so einfach zu lösen ist.
Wir brauchen ein neues Verständnis für
digitale Risiken – sowohl präventiv als auch im Krisenfall. Die Schlüssel dazu
sind Fachkompetenz und klare Zuständigkeiten. Anders gesagt: Überall da, wo
Digitalisierungsthemen auf der Tagesordnung stehen, muss Cybersicherheit von
Anfang an berücksichtigt werden. Dies gilt umso mehr, seitdem sich die neue
Koalition gegen ein Digitalministerium ausgesprochen hat.
In jedem Fall sollte es eine zentrale
Anlaufstelle für von Cyberattacken betroffene Unternehmen geben, die sich unter
Regie des Innenministeriums um Soforthilfe kümmert und – nach Sichtung der Lage
– die zuständigen Behörden einschalten kann.
Als ein Leitbild kann hier das BSI-CERT dienen, das derzeit überwiegend Bundesbehörden offensteht. Die Nutzung eines derartigen Angebots sollte grundsätzlich freiwillig sein – außer bei Unternehmen, die von KRITIS-Regelungen betroffen sind. Hier überwiegt das öffentliche Interesse an Sicherung der betroffenen kritischen Infrastrukturen. So oder so gilt: Im Falle eines Falles ist Reaktionsgeschwindigkeit entscheidend und schnelle und kompetente Hilfe wichtig.
Thomas R. Köhler ist Autor („Chefsache Cybersicherheit“, „Understanding Cyber Risk“) und Lehrbeauftragter an der Hochschule der Polizei Brandenburg, wo er im Masterstudiengang Kriminalistik das Themenfeld „Cybercrime“ verantwortet.