Digitalisierung-KI icon

Digitalisierung & KI

Standpunkte Cybersicherheit ohne Fachbereichsegoismen!

Thomas R. Köhler, Lehrbeauftragter an der Hochschule der Polizei Brandenburg
Thomas R. Köhler, Lehrbeauftragter an der Hochschule der Polizei Brandenburg Foto: Privat

Für die deutsche Cybersicherheitsarchitektur braucht es auf Bundesebene klare Zuständigkeiten, fordert Thomas R. Köhler. Denn ohne zentrale Anlaufstelle wird auch die kommende Regierung im Notfall nicht schnell genug reagieren können.

von Thomas R. Köhler

veröffentlicht am 11.11.2021

Lernen Sie den Tagesspiegel Background kennen

Sie lesen einen kostenfreien Artikel vom Tagesspiegel Background. Testen Sie jetzt unser werktägliches Entscheider-Briefing und erhalten Sie exklusive und aktuelle Hintergrundinformationen für 30 Tage kostenfrei.

Jetzt kostenfrei testen
Sie sind bereits Background-Kunde? Hier einloggen

Es sind nur etwa eineinhalb Sätze, die im Ergebnispapier der Sondierungen für die laufenden Koalitionsverhandlungen von SPD, Grünen und FDP aufhorchen lassen: Von einer „Generalrevision“ der deutschen Sicherheitsarchitektur ist die Rede – und einer Stärkung der „Fähigkeiten und Strukturen für die Abwehr von Cyberrisiken“ samt Schaffung einer gesetzlichen Grundlage.

Das ist bitter notwendig, denn angesichts der ständig steigenden Zahl der Attacken aus dem Netz wurde in der Großen Koalition viel geredet, aber zu wenig unternommen.

Das Zuständigkeitschaos verhindert eine schnelle Reaktion im Notfall

Zu viele Zuständigkeiten verhindern mehr Cybersicherheit. Im Notfall – wie etwa bei den Cybersicherheitsvorfällen in den Landkreisen Anhalt-Bitterfeld oder nun in Wismar und Schwerin – wird klar: Wir haben eher zu viele Behörden und Einrichtungen, aber im Zweifel dennoch zu wenige Ressourcen und verlieren wertvolle Zeit, die richtigen Zuständigkeiten zu ermitteln. Das gilt nicht nur für öffentliche Einrichtungen, sondern auch für Unternehmen.

Aus Sicht eines von einem Cybersicherheitsvorfall betroffenen Unternehmens ist die Lage mehr als verwirrend. Ein Beispiel: Hat man als Unternehmerin oder Unternehmer etwa den Verdacht, man würde von einer fremden staatlichen Organisation im Internet ausgespäht, dann handelt es sich um Wirtschaftsspionage und fällt unter den Aufgabenbereich des jeweiligen Landesverfassungsschutzes. Ist es jedoch ein Wettbewerber oder eine nichtstaatliche Organisation, handelt es sich um Industriespionage und ist Sache der Polizeibehörden. Aber wie soll man das im Krisenfall entscheiden? Die Ursachenfindung bei solchen Vorfällen ist schwierig bis unmöglich.

Es mangelt an präventiven Cybersicherheitsmaßnahmen 

Die Debatte um Zuständigkeiten verstellt vielfach einen weiteren wesentlichen Punkt: Die für einen sicheren IT-Betrieb notwendigen präventiven Maßnahmen spielen in der Praxis vieler Unternehmen und Behörden keine große Rolle. 

Dabei wäre es ganz einfach: Für Behörden gilt die Leitlinie Informationssicherheit in der öffentlichen Verwaltung des IT-Planungsrates. Diese ist verbindlich für Bund und Länder und empfohlen für Kommunen. Der IT-Grundschutz nach BSI ist hier Kern der Anforderungen. Für Führungskräfte in Unternehmen ergibt sich bereits aus dem Aktiengesetz (und analog GmbH-Gesetz) die Pflicht, für existenzbedrohende Risiken vorzusorgen. Auch hier ist der IT-Grundschutz ein guter erster Anhaltspunkt. Doch diese Botschaften sind längst noch nicht überall angekommen, wie Cybersicherheitsvorfälle beinahe jede Woche aufs Neue belegen.

Auch ohne Digitalministerium braucht es geordnete Zuständigkeiten

Das bei Start-ups übliche und in vielen Digitalisierungsprojekten geübte Vorgehen, zunächst nur ein halbfertiges Produkt mit nur den nötigsten Funktionen bereitzustellen, das dann in der Anwendung beim Kunden reift, steht im krassen Gegensatz zu einem wünschenswerten „Security-By-Design“, bei dem Cybersicherheit von Anfang an fester Bestandteil der Überlegungen ist. Ein Widerspruch, der nicht so einfach zu lösen ist.

Wir brauchen ein neues Verständnis für digitale Risiken – sowohl präventiv als auch im Krisenfall. Die Schlüssel dazu sind Fachkompetenz und klare Zuständigkeiten. Anders gesagt: Überall da, wo Digitalisierungsthemen auf der Tagesordnung stehen, muss Cybersicherheit von Anfang an berücksichtigt werden. Dies gilt umso mehr, seitdem sich die neue Koalition gegen ein Digitalministerium ausgesprochen hat.

In jedem Fall sollte es eine zentrale Anlaufstelle für von Cyberattacken betroffene Unternehmen geben, die sich unter Regie des Innenministeriums um Soforthilfe kümmert und – nach Sichtung der Lage – die zuständigen Behörden einschalten kann.

Als ein Leitbild kann hier das BSI-CERT dienen, das derzeit überwiegend Bundesbehörden offensteht. Die Nutzung eines derartigen Angebots sollte grundsätzlich freiwillig sein – außer bei Unternehmen, die von KRITIS-Regelungen betroffen sind. Hier überwiegt das öffentliche Interesse an Sicherung der betroffenen kritischen Infrastrukturen. So oder so gilt: Im Falle eines Falles ist Reaktionsgeschwindigkeit entscheidend und schnelle und kompetente Hilfe wichtig.

Thomas R. Köhler ist Autor („Chefsache Cybersicherheit“, „Understanding Cyber Risk“) und Lehrbeauftragter an der Hochschule der Polizei Brandenburg, wo er im Masterstudiengang Kriminalistik das Themenfeld „Cybercrime“ verantwortet.

Lernen Sie den Tagesspiegel Background kennen

Sie lesen einen kostenfreien Artikel vom Tagesspiegel Background. Testen Sie jetzt unser werktägliches Entscheider-Briefing und erhalten Sie exklusive und aktuelle Hintergrundinformationen für 30 Tage kostenfrei.

Jetzt kostenfrei testen
Sie sind bereits Background-Kunde? Hier einloggen