Die Bundesregierung verkündete Anfang der Woche auf dem Digitalgipfel in Dortmund die Gründung des im Koalitionsvertrag verankerten „Nationalen Pakt Cybersicherheit“, welcher seit über einem halben Jahr in Arbeit ist. Ziel dieser Plattform sei es, so das federführende Bundesinnenministerium (BMI), den gesamtgesellschaftlichen Ansatz zur Verbesserung der Cybersicherheit in Deutschland zu fördern. Damit nimmt sich die Bundesregierung eines wichtigen und zukunftsträchtigen Themas an. Herausgekommen ist dabei jedoch eine eher mutlose und durchschaubare PR-Kampagne mit auf den ersten Blick wenig erkennbarem Mehrwert für die Cybersicherheit in Deutschland.
Eine Aufgabe des Nationalen Pakts ist es, eine Übersicht über alle Institutionen und Akteure zu erstellen,
die sich in Deutschland mit dem Thema Cybersicherheit beschäftigen, welche als „Online
Kompendium Cybersicherheit“ veröffentlicht wird. Es ergänzt damit etwa die Arbeit der Stiftung Neue Verantwortung zur staatlichen Cybersicherheitsarchitektur um Akteure aus Wirtschaft, Wissenschaft und Zivilgesellschaft. Dass es dieses
Kompendium nun gibt, ist gut, da eine Bestandsaufnahme ein wichtiger erster
Schritt für Folgemaßnahmen ist. Interessant wird es dann, wenn es um die Pflege und Nachhaltigkeit dieser
Datenbank geht. Eine einmalige Erhebung wäre sicherlich kein gut
investiertes Geld, da sich Zuständigkeiten und Beteiligungen in diesem Bereich
oftmals ändern.
Eine Quadriga für vertrauensvolle Zusammenarbeit
Die „Quadriga“ nimmt eine wichtige Rolle im Pakt ein. Sie ist das öffentlichkeitswirksame Gremium des Pakts und besteht „aus bekannten und hochrangigen Persönlichkeiten“. Vertreten sind Regierung (durch das Innenministerium), Wirtschaft (durch die Deutsche Telekom), Wissenschaft (durch die TU Darmstadt) und Zivilgesellschaft (durch den Verbraucherzentrale Bundesverband).
Bei der Auswahl der Quadriga entsteht der Eindruck, dass das BMI es sich nicht zur Priorität gemacht hat, die deutsche Cybersicherheitspolitik durch die Einbindung von kritischen Stimmen auf Herz und Nieren zu prüfen, sondern dass hier eher strategisch besetzt wurde: BMI und Telekom sind das beste Beispiel dafür. Mit der Wahl des zivilgesellschaftlichen Vertreters gelingt dem BMI ein kluger Schachzug: Zum einen kann sie damit begründet werden, dass der digitale Verbraucherschutz im Koalitionsvertrag verankert ist. Zum anderen hat man es damit vermieden, eine der Organisationen, die die Bundesregierung dauerhaft für ihre Cybersicherheitspolitik kritisieren, mit in das Gremium aufzunehmen.
Es ist fraglich, ob die getätigte Auswahl in Verbindung mit dem intransparenten und von oben herab vorgegebenen Vorgehen dazu führt, eine vertrauensvolle Zusammenarbeit mit der Zivilgesellschaft zu fördern. Wie man es inklusiver und partizipativer gestalten kann, zeigt der gesellschaftliche Dialog des Bundesamts für Sicherheit in der Informationstechnik (BSI).
Unter der Führung der Quadriga sollen verschiedene
Kommunikationstätigkeiten und Veranstaltungen stattfinden, die mitunter in
einer gesamtgesellschaftlichen Erklärung
zu Cybersicherheit münden. Wenn der Prozess zur Erstellung der Erklärung dem
bisherigen Top-Down-Ansatz folgt und kritische Stimmen außenvor gelassen
werden, wird sie die Bits und Bytes nicht wert sein, auf denen sie
gespeichert ist. Falls sich das Innenministerium für Verbesserungsvorschläge
zur deutschen Cybersicherheitspolitik von Vertreterinnen und Vertretern aus
Wirtschaft, Wissenschaft und Zivilgesellschaft interessiert, bietet sich ein
Blick in die Aufzeichnung der Innenausschusssitzung vom April dieses Jahres an.
Handlungsempfehlungen? Erst für die nächste Legislaturperiode
Der letzte Baustein des Pakts ist eine „wissenschaftliche Wirksamkeitsmessung“ der Erhebung mit anschließenden Handlungsempfehlungen für die nächste Legislaturperiode. Während das Vorgehen im Allgemeinen sehr zu begrüßen ist, ist unklar, wie genau die Wirksamkeit der Erhebung gemessen werden soll, und inwiefern das zu Handlungsempfehlungen führen kann. Selbst wenn die Messung aber sinnvoll möglich sein sollte und umgesetzt werden könnte, ist spätestens die Formulierung „für die nächste Legislaturperiode“ der Todesstoß für dieses Vorhaben. Die Wahrscheinlichkeit, dass solche Empfehlungen nach einer Wahl wieder aufgegriffen werden, ist leider äußerst gering.
Es ist schön zu sehen, dass das Innenministerium versucht, das Thema
Cybersicherheit ernster zu nehmen. Auch der Ansatz eines Kompendiums ist durchaus
vielversprechend. Beim Rest der Initiative wird man leider den Eindruck
nicht los, dass es mehr Schein als Sein ist. Nachdem das Innenministerium unter
Horst Seehofer (CSU) zuletzt nicht
durch seinen Fokus auf gesamtgesellschaftliche Teilhabe auffiel (es sei an
dieser Stelle an Seehofers „witzelnde“ Aussage erinnert, dass Sicherheitsgesetze absichtlich kompliziert gestaltet werden können,
um Kritik an ihnen zu vermeiden), wirkt dieses Vorgehen wie der Versuch,
zivilgesellschaftliche Beteiligung vorzugeben, ohne echte Einflussnahme zu
ermöglichen.
Sven Herpig ist Leiter für internationale Cyber-Sicherheitspolitik bei der Stiftung Neuer Verantwortung (SNV). Bevor Herpig zur SNV kam, arbeitete er mehrere Jahre bei deutschen Bundesbehörden im Bereich IT-Sicherheit – unter anderem beim BSI.