Kolumne : Cybersicherheitsarchitektur: Zeit für eine Reform?

Bundestagswahlkämpfe und die sich an die Wahl anschließenden Koalitionsverhandlungen gelten vielen als perfekter Zeitpunkt, um Vorschläge für neue Behörden, Plattformen oder andere Institute zu machen. Das gilt auch für die Cybersicherheitspolitik. So wurden im Zuge dieser Bundestagswahl bereits unter anderem ein KI-Sicherheitsinstitut, eine Militärinnovationsagentur, eine Plattform Souveräne Cloud und KI-Infrastruktur und eine spezialisierte technische Zentralstelle für die Nachrichtendienste ins Spiel gebracht. Kurze Erinnerung: In Deutschland tummeln sich auf Bundes- und Landesebene bereits über 200 Akteure, die irgendetwas mit Cyber- und IT-Sicherheit machen. Und es werden jedes Jahr mehr.

Die Inventur ist gemacht, jetzt muss evaluiert und reformiert werden

Sind die gemachten Vorschläge automatisch schlecht? Nicht unbedingt. Das wäre im Einzelfall zu prüfen. Was die Autor:innen all dieser Vorschläge in jedem Fall viel zu selten selbst überprüfen: Ob der Akteur, den sie ins Leben rufen oder in Stellung bringen wollen, vielleicht Teil einer bereits bestehenden Institution, Plattform oder Behörde werden könnte. Das führt zu teils aberwitzigen Diskursen.

Zum Beispiel streiten gerade die Bundesagentur für Sprunginnovationen und die Agentur für Innovation in der Cybersicherheit darum, wer die Militärinnovationsagentur betreiben oder aufbauen sollte. Oftmals fehlt denjenigen, die neue Akteure aufbauen wollen, das Grundverständnis des bestehenden Ökosystems und der notwendigen Strukturen. Noch viel wichtiger wäre aber eine ehrliche Bestandsaufnahme dessen, was es bereits gibt, und des sich daraus ergebenden Bedarfs.

Eine Inventur haben wir mit der Datenbank zu Deutschlands staatlicher Cybersicherheitsarchitektur bereits gemacht. Wir haben dabei Reformbedarf festgestellt. Erste Vorschläge wie die Konsolidierung der Cybersicherheitsinitiativen, die Zusammenlegung von forschungsfördernden Organisationen wie der Cyberagentur oder die Reform oder Abschaffung des Nationalen Cybersicherheitsrats habe ich bereits 2023 im Bundestag dargelegt.

Fehlende Anreize und mangelhafte Kommunikation

Mit der einzigen Ausnahme des German Competence Centre against Cybercrime wurde noch nie ein Akteur aufgelöst oder abgeschafft. Glaube ich. Erinnert sich noch jemand an den Nationalen Pakt Cybersicherheit der 2019, der mit großem Tamtam vom Staatssekretär des Bundesministeriums des Innern, für Bau und Heimat mit drei weiteren Eminenzen („hohe Quadriga“) aus Wirtschaft, Wissenschaft und Verbraucherschutz geschlossen wurde? Nachdem man mehr als eine halbe Millionen Euro für ein „Online-Kompendium zur Cybersicherheit“ rausgeschmissen hatte, wurde es sehr leise um diese Initiative. Aber es gibt sie noch – irgendwie. Sie wurde 2023 der Allianz für Cybersicherheit übergeben.

Dies ist nur eines von vielen Beispielen, an denen deutlich wird, dass niemand den Mut zu dem Eingeständnis besitzt, dass manche Akteure mehr kosten als nutzen. Es gibt im aktuellen System keine Anreize für politische Entscheidungsträger:innen, Institutionen zusammenzulegen oder abzuschaffen. Man schweigt sie einfach tot und versenkt im schlimmsten Fall immer weiter Ressourcen.

Es muss auch klarer werden, wie sich einzelne Akteure voneinander abgrenzen, falls sie das überhaupt tun. Vermutlich gibt es nur eine Handvoll Personen, die sinnvoll erklären können, warum wir uns parallel eine Bundesagentur für Sprunginnovationen, eine Agentur für Innovation in der Cybersicherheit, ein Cyber Innovation Hub der Bundeswehr, eine Zentrale Stelle für Informationstechnik im Sicherheitsbereich, ein Zentrum für Digitale Souveränität und einen Sovereign Tech Fund leisten. Und warum wir dann auch noch eine Militärinnovationsagentur und eine Plattform Souveräne Cloud und KI-Infrastruktur gründen müssen. Und das ist nur die Bundesebene. Witzigerweise werden viele dieser Akteure von denjenigen, die ihre Gründung fordern, mit einem einzigen US-amerikanischen Counterpart, der Defense Advanced Research Projects Agency (Darpa), verglichen.

Bei den Bemühungen um eine Konsolidierung der Cybersicherheitsarchitektur kann es sich aber auch lohnen, tief in bestehende Akteure hineinzuschauen, statt nur oberflächlich auf mögliche Parallelstrukturen zu achten. Blicken wir zum Beispiel auf das Bundesamt für Sicherheit in der Informationstechnik (BSI). Braucht es wirklich vier Referate für digitalen Verbraucherschutz oder vier Referate für Cybersicherheit in der zivilen Luftfahrt? Vielleicht. Gab es in den letzten zehn Jahren bei der Kernaufgabe des BSI, der operativen Cybersicherheit für den Bund, ein Wachstum an Personal und Expertise, das der Zunahme an Planstellen und Aufgaben Rechnung trägt? Vielleicht. Doch bisher hat diese Fragen niemand im Detail geprüft – abgesehen vom für das BSI zuständigen Bundesministerium des Innern und für Heimat, und das ist möglicherweise nicht völlig unvoreingenommen.

Expertenkommission statt Cyber-Doge

Braucht es hierzulande also eine deutsche Entsprechung zum US-amerikanischen Department of Government Efficiency (Doge), um in der deutschen Cybersicherheitsarchitektur aufzuräumen? Auf keinen Fall. Niemand braucht eine subversive Einheit von einem Milliardär hörigen Jüngern, deren einziges Ziel die Zersetzung von Exekutive und Demokratie ist. Auch wenn eine Gruppe alter weißer Männer um den ehemaligen US-Vertreter bei den Vereinten Nationen, Hugh Dugan, das Gegenteil glaubt und offenbar völlig unironisch die Doge United Nations gegründet hat.

Was es für Deutschland braucht, ist ein möglichst unabhängiger Akteur, der die Redundanzen und Ressourcenverwendung – und -verschwendung! – in der Cybersicherheitsarchitektur prüft, Reformen vorschlägt und über ihre Umsetzung wacht.

Für diese Aufgabe kommen mehrere Akteure infrage, die allerdings alle auch eine Nachteile in dieser Rolle mitbrächten. Der Bundesrechnungshof zum Beispiel. Der Vorteil: Wir müssen keine neue Behörde gründen. Der Bundesrechnungshof ist geradezu prädestiniert für diese Aufgabe, siehe Eigenbeschreibung: „Wir prüfen die gesamte Haushalts- und Wirtschaftsführung des Bundes. Mit anderen Worten: Wir schauen genau hin, was mit den Steuergeldern passiert, machen Probleme transparent und sprechen Empfehlungen aus.“ Der Bundesrechnungshof ist allerdings nicht auf Cybersicherheit spezialisiert und eher ein Korrektiv, wenn es keine begründete Hoffnung auf Besserung gibt.

Der Nationale Cyber-Sicherheitsrat wiederum könnte einen konstruktiven Prozess anstoßen. Leider ist der Nationale Cyber-Sicherheitsrat einer solchen Aufgabe derzeit nicht gewachsen und bedarf selbst dringender Überarbeitung.

Am sinnvollsten für die Evaluierung und Reform der Cybersicherheitsarchitektur erscheint die Gründung eines zeitlich begrenzten Expertengremiums. Damit schafft man zwar auch einen neuen Akteur, aber eben nicht dauerhaft – und mit einer sehr klar umrissenen Aufgabe. Die Besetzung einer durch die Bundesregierung berufenen Expertenkommission müsste aber in einer Art und Weise stattfinden, dass die pragmatische Ausrichtung deutlich wird und es sich nicht nur um ein Feigenblatt handelt. Interdisziplinarität und Intersektoralität sind zwingend erforderlich. Damit sie auch methodisch arbeiten kann, unter anderem durch Mitarbeitendenbefragungen oder Budget-Analysen, sollte die Kommission operativ von einem Unternehmen oder einer Organisation mit Fach- und Methodikexpertise unterstützt werden.

Das Ergebnis der Evaluierung und Reform muss in einer Art und Weise aufgearbeitet werden, dass es in aller Kürze und unmissverständlich klarmacht, wie der aktuelle Zustand der Cybersicherheitsarchitektur ist und welche Schritte konkret ergriffen werden müssen, um Verbesserungen zu erreichen und eine an Wirksamkeit ausgerichtete Struktur zu schaffen. Es muss sich dabei um praxisnahe und politisch umsetzbare Lösungen handeln. Ein rein wissenschaftlicher Bericht von über 100 Seiten kann als empirisches Fundament dienen, darf aber nicht das eigentliche Endprodukt sein. Denn damit können Entscheidungsträger:innen in der Praxis wenig anfangen.

Darüber hinaus muss beim Einsetzen einer solchen Kommission bereits klar sein, wer die politische Federführung bei der Implementierung der Reformvorschläge haben wird. Denn gute Vorschläge ohne klar zugeordnete politische Verantwortung versanden viel zu oft. Da es sich bei der Cybersicherheitsarchitektur um ein ressortübergreifendes sicherheitspolitisches Thema handelt, könnte das Bundeskanzleramt die Verantwortung für die Umsetzung der Reformvorschläge übernehmen. Betrachtet man das Thema eher aus der Perspektive des effizienten Ressourceneinsatzes, könnte hier auch der Haushaltsausschuss des Bundestages eine zentrale Rolle übernehmen.

Fahrplan für eine effektivere Cybersicherheitsarchitektur

Kurzfristig: Ab sofort sollte jeder, der eine neue Behörde, Plattform oder Institution schaffen will, vorab folgende drei Fragen ehrlich beantworten müssen:

1. Gibt es Überschneidungen zu bereits bestehenden Einrichtungen? Gibt es Parallelstrukturen?
2. Warum können die Aufgaben nicht von einem bereits existierenden Akteur übernommen werden?
3. Wenn ein neuer Akteur entstehen soll – welche bereits bestehende Struktur könnte dafür dann abgeschafft werden oder mit der neuen Stelle zusammengelegt werden, damit das Ökosystem nicht immer nur weiter wächst?

Mittelfristig: Bis Ende 2026 muss es eine ernst gemeinte Evaluierung der deutschen Cybersicherheitsarchitektur geben. Sollte dieser Prozess nicht ausreichend unabhängig sein oder keine Unterstützung erfahren, müsste der Bundesrechnungshof als letzte und korrektive Instanz eingreifen, um Fehlentwicklungen zu stoppen und Verbesserungsvorschläge zu machen.
Weiterhin sollte bis Ende 2026 unter Federführung des Bundeskanzleramts eine an der Wirksamkeit orientierte Blaupause für die deutsche Cybersicherheitsarchitektur entwickelt werden. Idealerweise in Zusammenarbeit mit den zuständigen Ministerien der Bundesländer, um die Architektur von Bund und Ländern zu harmonisieren.

Langfristig: Bis Ende 2028 sollte die Bundesregierung eine Reform der Cybersicherheitsarchitektur durchführen, die die Ergebnisse der Evaluierung widerspiegelt und die Architektur im Sinne der Blaupause weiterentwickelt.

Nur durch diese Maßnahmen kann ein neuerlicher Wildwuchs wie der der letzten Jahrzehnte verhindert werden und in Deutschland eine effiziente und effektive Sicherheitsarchitektur für den Cyberraum entstehen.

Anmerkung des Autors: Im Artikel heißt es: „Braucht es hierzulande also eine deutsche Entsprechung zum US-amerikanischen Department of Government Efficiency (Doge), um in der deutschen Cybersicherheitsarchitektur aufzuräumen? Auf keinen Fall. Niemand braucht eine subversive Einheit von einem Milliardär hörigen Jüngern, deren einziges Ziel die Zersetzung von Exekutive und Demokratie ist.“

Ergänzen möchte ich, dass ich den Begriff „DOGE“ im vorherigen Titel als rhetorisches Stilmittel verwendete. Ich möchte jedoch klarstellen, dass ich mich ausdrücklich von der faschistischen Ideologie, mit der dieser Begriff belastet ist, distanziere. Worte haben Macht – und ich erkenne an, dass auch eine ironische oder stilisierte Nutzung problematisch sein kann. Solche Begriffe sollten mit größter Vorsicht verwendet werden, selbst im Kontext einer pointierten Auseinandersetzung. Ich danke allen, die auf die Sensibilität dieser Wortwahl aufmerksam gemacht haben [Anmerkung der Redaktion: Der Titel des Beitrags wurde vor diesem Hintergrund angepasst]

Sven Herpig ist Leiter für Cybersicherheitspolitik und Resilienz bei Interface (vorher: Stiftung Neue Verantwortung).

In unserer Reihe „Perspektiven“ kommentieren unsere Kolumnist:innen regelmäßig aktuelle Entwicklungen, Trends und Innovationen im Bereich Cybersicherheit ein. Zuletzt von Herpig erschienen: Deutsche Souveränität – ein Wolkenkuckucksheim?