Fast auf den Tag genau vor zwölf Jahren gab das Kabinett Merkel II den Startschuss zum Auf- und Ausbau der deutschen Cybersicherheitsarchitektur. Erst vor kurzem haben Sachverständige im Bundestag zum wiederholten Male angemerkt, dass es bei dieser Architektur dringenden Reformbedarf gibt. Diese Einschätzung wird, zumindest laut Koalitionsvertrag, auch von der aktuellen Bundesregierung geteilt. Dort heißt es, dass man einen „strukturellen Umbau der IT-Sicherheitsarchitektur” einleiten will.
Offenbar bedeutet das aber nicht, dass man den aktuellen Zustand analysiert und die Architektur daraufhin reformiert. Denn bereits zwei Tage nach der Anhörung im Bundestag veröffentlichte das Bundesministerium für Bildung und Forschung (BMBF) seine „Agenda Cybersicherheitsforschung”, in der es den Aufbau eines Arbeitskreises für Forschung beim Nationalen Cyberabwehrzentrum (NCAZ) fordert.
Statt Reform und Umbau ist das ein Weiter-so-wie-bisher oder noch deutlicher ausgedrückt: An der Cybersicherheitsarchitektur wird planlos rumgefrickelt. Eine Blaupause, die zielgerichtet und ressortübergreifend verfolgt wird, fehlt weiterhin. Aber wie lässt sich dieser Zustand ändern?
Die deutsche Cybersicherheitsarchitektur ist ein Wimmelbild
Seit der Verabschiedung der ersten „Cybersicherheitsstrategie für Deutschland“ ist die deutsche Cybersicherheitsarchitektur, im Ausschuss für Digitales liebevoll und treffend „Wimmelbild” getauft, zu einem hochkomplexen Gebilde herangewachsen. Alles in allem umfasst sie heute auf Bundesebene mehr als 80 Akteure, die wiederum mit einer Vielzahl von Akteuren auf Kommunal-, Länder-, EU- und NATO-Ebene mehr oder weniger in Verbindung stehen. Es ist nachvollziehbar, dass in einem neu aufkommenden Politikbereich Strukturen aufgebaut werden mussten. Doch nun ist es höchste Zeit, diese Strukturen zu konsolidieren und Bilanz zu ziehen: Was funktioniert, wo gibt es Defizite?
Bisher nehmen Behörden ihre Zuständigkeiten einfach mit in den Cyberraum; was aber fehlt, ist eine institutionelle Struktur, die der Bedeutung dieses Politikfeldes und der aktuellen Bedrohungslage gerecht wird. Wie kann die Bundesregierung verhindern, dass wir in fünf Jahren an dem gleichen Punkt stehen wie heute? Neben einer Blaupause für die Cybersicherheitsarchitektur und Reformwillen braucht es dafür eine ressortübergreifende Erarbeitung, Abstimmung, Koordinierung und Implementierung von Strategien, Agenden und Prozessen.
Beauftragte:r für Cybersicherheitspolitik
Eigentlich gibt es für diese Aufgaben, so steht es zum Beispiel auch in der Cybersicherheitsstrategie für Deutschland 2016, den Nationalen Cyber-Sicherheitsrat (NCSR). Dieser ist aber seit Langem vollkommen dysfunktional. Statt Debatten und Entscheidungen gibt es nur aneinandergereihte Vorträge. Statt eines Sekretariats, das diskutierte Themen ressortübergreifend ausarbeiten und zur Abstimmung geben kann, gibt es lediglich ein vom Bundesministerium des Innern und für Heimat (BMI) gesteuertes Veranstaltungsmanagement. Vertreter:innen der Ressorts und der Wirtschaft nehmen das Gremium schon länger nicht mehr ernst.
Das ist schon allein daran zu erkennen, dass die Staatssekretäre:innen der Ressorts eingeladen sind, aber ihre Teilnahme in der Regel nach unten delegieren – in der Politik ein deutliches Zeichen von Desinteresse. Neben dem BMI braucht es mehr Engagement der anderen Ressorts, vor allem des Bundesministeriums der Verteidigung (BMVg), des Auswärtigen Amts (AA) und des Bundeskanzleramts (BKAmt). Auch die Wirtschaft wünscht sich mehr echten, lagebezogenen Austausch und gemeinsame Entscheidungen in diesem eigentlich hochrangigen Gremium (Background berichtete). Und die Zivilgesellschaft und Wissenschaft haben in diesem Bereich schon oft bewiesen, dass auch sie wertvolle Inhalte beitragen können.
Natürlich könnte die Bundesregierung den NCSR reformieren. Besser wäre es jedoch, ihn komplett neu zu erfinden. Denn: Die bisherigen Reformversuche sind allesamt gescheitert. Die Bundesregierung würde den NCSR durch einen neuen Akteur ersetzen – zum Beispiel durch eine:n Beauftragte:n für Cybersicherheitspolitik. Der:die Beauftragte wäre für die Konzeption der Cybersicherheitsstrategie, die Weiterentwicklung der Cybersicherheitsarchitektur und die Koordinierung, besser noch die Steuerung, von Prozessen wie der Aktiven Cyberabwehr oder dem Attributionsverfahren zuständig – und nicht zuletzt auch für die Rolle von „Cyber-” in der Sicherheitspolitik.
Um die nötige Entscheidungsbasis zu schaffen, muss gewährleistet sein, dass die Sicherheitsbehörden und andere Akteure gegenüber dem:der Beauftragten eine Informationspflicht haben. Außerdem sollte die Bundesregierung, je nach Aufgabenzuschnitt, auch über Weisungsbefugnisse des:der Beauftragten nachdenken. Um diese Aufgaben wahrnehmen zu können, braucht der:die Beauftragte natürlich auch Mitarbeitende, die sowohl über administrative als auch inhaltliche Expertise verfügen.
Damit der:die Beauftragte die Querschnittsaufgaben wahrnehmen kann, muss er:sie ressortübergreifend in die Cybersicherheitsarchitektur integriert sein. So könnten sich die Mitarbeitenden zum Beispiel aus BKAmt, BMI, AA und BMVg rekrutieren und/oder der:die Beauftragte direkt im Kanzleramt angesiedelt sein. Diese Position würde es dem:der Beauftragten ermöglichen, die relevanten Vertreter:innen der Ressorts sowie aus Wirtschaft, Wissenschaft und Zivilgesellschaft an einen Tisch zu bringen.
Der:die Beauftragte für Cybersicherheitspolitik wäre ressort- und sektorübergreifend für das gesamte Themenfeld Cybersicherheitspolitik verantwortlich. Der vieldiskutierte Chief Information Security Officer des Bundes (CISO BUND) wäre im Gegensatz dazu für die (technisch-organisatorische) IT-Sicherheit der Bundes-IT zuständig.
Kommission zur Neuordnung der Cybersicherheitsarchitektur
Der:die Beauftragte für Cybersicherheitspolitik sollte die Neuordnung der Cybersicherheitsarchitektur vorantreiben. Dies könnte zum Beispiel im Rahmen einer „Kommission zur Evaluierung der deutschen Cybersicherheitsarchitektur und Erarbeitung des entsprechenden Reformbedarfs” geschehen. Die Idee erinnert natürlich unweigerlich an die Werthebach-Kommission. Die Erfolge und Misserfolge dieser Kommission, die den Auftrag hatte, die deutschen Sicherheitsbehörden zu evaluieren, zu untersuchen wäre deshalb empfehlenswert.
Ein erster Schritt bei der Neuordnung der Cybersicherheitsarchitektur muss eine Neuausrichtung des Zielbildes der deutschen Cybersicherheitspolitik sein. Dabei sind unter anderem Aspekte wie die zivile oder militärische Ausrichtung der Cyberabwehr, die Bedeutung des Föderalismus und die Schnittmenge von Cybersicherheitsaufgaben mit Informationsoperationen und hybrider Kriegsführung von zentraler Bedeutung.
Vor allem sollten die Dysfunktionalitäten der aktuellen Architektur aufgezeigt und analysiert werden. Auf Basis dessen würden Reformvorschläge erarbeitet. Basierend auf den Erkenntnissen und mit Blick auf die geplante Neuausrichtung sollte eine Rollen- und Zuständigkeitsverteilung erfolgen, die zwingend die Länderebene mit berücksichtigt. Unbedingt sollte auch darauf geachtet werden, dass die Architektur anschlussfähig bleibt für verwandte Themen, etwa den Bevölkerungsschutz und den Umgang mit Desinformation.
Idealerweise ergibt sich hieraus eine Blaupause für die deutsche Cybersicherheitsarchitektur der Zukunft. Auf dieser Basis kann geklärt werden, welchen organisatorischen und rechtlichen Reformbedarf es für die einzelnen Architektur-Bestandteile gibt. Es braucht einen Entwicklungs- und Reformprozess, der die einzelnen Baustellen in der Cybersicherheitsarchitektur, aber auch das große Ganze im Blick behält. Der:die Cybersicherheitsbeauftragte sollte diesen Reformprozess engmaschig überwachen, damit im Bedarfsfall nachjustiert werden kann.
Die deutsche Cybersicherheitsarchitektur muss grundlegend überarbeitet werden. Damit das gelingen kann, braucht es einen mit den notwendigen Ressourcen ausgestatteten Akteur. Dieser muss einen Prozess vorantreiben, der das Zielbild der deutschen Cybersicherheitspolitik an die heutige Zeit anpasst und die Architektur entsprechend reformiert.
Der Autor bedankt sich bei Lola Attenberger, Nadine Nagel und vielen weiteren Expert:innen aus Politik, Verwaltung, Wirtschaft, Wissenschaft und Zivilgesellschaft für ihre Gedanken, Ideen und Kommentare.
Sven Herpig ist Leiter für Cybersicherheitspolitik und Resilienz bei der Stiftung Neue Verantwortung.
In unserer Reihe „Perspektiven“ ordnen unsere Kolumnist:innen regelmäßig aktuelle Entwicklungen, Trends und Innovationen im Bereich Cybersicherheit ein. Zuletzt von Sven Herpig erschienen: Error 404 – Politikwechsel nicht gefunden
