Standpunkte Vernetzung ist das Gebot der Stunde – nicht Zentralisierung

Wir erleben zurzeit eine nie dagewesene Dynamik mit Blick auf den Cyberraum: Dazu tragen vor allem die Pandemie und der Angriffskrieg Russlands auf die Ukraine bei. Die Pandemie hat viele Aspekte unseres Lebens in die digitale Welt verlagert. Die zunehmende Digitalisierung schafft neben all ihren unbestreitbaren Vorzügen gleichzeitig mehr Angriffsflächen im Cyberraum. Sie macht uns verletzlicher.

Die Bedrohungslage hat sich, nicht zuletzt durch den Krieg Russlands auf die Ukraine, verschärft. Laut einer Studie im Auftrag des Digitalverbands Bitkom aus dem vergangenen Jahr entsteht der deutschen Wirtschaft ein jährlicher Schaden von rund 203 Milliarden Euro durch Diebstahl von IT-Ausrüstung und Daten, Spionage und Sabotage. Dies bedeutet eine Verdopplung in den vergangenen drei Jahren.

Die Bedrohungslage im Cyberraum ist so hoch wie nie. Das bestätigt auch der im Oktober 2022 erschienene Bericht des Bundesamtes für Sicherheit in der Informationstechnik (BSI) zur Lage der IT-Sicherheit in Deutschland. Dieser Situation müssen und wollen wir als Staat und als Gesellschaft bestmöglich begegnen.

Sechs strategische Ziele für die Cybersicherheit

Innerhalb der föderalen Sicherheitsstrukturen in der Bundesrepublik Deutschland sind dabei sechs strategische Ziele von besonderer Bedeutung:

• Cybersicherheit muss stärker wahrgenommen werden. Informationen zum Thema Cybersicherheit müssen für die unterschiedlichen Zielgruppen aufbereitet und leicht zugänglich sein.
• Die Cybersicherheitsprävention für kleine und mittlere Unternehmen stärken.
• Die Steigerung der Cybersicherheitskompetenzen von Bürgerinnen und Bürgern sowie Unternehmen.
• Die Kommunikation der Cybersicherheitsakteure in und zwischen Ländern und Bund muss effektiver und effizienter werden.
• Die Unterstützung der Forschung und des Ausbaus des Wissenschaftsstandorts Bundesrepublik Deutschland samt Gewinnung von Fachkräften.
• Eine verbesserte Datenlage im Bereich Cybersicherheit.

In einer sich stetig weiterentwickelnden digitalisierten Welt und insbesondere in unserer freien Gesellschaft jedoch wird es eine hundertprozentige Sicherheit nicht geben können. Der Staat muss allerdings seinen Bürgerinnen und Bürgern und den Unternehmen dabei behilflich sein, sich und andere zu schützen.

Daher ist es besonders wichtig, staatliche und nichtstaatliche Akteure im föderalen System der Bundesrepublik Deutschland zu vernetzen, schon vorhandene Kompetenzen zu bündeln und existierende Angebote zu koordinieren. Außerdem ist die Stärkung der nationalen Cybersicherheitsarchitektur und die Weiterentwicklung der Zusammenarbeit zwischen Bund und Ländern im Bereich der Cyber- und Informationssicherheit entscheidend.

Zentralisierung wenig zielführend

Aktuell diskutierte Modelle einer stärkeren Zentralisierung und Bündelung von Kompetenzen auf Bundesebene halten wir in NRW nicht für zielführend. Die Länder haben gegenüber einer zentralisierten Behörde auf Bundesebene deutliche Vorteile: sie verfügen mit ihren Sicherheitsbehörden über Fachwissen in der Gefahrenabwehr. Sie kennen die Gegebenheiten vor Ort und die örtlichen Zusammenhänge detailliert und sie verfügen über tiefe Branchenkenntnisse.

Damit sind sie in der Lage, den operativen Herausforderungen von Bedrohungen aus dem Cyberraum vor Ort effizient und zügig zu begegnen. Deshalb kommt für uns eine Kompetenzverlagerung im Bereich der Gefahrenabwehr auf den Bund und eine Koordinierung der Gefahrenabwehr durch eine Bundesbehörde wie das BSI nicht in Betracht. Es ist derzeit zudem unklar, ob es fachlich notwendig ist, das BSI zu einer sogenannten Zentralstelle auszubauen, da eine Lücke in der bestehenden Sicherheitsarchitektur nicht festzustellen ist.

Kritisch zu hinterfragen, ist auch die personelle Leistungsfähigkeit des BSI. Gerade zuletzt wurden auf Bundesebene verwaltungsintern eher Maßnahmen zur Entlastung des BSI angestoßen. So sieht der kürzlich bekannt gewordene Entwurf einer Neufassung der Verschlusssachen-Anweisung des Bundes vor, dass Umfang und Tiefe der Beteiligung des BSI bei der Freigabe von IT, die zur Verarbeitung von Verschlusssachen genutzt werden soll, zurückgefahren werden.

Strafverfolgung und Prävention

In den Ländern sind über die Gefahrenabwehr hinausgehende Strukturen staatlicher Stellen gut etabliert, etwa bei der Strafverfolgung. Die Staatsanwaltschaften und insbesondere die in den Ländern geschaffene Schwerpunktstaatsanwaltschaften arbeiten anerkannt gut mit den Ermittlungsbehörden der Länder zusammen.

Für NRW etwa hat sich die bei der Staatsanwaltschaft Köln angesiedelte Zentral- und Ansprechstelle Cybercrime (ZAC), die bundesweit größte Cybercrime-Einheit der Justiz, als zentrale Ansprechstelle etabliert. Sie arbeitet als verfahrensführende Stelle bei Ermittlungen der herausgehobenen Cyberkriminalität eng mit der beim Landeskriminalamt NRW angesiedelten „Zentrale Ansprechstelle Cybercrime“ zusammen. Diese Zusammenarbeit ist mittlerweile so hoch angesehen, dass Fachleute aus dem In- und Ausland hier Rat suchen.

Auch wenn Strafverfolgung in erster Linie repressiv ist, hat sie immer auch einen präventiven Charakter. Potenzielle Täter werden abgeschreckt oder Ermittlungsverfahren liefern Erkenntnisse, die dann unter anderem die Gefahrenabwehrbehörden zu präventiven Zwecken nutzen können.

Stärken im technischen Bereich ausbauen

Die erfolgreichen und etablierten Strukturen in den Ländern müssen durch den Bund und seine Behörden gestärkt und unterstützt werden. Sinnvoll wäre es, die Stärken und Kompetenzen des BSI im technischen Bereich auszubauen. Bund und Länder verfügen bereits über wichtige Expertise, die auf alle Beteiligten übertragen werden sollte. Technische Vorgänge und Leistungen im Bereich der Cybersicherheit sind nämlich hochgradig standardisiert und das BSI hat in diesem Bereich ein hohes Maß an Kompetenz und Erfahrung aufgebaut.

Das Bereitstellen dieses Wissens würde die Cybersicherheit in Bund und Ländern auf ein neues Niveau heben, ohne dass bestehende und funktionierende Strukturen aufgebrochen werden müssten. Das BSI könnte als eine zentrale Behörde für die technische Unterstützung der Sicherheitsbehörden etabliert werden (zum Beispiel Sicherheitsbewertung von Software, Apps oder Ähnlichem).

Außerdem könnte es Erkenntnisse zur Cybersicherheitslage sammeln und mit den Sicherheitsbehörden des Bundes und der Länder auf Augenhöhe teilen. Außerdem wäre es wünschenswert, dass das BSI für Sicherheitsbehörden standardisierbare Unterstützungsleistungen erbringt, zum Beispiel das Schulen und Sensibilisieren von Personal in Fragen der Cybersicherheit sowie das Erarbeiten allgemeiner Sicherheitsstandards.

NCAZ ausbauen

Vernetzung ist das Gebot der Stunde, nicht Zentralisierung. Hierzu sollten bewährte Formen der Zusammenarbeit zwischen Bund und Ländern weiter ausgebaut und entwickelt werden. So sollte etwa das Nationale Cyber Abwehrzentrum (NCAZ) als bestehendes und anerkanntes Gremium bei Wahrung der Standards ausgebaut werden. Denn die Fähigkeiten, Kenntnisse und Kompetenzen der Länder sind erforderlich, um die nationale Cyberabwehr im Zusammenspiel mit den Akteuren des Bundes zu stärken und so einen möglichst weitgehenden Schutz zu bieten.

Es bietet sich an, eine Einrichtung der Cybersicherheit auf nationaler Ebene zu schaffen, in der die Länder und der Bund gleichberechtigt ihre Stärken und Kompetenzen einbringen, bündeln und ausbauen können. An dieser Stelle könnte auch eine politische Koordination der Thematik Cybersicherheit angedockt werden. So könnte eine dauerhafte und strukturiert organisierte Kooperationsplattform des Bundes und der Länder entstehen. Das BSI könnte in dieser Einrichtung als starke technisch-operative Behörde zur Unterstützung der Länder und des Bundes in der Rolle als zentrale Cybersicherheitsbehörde gestärkt werden.