Um die eingangs formulierte Frage sinnvoll beantworten zu können, müssen wir einen Schritt zurücktreten. Medienanfragen zu neuen Policies und Gesetzesinitiativen sind oft mit der Frage verbunden, wie Deutschland bei der Cybersicherheitspolitik im internationalen Vergleich abschneidet. Am liebsten im Vergleich zu Estland oder Frankreich. Der pauschale, länderübergreifende Vergleich von Cybersicherheitspolitik auf dieser Flughöhe ist allerdings nur schwer möglich.
Natürlich hält das gerade US-amerikanische Think Tanks nicht davon ab, die halbe Welt allerlei Vergleichen zu unterziehen, siehe zum Beispiel das Belfer Center for Science and International Affairs mit seinem National Cyber Power Index. Ob die Autor:innen die analysierten Länder aber wirklich verstehen, darf zumindest bezweifelt werden. Denn wenn wir ehrlich sind, selbst einheimische Praktiker:innen und Wissenschaftler:innen mit vielen Jahren Erfahrung finden immer noch Akteure, Prozesse und Rechtsgrundlagen, die sie vorher nicht kannten.
Einer der Hauptgründe dafür, warum internationale Vergleiche so problematisch sind – wenn man sie denn seriös anstellen möchte –, ist, dass es keinen allgemeingültigen Bewertungsmaßstab und auch keinen Kriterienkatalog gibt, an dem wir die deutsche Cybersicherheitspolitik messen können. Gerade darauf zielt oft die zweite Frage von Medienvertreter:innen ab: Wenn man schon nicht wisse, wie Deutschland im internationalen Vergleich abschneidet, so könne man doch zumindest sagen, ob wir bei der Cybersicherheitspolitik gut aufgestellt sind. Die ehrliche, aber auch etwas langweilige Antwort darauf muss wohl lauten: ganz okay, aber es könnte weitaus besser sein. Vor allem, wenn es um die Art und Weise geht, wie Politik hierzulande gestaltet, evaluiert und verbessert wird.
Das ist natürlich eine relativ vage Antwort. Denn: schon die Definition von „gut“ ist in diesem Zusammenhang unklar. Um die Frage besser beantworten zu können, wäre daher ein erster Impuls, sich die Entwicklung der Bedrohungslage anzuschauen. Hat sie sich entspannt, neigen wir zu der Schlussfolgerung, dass unsere Cybersicherheitspolitik greift. Ist sie angespannter, vermuten wir, dass wir zu wenig tun. Damit wären wir bei der ersten Hürde, wenn wir ermitteln wollen, wie effektiv unsere Cybersicherheitspolitik ist: Wir haben nur ein unzureichendes, fragmentiertes Lagebild. Allein das ist natürlich schon ein erster Indikator dafür, dass unsere Cybersicherheitspolitik noch nicht da ist, wo sie sein sollte. Als Näherungswert lassen sich zum Beispiel die Lagebilder IT-Sicherheit des Bundesamts für Sicherheit in der Informationstechnik nehmen. Daraus lässt sich sehr verkürzt ablesen: Die Gefährdungslage stagniert seit Jahren auf einem hohen Niveau. Und das, obwohl wir in den vergangenen Jahren eine Menge Ressourcen investiert haben.
Ein ewiges Katz-und-Maus-Spiel
Leider machen wir es uns mit dieser Argumentation aber zu einfach. Denn: Cybersicherheitspolitik findet nicht im Vakuum statt. Es gibt Gegner – Kriminelle, Nachrichtendienste, Militärs –, die ihrerseits massive Ressourcen investieren, um uns besser schaden zu können. Um es mit den Worten von Dan Geer zu sagen, einem weltweit anerkannten Computersicherheitsexperten: „Ob bei der Erkennung, Eindämmung oder Vorbeugung, wir stellen persönliche Bestleistungen auf, während die Gegner Weltrekorde aufstellen“. Es ist also durchaus möglich, dass die deutsche Cybersicherheitspolitik immer besser wird – unter anderem im Sinne einer steigenden Implementierung von IT-Sicherheits- und Resilienzmaßnahmen – und trotzdem gibt es mehr IT-Sicherheitsvorfälle. Einfach deswegen, weil die Antagonisten noch besser werden. Das ist frustrierend. Aber so funktioniert die Welt. Aufgeben sollte deswegen niemand.
Wir halten also fest: Es ist schwer bis unmöglich, pauschale Aussagen über den Zustand der deutschen Cybersicherheitspolitik zu treffen. Daher sollten gezielt einzelne Policies, Institutionen und Projekte analysiert und evaluiert werden. Dann können die Ergebnisse in den größeren Kontext der Cybersicherheitspolitik, wie zum Beispiel internationale Vergleiche, gesetzt werden. Vergleichbare Methoden bei den Analysen vorausgesetzt.
Damit Evaluierungen ihre Wirkung entfalten, ist allerdings auch wichtig, auf welche Art und Weise Projekte und Polices ausgewertet werden. Zum Beispiel sollten Policies nicht von den denjenigen evaluiert werden, die für ihre Implementierung verantwortlich sind (Tagesspiegel Background berichtete). Gleichzeitig sollte der Anwendungsbereich sinnvoll gewählt werden. Dabei darf man gerne auch über die gesetzlichen Mindestvorgaben hinausgehen. Denn das Ziel sollte sein, die Cybersicherheitspolitik in Deutschland besser zu machen und nicht nur ein Häkchen an die Aufgabenliste zu setzen. Darüber hinaus müssen Evaluator:innen die notwendigen Datenpunkte bereitgestellt werden. Generell sollte die Bundesregierung weitaus mehr Informationen zur deutschen Cybersicherheitspolitik proaktiv bereitstellen, und nicht nur auf Kleine Anfragen und Anfragen gemäß Informationsfreiheitsgesetz reagieren. Zuweilen wirkt es nämlich so, als arbeite die Bundesregierung bei diesem Thema mehr für sich selbst als für dieses Land. All dies sind Punkte, bei denen wir besser werden müssen. Das hat unter anderem die Teilevaluierung des IT-Sicherheitsgesetzes 2.0 gezeigt.
Mehr Offenheit wagen
Aktuell ist es leider so, dass kaum Policies und Projekte von unabhängigen Expert:innen in einem offiziellen Prozess evaluiert werden. Wenn es dann doch einmal passiert, endet es so wie gerade mit der Teilevaluierung des IT-Sicherheitsgesetzes 2.0. Darüber hinaus werden selbst nach externer Kritik und internen Evaluierungen dysfunktionale Institutionen weiter betrieben, weil Entscheider:innen nicht den Mut haben, sie abzuschaffen. Es scheint das Mantra der Regierung(en) zu sein, lieber ein paar minimal-invasive Anpassungen, die kaum etwas ändern, durchzuführen und weiter Steuergelder darin zu versenken, als sich einen Fehler einzugestehen.
Pauschale Gesamtvergleiche funktionieren nicht, aber was funktioniert, sind gezielte Evaluationen, die sich auf einzelne Policies, Institutionen und Projekte beziehen. Umso mehr davon wir analysieren, umso eher wird es uns möglich sein, die deutsche Cybersicherheitspolitik realitätsnah zu bewerten und zu verbessern. Allerdings nützt uns die schönste und treffendste Einordnung nichts, wenn die zuständigen Behörden die Kritik dann nicht hören und entsprechende Verbesserungsvorschläge umsetzen wollen.
Sven Herpig ist Leiter für Cybersicherheitspolitik und Resilienz bei der Stiftung Neue Verantwortung.
In unserer Reihe „Perspektiven“ ordnen unsere Kolumnist:innen regelmäßig aktuelle Entwicklungen, Trends und Innovationen im Bereich Cybersicherheit ein. Zuletzt von Sven Herpig erschienen: Unsere Cybersicherheitsarchitektur braucht ein Upgrade!