Deutschland braucht dringend eine Neuausrichtung der Cyberabwehr. Der russische Angriffskrieg auf die Ukraine hat deutlich gezeigt, dass Russland nicht nur mit Bomben, Panzern und Drohnen kämpft, sondern auch Cyberwaffen einsetzt. Durch den mutmaßlich russischen Angriff auf den Satelliten-Betreiber Viasat, dessen Angebot auch das ukrainische Militär nutzt, waren als Kollateralschaden rund 3.000 Windräder in Deutschland zeitweise nicht mehr steuerbar. Wir müssen anerkennen, dass die internationalen Gefahren für Deutschland im Cyberspace stark zunehmen. Rein präventive Maßnahmen und die vorherrschende Zuständigkeitsaufteilung werden nicht mehr ausreichen.
Auch im Cyberraum müssen wir die Zeitenwende vollziehen. Dazu gehört für mich, dass Deutschland Verantwortung im Cyberraum übernimmt und beispielsweise laufende Cyberangriffe aus dem Ausland unterbinden und aufklären kann. Dafür müssen wir sowohl rechtlich die Voraussetzungen für eine starke aktive Cyberabwehr in Deutschland als auch die personellen und technischen Möglichkeiten dafür schaffen.
Handlungsoptionen des Bundes reichen nicht ausFür die Cybersicherheit auf Bundesebene sind derzeit vor allem das Bundesministerium des Innern und für Heimat (BMI) und das ihm nachgeordnete Bundesamt für Sicherheit in der Informationstechnik (BSI) verantwortlich. Das BSI ist mit dem Ausbau der IT-Sicherheit des Bundes und dem Schutz der Regierungsnetze betraut. Der Instrumentenkasten dafür reicht von Warnungen über die Festlegung und Kontrolle von Mindeststandards für die Bundes-IT bis hin zur Beratung von Behörden.
Allerdings kann das BSI nur auf Bitten der Länder bei der Abwehr von Cybergefahren, etwa durch die Entsendung seiner Mobile Incident Response Teams (MIRT), helfen. Denn gemäß Artikel 30 GG sind für die Gefahrenabwehr bis auf wenige Ausnahmen grundsätzlich die Bundesländer zuständig. Kurzum: Bei einem großangelegten Cyberangriff auf Deutschland ist der Bund aktuell nur Zuschauer.
10 Vorschläge zur Neuausrichtung der Cyberabwehr
Im Folgenden unterbreite ich zehn Vorschläge für die Neuausrichtung der Cyberabwehr.
Erstens muss die Gewährleistung von Cybersicherheit als gesamtstaatliche Aufgabe wahrgenommen werden. Dafür braucht der Bund – insbesondere bei schwerwiegenden Cyberangriffen – eine Zuständigkeit zur Abwehr von Cyberangriffen. Diese sollten vom Bund aktiv zugeordnet und beendet werden können.
Zweitens brauchen Entscheidungsträger in Bund und Ländern Zugriff auf ein kontinuierlich fortgeschriebenes IT-Lagebild, das alle staatlichen Ebenen sowie die wesentlichen Kritischen Infrastrukturen umfasst.
Drittens, der Bund sollte aktive Cyberfähigkeiten vorhalten, um auch in fremden Netzen laufende Angriffe unterbrechen und forensische Analysen durchführen zu können, die die Attribution des Angriffs und die Identifikation weiterer Opfer unterstützen.
Viertens, die zivilen und militärischen Fähigkeiten zur Cyberabwehr sollten besser verzahnt werden. Zur Verstärkung der MIRT sollen Soldatinnen und Soldaten beim BSI eingesetzt werden können. Diese eignen sich in Friedenszeiten unter der Hoheit des BSI Praxiserfahrung im zivilen Umfeld an. Im Verteidigungsfall würden sie mit den erlernten Fähigkeiten zurück in die Bundeswehrstrukturen wechseln.
Fünftens sollte ein CISO BUND (Chief Information Security Officer) benannt werden. Dadurch wird dem Thema Cybersicherheit die entsprechende politische Bedeutung entgegengebracht.
Sechstens, alle föderalen Ebenen müssen in der Cyberabwehr aufeinander eingespielter werden. Dazu schlage ich regelmäßige, gemeinsame Cyberübungen der Bundesebene, der Länderebene und der Kommunalebene vor.
Siebtens, wir müssen effektive Strategien zur Gewinnung von exzellentem Fachpersonal für den Cyberbereich entwickeln. Das schließt eine Änderung des Tarifvertrags für den Öffentlichen Dienst zur besseren Besoldung von Cyberfachkräften und eine Einschränkung des Besserstellungsverbots mit ein. Darüber hinaus müssen wir die Ausbildung von Cyberabwehr-Spezialisten an den Hochschulen des Bundes weiter ausbauen.
Achtens, die Bundesregierung sollte im Bereich der materiellen Ausrüstung für die Cybersicherheitsbehörden umfangreiche Ausnahmen vom Beschaffungsrecht des Bundes vorsehen. Gerade in diesem Bereich kommt es auf Geschwindigkeit und in bestimmten Fällen auch auf eine nationale Beschränkung des Anbieterkreises an. Der Bund sollte es sich zum Ziel machen, mit seinen Beschaffungen das nationale Ökosystem für IT-Sicherheitslösungen zu stärken.
Neuntens, die Bundesbehörden sollten künftig mindestens für neue IT-Systeme verpflichtend das Zero-Trust-Prinzip umsetzen.
Zehntens, die Bundesregierung sollte die Verbreitung von Security-by-design- und Security-by-default-Ansätzen aktiv fördern.
FazitIn der aktuellen Gefahrenlage kann Deutschland jeden Tag ein großer Cyberangriff treffen. Daher müssen wir uns schon jetzt darauf vorbereiten und nicht erst dann darauf reagieren, wenn es bereits zu spät ist. Dazu gehört auch die Erkenntnis, dass wir die Organisation unserer Cyberabwehr an die aktuellen Herausforderungen anpassen müssen. Dabei erscheint etwa die in Deutschland historisch gewachsene, strikte institutionelle Trennung der äußeren und inneren Sicherheit für den Cyberraum überholt.
Reinhard Brandl (CSU) ist digitalpolitischer Sprecher der CDU/CSU-Bundestagsfraktion.
