Moderne Cybersicherheitspolitik muss defensiv und dynamisch sein

Sebastian Hartmann
Sebastian Hartmann

Freiheit und Sicherheit sind untrennbar miteinander verbunden. Es ist die Aufgabe staatlichen Handels, Menschen vor Unsicherheiten zu schützen – als Grundlage für ein freiheitliches Zusammenleben. Was in der Theorie schlüssig scheint, stellt uns in der Praxis vor Herausforderungen. Zwei Dinge sollten uns bewusst sein. Erstens: Der tatsächliche Erfolg sicherheitspolitischer Maßnahmen lässt sich immer nur grob voraussagen. Zu welchem Ergebnis einzelne Maßnahmen in einem komplexen Gefüge an Einflüssen und Variablen führen, ist meist nur im Nachhinein festzustellen. Zweitens: Sicherheitspolitische Maßnahmen bedeuten immer auch finanziellen und materiellen Aufwand. Das bedeutet, um Sicherheitspolitik zu gestalten bedarf es Mut, Investitionen und Weitsicht.  Dies gilt im analogen ebenso wie im digitalen Raum.

Im digitalen Raum haben wir es zudem mit einer besonderen Vielzahl und rasanten Entwicklung von uns bisher unbekannten Bedrohungen ebenso wie Akteuren zu tun. Die Bedrohungen, die im Internet entstehen, entwickeln sich so dynamisch und unvorhersehbar wie in kaum einem anderen Bereich. Sie reichen von Industriespionage über Erpressungen bis hin zum Cyberterrorismus. Die Zunahme vernetzter Geräte in Unternehmen und im Alltag erhöht die Verletzlichkeit in einer Welt, die immer mehr vernetzt wird.  Die Menschen werden Opfer von Identitäts- und Datendiebstahl. Industrieanlagen und kritische Infrastrukturen wie Strom- und Wasserversorgung sind zunehmend auch über das Internet angreifbar. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) erfasste 2019 durchschnittlich 320.000 neue Schadprogramme pro Tag. Die Schadsoftware Emotet hat beispielsweise in den vergangenen Monaten zu massiven Problemen in der Wirtschaft geführt. Ganze Unternehmensnetzwerke mussten neu aufgebaut werden. Im Berliner Kammergericht führte die Software zu einem IT-Totalschaden, bei dem auch Daten vom Server des Gerichts abgezogen wurden.

Bei Cyberangriffen sehen wir eine neue, asymmetrische Verteilung von Aufwand und Wirkung. Ein aggressives Schadprogramm lässt sich vergleichsweis einfach platzieren und kann gleichzeitig ein enormes Schadenspotential in einer Gesellschaft entfalten, deren kritische Lebensbereiche unmittelbar von einer funktionierenden IT-Infrastruktur abhängen. Die Angreifer agieren dabei oftmals  unbemerkt von den Augen der Strafverfolgungsbehörden und potentieller Geschädigter.

Daher ist es umso wichtiger, die Hürden für einen Cyberangriff hochzuhalten und Strategien zu entwickeln, um gegnerische Akteure, egal ob staatliche Akteure oder Kriminelle, von Angriffen im Cyberraum abzuschrecken. In Anlehnung an Joseph Nyes Ausführungen anlässlich der Münchener Sicherheitskonferenz 2018 ergeben sich im Grundsatz folgende Handlungsoptionen:

Wie auch im analogen Raum ist die Androhung von Strafen die klassische und zugleich eine der schärfsten Formen der Abschreckung. Dies können digitale Strafen, etwa ein „Hack-back“, ebenso wie Sanktionen oder die Androhung militärischer Gewalt sein. Was offline oft und schnell genutzt wird, stellt uns online jedoch vor Herausforderungen, etwa was die Identifizierung des Angreifers angeht. Im Cyberraum ist dies oftmals nur schwer oder gar nicht möglich. Eine aktive Cyberstrategie könnte zudem eine Eskalationsspirale in Gang setzen, deren Folgen nicht abzuschätzen wären, und dadurch langfristig nicht zu mehr Sicherheit, sondern zu mehr Unsicherheit führen. Daher sollten wir unsere Anstrengungen auf die Entwicklung sicherer und innovativer Abwehrinstrumente für Bürger, Wirtschaft und Staat richten. Cybersicherheit setzt daher Resilienz voraus. Das bedeutet: Durch die Schaffung technischer und organisatorischer Vorsorge, wie beispielsweise Firewalls oder das Vorhalten redundanter Strukturen vor allem im Bereich der kritischen Infrastrukturen, werden die Kosten für Cyberangriffe erhöht. Diese defensive Logik ist die Grundlage der EU-Strategie zur Cybersicherheit. Sie sieht unter anderem eine Sicherheitszertifizierung für Geräte, die mit dem Internet verbunden sind, vor. Daran knüpfen wir auf nationaler Ebene mit dem IT-Sicherheitsgesetz 2.0 an.

Darüber hinaus können durch internationale Verflechtungen, sowohl auf wirtschaftlicher, technologischer als auch auf kultureller und militärischer Ebene, die Kosten eines Cyberangriffs erhöht werden. Vor allem globale Wertschöpfungsketten schaffen Abhängigkeiten und Verknüpfungen zwischen Regierungen, Industriezweigen und ganzen Volkwirtschaften. Als exportorientierte Wirtschaftsnation sind wir gleichermaßen auf funktionierende Zulieferungen wie auf starke Absatzmärkte angewiesen. Kommt es in unseren Partnerländern zum Erliegen bestimmter Produktionszweige oder ganzer Infrastrukturen, hat dies auch für unsere Wirtschaft negative Konsequenzen. Somit wird es durch zunehmende Verflechtung schwieriger, durch Aggressionen im analogen wie digitalen Raum einseitige Vorteile zu ziehen. Wir dürfen daher nicht auf Abschottung setzen, sondern auf Kooperation.

Ähnlich wie im Kalten Krieg haben wir es im Cyberraum mit einem Sicherheitsdilemma zu tun. Angesichts der dynamischen Bedrohungen im Cyberraum und der damit verbundenen Unsicherheit öffentlicher Akteure sehen wir einen digitalen Rüstungswettlauf. In Deutschland wurde in diesem Sinne beispielsweise die Debatte um den Staatstrojaner als ein Instrument offensiver Cyberabwehrpolitik kontrovers diskutiert. Internationale Übereinkommen können diese Entwicklungen abfedern und vertrauensbildend wirken – auch wenn somit Angriffe nicht verhindert werden können. Daher ist langfristig die Entwicklung eines internationalen Regimes zum Verbot offensiver Cyberwaffen und zur Regulierung staatlicher Cyberabwehrpolitik, einschließlich dem Umgang mit Social Bots und sozialen Medien, anzustreben. Als Vorbild könnte der Atomwaffensperrvertrag gelten.

Absolute Sicherheit kann es weder in der analogen noch der digitalen Welt geben. Stattdessen muss es darum gehen, die Kosten zum Brechen des Codes teurer werden zu lassen als die zu erwartenden Erträge aus dem Angriff. Auf nationaler und internationaler Ebene sehen wir hier noch erheblichen Handlungsbedarf. Wir müssen mögliche Risiken und Handlungsmuster von Cyberkriminalität und -terrorismus besser verstehen lernen.

Keine Behörde, kein Land, kein Unternehmen kann gleichzeitig Weltspitze in defensiven und in offensiven Cyberfähigkeiten sein. Wir müssen uns entscheiden, in welchen Bereich wir investieren wollen. Ich plädiere klar dafür, unsere Anstrengungen auf die Entwicklung sicherer und innovativer Abwehrinstrumente für Bürger, Wirtschaft und Staat zu richten. Eine aktive Cyberstrategie würde eine Eskalationsspirale in Gang setzen, deren Folgen nicht abzuschätzen sind, und dadurch mittel- bis langfristig nicht zu mehr Sicherheit, sondern zu mehr Unsicherheit führen.

Wie im Koalitionsvertrag vereinbart, werden wir noch vor dem Ende der Legislaturperiode das IT-Sicherheitsgesetz 2.0 reformieren. Damit werden wir unter anderem dem Bundesamt für Sicherheit in der Informationstechnik (BSI) mehr Ressourcen an die Hand geben, um Cyberangriffe wirksam aufzuspüren und diesen gegensteuern zu können. Einen Schwerpunkt werden dabei die kritischen Infrastrukturen spielen, wie beispielsweise die Energie- und Wasserversorgung. Außerdem werden wir das IT-Sicherheitskennzeichen für vernetzte Produkte weiter vorantreiben. Damit wird das BSI seiner neuen Aufgabe, dem Verbraucherschutz, Rechnung tragen können. Dies ist ein wichtiger Schritt, um die Sicherheit von IT-Produkten als zentrales Produktmerkmal zu etablieren. Der Markt hat bisher an dieser Stelle versagt. Im „Internet of Things“, wie beispielsweise Smart-Home-Anwendungen, spielte IT-Sicherheit bisher kaum eine Rolle. Mit einem ambitionierten IT-Sicherheitskennzeichen wollen wir auch auf europäischer Ebene Maßstäbe setzen.

Schreibe einen Kommentar

Ihre E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.