Die Cybersicherheitsagenda des Bundesministeriums des Innern und für Heimat (BMI) sieht für die 20. Legislaturperiode vor allem eine Ausweitung der Zuständigkeit des Bundes und der Befugnisse des Bundesamtes für Sicherheit in der Informationstechnik (BSI) vor.
Welche Vorteile kann diese Verlagerung der Kompetenzen bringen?
Jürgen Fritsche: Schon seit längerer Zeit wird der aktuelle Aufbau der Cybersicherheitsarchitektur in Deutschland kritisiert. Auf den Grundsätzen des Föderalismus angelegt, kann dieses Konstrukt jedoch den heutigen Anforderungen im Zeitalter der Digitalisierung nicht mehr gerecht werden.
Derzeit engagieren sich grob betrachtet mehrere hundert Akteure, davon ca. 70 auf der Bundesebene und ca. 160 auf der Ebene der Länder in einem dichten Akteursnetzwerk mit zahlreichen Verbindungen auf nationaler und internationaler Ebene, z.B. zu Akteuren auf Ebene der EU und anderer Länder der EU.
Darunter befinden sich neben Ministerien auf Bundes- und Landesebene vorwiegend Institutionen, die in den Ressorts des Bundes oder der Länder spezielle Aufgaben erfüllen und Rollen, wie z.B. CIO und CISO in den Bundesländern. Die Landesämter für Verfassungsschutz und IT-Dienstleister des Bundes und der Länder ergänzen diese doch recht lange Liste. Sie alle bilden zusammen die Cybersicherheitsarchitektur Deutschlands, ein verwobenes und schwer zu durchschauendes Geflecht.
Es ist naheliegend, dass ein solches Konstrukt, das den Ressorthoheiten und Gesetzmäßigkeiten des Föderalismus unterliegt, nicht steuerbar ist, wenn es um die proaktive oder reaktive Gefahrenabwehr im Cyberraum geht. Dafür sind die Zuständigkeiten nicht klar genug geregelt, die Entscheidungs- und Berichtswege zu lang bzw. verlaufen sie oft gar ins Leere. Dass wichtige Anforderungen im Bereich Cybersicherheit, wie die Geschwindigkeit bei der Erkennung und Reaktion auf Vorfälle, sowie eine schnellstmögliche Mobilisierung kompetenter Krisenreaktionskräfte so nicht umsetzbar sind, liegt auf der Hand. Eine Verlagerung bzw. Bündelung von Kompetenzen ist also dringend erforderlich.
Welche Rolle spielt der Verfassungsschutz dabei?
Jürgen Fritsche: Die richtliniengebende Behörde für nationale Cyber-Sicherheit ist das Bundesamt für Sicherheit in der Informationstechnik (BSI). In den meisten Bundesländern, und auch beim Bund, ist die Cyberabwehr auch in den jeweiligen Ämtern für Verfassungsschutz angesiedelt. Dies wurde einst aus Gründen des Wirtschaftsschutzes und der Spionageabwehr so entschieden, als die Abwehr von Cyberrisiken noch nicht so im Fokus stand wie heute. In den Ämtern für Verfassungsschutz stehen Cyberangriffe durch ausländische Geheimdienste oder im Bereich der Wirtschaftsspionage im Vordergrund.
Welche konkreten Schritte würden zu einer Verbesserung der aktuellen Cybersicherheitslage beitragen?
Jürgen Fritsche: Wenn der Fokus auf einer starken Sicherheitsarchitektur mit einem höchstmöglichen Schutzniveau in der Cybersicherheit Deutschlands liegt, kann die Erhebung des Istzustandes angesichts des angesprochenen Akteursnetzwerkes in der aktuellen Cybersicherheitsarchitektur kaum zur Beruhigung beitragen. Vielmehr liegt nahe, die Effektivität und Effizienz der Cybersicherheitsarchitektur zu hinterfragen und Optimierungen vorzunehmen. Dies geht aufgrund des Grundgesetzes aber nicht ohne Änderungen der Gesetzeslage. Eine bessere Steuerbarkeit der Sicherheitsarchitektur, verbunden mit der Bündelung von Kompetenzen und der erheblichen Erhöhung der Reaktionsgeschwindigkeit im Falle veränderter Gefahrenlagen, würden zu einer spürbaren Verbesserung führen.
Was ist zusätzlich vonnöten, um die Abwehr von Cyberangriffen zu stärken?
Jürgen Fritsche: Wenn das Bundesamt für Sicherheit in der Informationstechnik (BSI) zu einer Zentralstelle im Bund-Länder-Verhältnis ausgebaut werden soll, sind zunächst alle Voraussetzungen dafür zu schaffen. Letzten Endes gehören dazu auch deutliche Anpassungen in Bezug auf die Kompetenzen und in der Stellenausstattung. Auf der Bundes- und Landesebene muss an der sinnvollen Reduktion von Akteuren gearbeitet werden bei gleichzeitiger Verstärkung in den Kompetenzbereichen, die den jeweiligen vorhandenen Gefährdungen entgegenwirken können. Dabei geht es einerseits darum, die personelle Ausstattung über wirksame Partnerschaften mit der Industrie zu verbessern und andererseits die Wirksamkeit der Sicherheitsinfrastruktur auf die tatsächlichen Bedarfe zu konzentrieren. Dieser notwendige Prozess ist nicht in wenigen Monaten umsetzbar, sondern wird sich über viele Jahre hinziehen.
Wie müsste das in der Cybersicherheitsagenda erwähnte zivile Cyberabwehrsystem (ZCAS) aussehen und welche Ideen würden Sie dem Gesetzgeber dazu mit auf den Weg geben?
Jürgen Fritsche: Ein ziviles Cyberabwehrsystem soll Wirtschaft und Gesellschaft vor Cyberangriffen schützen. Es müsste Fähigkeiten haben, Angriffe auf Unternehmen abzufangen und zum Beispiel umzuleiten. Solche Möglichkeiten werden für bestimmte Arten von Cyberangriffen, wie z.B. DDOS-Attacken, bereits durch zivile Anbieter zur Verfügung gestellt. Hier wäre zukünftig eine bessere Unterstützung durch ein ZCAS wünschenswert.
Eine andere denkbare Fähigkeit wäre, Server, von denen Angriffe ausgehen, zu stören. Das Dilemma dabei ist jedoch, dass Aggressoren in der Regel fremde Server von eigentlich Unbeteiligten für die Cyberangriffe benutzen. Ein „Gegenangriff“ könnte dann, um ein plakatives Beispiel zu nennen, die Server eines Krankenhauses irgendwo auf der Welt herunterfahren und damit unbeteiligte Dritte treffen. Daher muss diese Art der Gefahrenabwehr gründlich abgewogen werden, bevor sie zum Einsatz kommt. Zudem ist zu beachten, dass bei Überschreitung internationaler Grenzen solche Störaktionen mit diplomatischen Mitteln zu begleiten sind.
Es gibt jedoch viele verschiedene Arten von Cyberangriffen, z.B. auch das Einschleusen von Software in Firmen oder kritische Infrastrukturen (KRITIS), um Schäden anzurichten. Eine dritte Fähigkeit wäre dann, bei solchen Sicherheitsvorfällen für schnelle Hilfe durch Spezialisten sowie eine Ersatzinfrastruktur zu sorgen.
Ein ZCAS würde sich wahrscheinlich durch ein starkes Partnernetzwerk aus zivilen Beratungsunternehmen verstärken, die bei Bedarf die Cyberabwehr bei Angriffen auf den Wirtschaftsstandort übernehmen. Zusätzlich würde man die Industrie verpflichten, ihre „Hausaufgaben“ in Bezug auf Cyberabwehr und Informationssicherheit ernst zu nehmen und den Betrieb bei professionellen IT-Rechenzentren, die entsprechende Standards bieten, motivieren. Dafür ist mit dem IT-Sicherheitsgesetz in der Version 2.0 bereits eine gute Grundlage geschaffen. Die generelle Erhöhung der Resilienz von IT-Infrastrukturen muss aber weiter mit hoher Priorität verfolgt werden.
Gibt es überhaupt die dafür benötigten Fachkräfte? Bzw. wie und wo kann man sie finden oder qualifizieren?
Jürgen Fritsche: Die schnelle Antwort lautet: Es gibt diese Spezialisten (noch) nicht. Sie müssen also gefunden und ausgebildet werden. Den Schwerpunkt dieser Aufgabe wird man voraussichtlich Partnern aus der Industrie überlassen, die so etwas professionell und am Bedarf orientiert bereits tun. Man sollte dabei aber im Blick behalten, dass die Ausbildung von Cyber-Sicherheitsspezialisten langwierig und kostenintensiv ist.
Bis der gesetzliche Rahmen geschaffen und die organisatorische Aufstellung dann auch umgesetzt ist, vergehen vermutlich Jahre. Kommt die Initiative der Bundesregierung nicht viel zu spät?
Jürgen Fritsche: Der Prozess kommt zu spät, das ist klar. Man kann jetzt aber nicht den Kopf in den Sand stecken, sondern muss schnell und fokussiert mit der Schaffung dieser Kompetenzen beginnen. Dabei sind die bereits vorhandenen Wissensträger möglichst effektiv einzusetzen und ihnen die Weitergabe des notwendigen Wissens an nachrückende Fachkräfte zu ermöglichen. Das gelingt am besten über die Bündelung in Kompetenz-Zentren, die von der Industrie unterhalten und bedarfsorientiert zur Verfügung gestellt werden.
Gibt es aus Ihrer Sicht mögliche Maßnahmen auf politischer Ebene, die eine signifikante Verbesserung der staatlichen Cyberabwehr schneller erreichen könnten?
Jürgen Fritsche: Zuerst ist die Klärung von Aufgaben, Zuständigkeiten und Verantwortlichkeiten erforderlich. Dazu sind bereits einige Maßnahmen eingeleitet. Die Abgrenzung von Kompetenzbereichen ist aber nach wie vor schwierig und sorgt für erhebliche Reibungsverluste. Zuvorderst ist also die Anpassung der Gesetzeslage wichtig, denn die derzeitige Verfassung ist ausgelegt auf eine dezentrale politische Verantwortung (Föderalismus). Die Kunst besteht darin, trotz Föderalismus eine bessere Effektivität mit weniger Akteuren zu erreichen. Dafür müssten einige lieb gewonnene Ressentiments aufgegeben und im Sinne einer wirksamen, übergreifenden Cyber-Sicherheitsarchitektur zukünftig gemeinsam gehandelt werden. Um mit einer Phrase der Politik zu antworten: „Es müsste ein Ruck durch die Cyber-Sicherheitsarchitektur gehen.“
Was sieht die Agenda im Bereich KRITIS vor bzw. welche Veränderungen der Regulierung sind diesbezüglich zu erwarten?
Jürgen Fritsche: Die Stärkung der Cyber-Resilienz von Bundesbehörden, sowie der staatlichen, zivilen und der Kritischen Infrastrukturen ist notwendig, auch daher ist die Modernisierung der Cybersicherheitsarchitektur essenziell.
Im Bereich KRITIS sind Förderung von Investitionen für Cyber-Resilienzmaßnahmen in KMU, die dem KRITIS-Sektor angehören, vorgesehen. Ebenso die Einrichtung von Awareness- und Cyber-Resilienz-Projekten, die vom BSI und von externen Dienstleistern angeboten werden. Ein großes Augenmerk liegt auf der Berücksichtigung der Sicherheit von IT-Lieferketten im Rahmen der gesetzlichen KRITIS-Regulierung und der Etablierung sektorspezifischer CERTs für KRITIS-Betreiber, inklusive der Ankopplung an das BSI-Lagezentrum.
CERT steht dabei für ein „Computer Emergency Response Team", in dem IT-Spezialisten und Sicherheitsfachleute an der Lösung von konkreten Sicherheitsvorfällen arbeiten. Synonym wird oft auch der Begriff CSIRT (Computer Security Incident Response Team) verwendet. Im Bereich KRITIS ist also schon viel auf den Weg gebracht und mit dem IT-Sicherheitsgesetz 2.0, welches weitere Branchen und Infrastrukturen umfasst, steht ein wirksames Instrument zur dauerhaften Erhöhung der Widerstandfähigkeit gegen aktuelle und künftige Bedrohungen zur Verfügung.
Was können Unternehmen und Organisationen unabhängig der Cybersicherheitsagenda schon heute für ihre eigene Cyberabwehr tun?
Jürgen Fritsche: Die Bedrohung durch Cyber-Risiken sollte in jedem Unternehmen bei der Einschätzung von Unternehmensrisiken oberste Priorität haben. Die Geschäftsführung muss nach Beurteilung der individuellen Risikolage eine Cyber-Sicherheitsstrategie entwerfen und ein angemessenes ISMS (Informationssicherheitsmanagementsystem) auf den Weg bringen. Dafür müssen die erforderlichen finanziellen und personellen Mittel bereitgestellt werden.
Im Bereich IT muss die Umsetzung des Stand der Technik angestrebt werden, denn noch immer sind veraltete und nicht gepflegte IT-Systeme das Haupteinfallstor für Angreifer, deren Wirken sich dann unbemerkt und über lange Zeit sowohl auf das eigene Unternehmen als auch auf das der angeschlossenen Partner auswirken kann. Die Professionalisierung des IT-Betriebes und die Unterstützung durch professionelle IT-Dienstleister ergänzen diese Maßnahmen.
Zusätzlich gilt es die internen Prozessabläufe im Blick zu behalten und nötige Optimierungen in diesem Bereich rechtzeitig anzustoßen. Alle entscheidenden Stellen im Unternehmen oder in der Organisation müssen schon im Vorfeld wissen, was konkret bei einem Cyberangriff zu tun ist, damit im Ernstfall keine unnötige Zeit für Abstimmungsprozesse und Zuständigkeiten verloren geht. Denn Zeit für diese Formalien gibt es in akuten Krisensituationen nicht mehr, im Fall der Fälle müssen die verprobten Prozessabläufe sitzen. Deshalb gehören neben der bereits erwähnten Etablierung von Informationssicherheitsmanagementsystemen (ISMS) und der Analyse der Cyber-Risiken auch Krisensimulationen und z.B. die Einführung von Notfallhandbüchern zu der Aufgabenliste, die schon im Vorfeld bearbeitet werden kann.
