Militär Bundeswehr Sicherheit IT Military Operation in Action, Soldiers Using Military Grade Laptop Targeting Enemy with Satellite. In the Background Camouflaged Tent on the Forest
© Gorodenkoff / shutterstock.com
SERIE: Sicherheit 4.0

„Digital Streife fahren“

Maßnahmen für eine schlagkräftigere Cyber-Abwehr, Teil 1: Aufgabenspektrum und Struktur der Sicherheitsbehörden

Durch „einen der größten Hackerangriffe der deutschen Geschichte“ Anfang 2019 hat die Frage nach Maßnahmen für eine schlagkräftigere Cyber-Abwehr neue Bedeutung bekommen. Neben gesetzlichen Rahmenbedingungen für IT- und Plattform-Anbieter einerseits sowie Strafrechtslücken und Strafmaßverschärfungen andererseits wurden auch hinsichtlich Aufgabenspektrum und Struktur der Sicherheitsbehörden Konsequenzen diskutiert und angekündigt.

Erhöhung der IT-Sicherheit

»

der Staat habe die Pflicht, das Grundrecht der Bürger auf Vertraulichkeit und Integrität ihrer IT-Systeme zu schützen

«

Aus der Politik wurde die Forderung laut, den Hackerangriff zum Anlass zu nehmen, die Sicherheit der Kommunikationsmittel noch kritischer zu beobachten, sowie für einen parteiübergreifenden Schulterschluss für einen besseren Datenschutz und die Priorisierung der IT-Sicherheit bei allen Parteien zu nutzen. Die IT-Sicherheit und die entsprechende Kultur müssten verbessert werden. Der Staat habe die Pflicht, das Grundrecht der Bürger auf Vertraulichkeit und Integrität ihrer IT-Systeme zu schützen, und müsse alle Vorkehrungen treffen, um die Daten künftig möglichst gut zu schützen. Dabei müsse der Staat seiner Vorbildfunktion und seiner Schutzverantwortung gegenüber privater Kommunikation, digitalen Infrastrukturen und demokratischen Institutionen gerecht werden. Zudem wurde die Forderung an das Parlament gerichtet, seine IT-Sicherheit kritisch zu überprüfen, damit eine vertrauliche Kommunikation von Abgeordneten möglich sei und Sicherheitslücken so gut wie möglich geschlossen werden. Der Cyber-Sicherheitsrat Deutschland hat einen Ausbau der Cyberabwehrkapazitäten angemahnt; Ziel müsse es sein, Angriffe schneller zu entdecken sowie Cyberkriminelle effektiv zu identifizieren und strafrechtlich verfolgen zu können.

Aufgabenspektrum der Sicherheitsbehörden

»

es müsse geprüft werden, ob wir zur Rückverfolgung der Täter technische und gesetzliche Ermittlungs- möglichkeiten stärken müssten

«

Von politischer Seite wurde angesichts des Hackerangriffs die – rhetorische – Frage aufgeworfen, ob wir in Deutschland wirklich gut vorbereitet seien, wenn es um gezielt platzierte Daten-Leaks gehe. Es müsse geprüft werden, ob wir zur Rückverfolgung der Täter technische und gesetzliche Ermittlungsmöglichkeiten stärken müssten, hieß es, oder dass überlegt werden müsse, wo wir sicherheitstechnisch die Behörden aufrüsten müssten. Daran schließt sich die Frage nach dem Aufgabenspektrum der Behörden an, und es wurde kritisiert: „im digitalen Bereich hört mein Schutz auf, sobald ich das Netzwerk des Bundestags verlasse und eine private Mail-Adresse verwende“. Daraus resultierte die Forderung, „Behörden sollten jede digitale Information schützen, die ich als Abgeordneter austausche, egal über welchen Kanal“, und die Bereitschaft, „dass wir den Etat für Sicherheit im Netz erhöhen“. An anderer Stelle wurde moniert, dass die Strukturen zur Information der Parlamentarier über Cybergefahren nicht ausreichend seien.

Die Kapazitäten der Ermittler

»

das Nationale Cyber-Abwehrzentrum verfüge über gerade einmal 3 1/3 IT-Experten pro Schicht

«

Die Kapazitäten der bundesweit agierenden Zentralstelle zur Bekämpfung von Internetkriminalität (ZIT), einer Sondereinheit der Generalstaatsanwaltschaft in Frankfurt, sind erst Anfang 2018 aufgestockt werden; der schnelle Ermittlungserfolg spricht für sich. Wenn ein Datendiebstahl allerdings nicht zur Staatsaffäre avanciert und die Ermittlungen von einer chronisch unterbesetzten und/oder technisch ungeschulten Kleinststaatsanwaltschaft geführt werden, kann man auch das an den Ermittlungsergebnissen ablesen. Und noch ein weiterer Akteur der Ermittlungen geriet in das Rampenlicht – bzw. dessen Ausstattung geriet in die Kritik der Medien. Demnach verfüge das Nationale Cyber-Abwehrzentrum über gerade einmal zehn Mitarbeiter, die in drei Acht-Stunden-Schichten arbeiten, also pro Schicht 3 1/3 IT-Experten.

Architektur der IT-Sicherheit

»

zersplitterte Zuständigkeiten bei der Abwehr von Cyberkriminalität

«

Auch die Kritik aus der Politik war deutlich: Von einem bestehenden „Chaos bei den Zuständigkeiten innerhalb der Bundesregierung“, „föderalem Durcheinander“ und „fehlender Koordinierung der IT-Sicherheitsbehörden“ war die Rede. Eine „bessere Koordination und klare Verantwortlichkeiten“ sowie eine „neue Architektur deutscher IT-Sicherheit“ wurden ebenso gefordert, wie „Struktur, Aufgaben und Kommunikation von BSI, BKA und Geheimdiensten“ neu zu bestimmen oder die „zersplitterten Zuständigkeiten bei der Abwehr von Cyberkriminalität“ zu einen. Konkret gefordert wurde etwa ein „Cyberabwehrzentrum, in dem wie beim Gemeinsamen Terrorabwehrzentrum Bund und Länder vertreten sind“. Unterdessen hat das Bundesinnenministerium den Ausbau des Cyber-Abwehrzentrums, das die operative Zusammenarbeit der Behörden optimieren sowie Schutz- und Abwehrmaßnahmen koordinieren soll, in ein „Cyber-Abwehrzentrum plus“ angekündigt. Sinnvoll wäre wohl auch, Doxxing-Fälle zentral zu erfassen.

Der Ausbau des BSI

»

das BSI zu einem bedeutenden Pfeiler der deutschen Sicherheitsarchitektur ausbauen

«

Bundesinnenminister Horst Seehofer hatte bereits im Oktober angekündigt, das BSI zu einem „bedeutenden Pfeiler der deutschen Sicherheitsarchitektur“ auszubauen; das BSI solle künftig in einem Zusammenhang mit dem BKA, dem BfV und der Bundespolizei gesehen werden und als nationale Cyber-Sicherheitsbehörde den Staat, die Wirtschaft und die Bürger über Gefahren im IT-Bereich informieren sowie Bedrohungen wie Hackerangriffe abwehren. Dazu gehörten erweiterte Befugnisse und eine Personalaufstockung von rund 800 zunächst auf knapp 1.300 Mitarbeiter. Nach dem Anschlag wurde von politischer Seite einerseits die finanzielle Ausstattung des BSI mit einem Etat von rund 110 Millionen Euro kritisiert – und ein Vergleich zu den USA angestellt, die 2017 rund 20 Milliarden Euro für die Cybersicherheit ausgegeben hätten. Andererseits wurde ein Umbau des BSI bzw. dessen Neuaufstellung gefordert; es müsse „über Struktur, Aufgaben und Informationspolitik neu entschieden“ werden.

Rolle und Aufgaben des BSI

»

die Rolle des BSI dringend klären

«

Aus der Politik wurde gefordert, die Rolle des BSI „dringend zu klären“. Das BSI müsse das zentrale Cyberabwehrzentrum in Deutschland werden; dafür müsse es mehr Kompetenzen bekommen und etwa „digital Streife fahren“ dürfen. Zudem wurde ein „beim BSI und den Ermittlungsbehörden angesiedeltes eigenes Ermittlungs- und Analysepersonal mit direkten Durchgriffsmöglichkeiten bei Anbietern wie Twitter“ gefordert. Bundesinnenminister Horst Seehofer wies darauf hin, dass von den im BKA neu anzusiedelnden 1.800 Stellen auch 160 explizit für die Bekämpfung von Cyberkriminalität vorgesehen seien.

Unabhängigkeit des BSI

»

das BSI aus der Zuständigkeit des Bundesinnen- ministeriums herauslösen

«

Gleichzeitig kam aus politischen Kreisen die bereits in den letzten Koalitionsverhandlungen geäußerte Forderung wieder auf, das BSI aus der Zuständigkeit des Bundesinnenministeriums herauszulösen, damit es „künftig so unabhängig arbeiten kann wie unsere Datenschutzbehörden“. Zur Begründung wurde etwa auf den Zwiespalt hingewiesen, dass dem Innenministerium unterstellte Sicherheitsbehörden ein Interesse an nutzbaren Sicherheitslücken haben könnten, während eine unabhängige Behörde sich für deren sofortige Behebung einsetzen würde sowie Firmen, Institutionen und Bürger beraten könnte. Zudem sei das BSI deshalb nur für die Sicherheit der Regierungsnetze zuständig, weil Bundestagsabgeordnete es ablehnen würden, einer der Regierung unterstehenden Behörde Zugriff auf die Bundestagscomputer zu geben – die Regierung könne nicht den Bundestag überwachen. Dem wurde entgegen gehalten, lieber dem BSI die Daten anzuvertrauen „als dem russischen Geheimdienst“ – das BSI müsse „künftig aktiv in die IT-Abwehr des Bundestages einbezogen“ werden.

SERIE: Sicherheit 4.0

„Straftatbestand Digitaler Hausfriedensbruch erforderlich“

Maßnahmen für eine schlagkräftigere Cyber-Abwehr, Teil 3: Strafrechtslücken und Strafmaßverschärfungen

SERIE: Sicherheit 4.0

„Zur Mithilfe verpflichtet“

Maßnahmen für eine schlagkräftigere Cyber-Abwehr, Teil 2: Gesetzliche Rahmenbedingungen für IT- und Plattform-Anbieter

SERIE: Sicherheit 4.0

„Digital Streife fahren“

Maßnahmen für eine schlagkräftigere Cyber-Abwehr, Teil 1: Aufgabenspektrum und Struktur der Sicherheitsbehörden

SERIE: Sicherheit 4.0

Mehr als übliche Bewältigungsrhetorik und stereotype Antworten?

Hackerangriff auf Politik und Medien, Teil 5: Konsequenzen

SERIE: Sicherheit 4.0

„Vollkommen inakzeptabel“ oder eine Frage der Aufgabenstellung?

Hackerangriff auf Politik und Medien, Teil 4: Kritik

SERIE: Sicherheit 4.0

Handlungsleitfaden Informationssicherheit

Für die kommunale Praxis: IT-Dienstleister ITEOS kooperiert mit Studenten

SERIE: Sicherheit 4.0

Generalprobe für die Bedrohungen des 21. Jahrhunderts

Hackerangriff auf Politik und Medien, Teil 3: Motivation des Täters und Einordnung der Tat

SERIE: Sicherheit 4.0

Ermittlungserfolg oder Selbstentlarvung?

Hackerangriff auf Politik und Medien, Teil 2: Die Ermittlungen, der Täter und seine Vorgehensweise

SERIE: Sicherheit 4.0

Ein Hacker, der als Gott im Orbit schwebte

Hackerangriff auf Politik und Medien, Teil 1: Die Tat und ihre Folgen

SERIE: Sicherheit 4.0

Technologie als Treiber der Sicherheitspolitik

Teil 1: Überwachung

Wir erwarten, dass zu vielen Themen unseres Journals bei Ihnen der Wunsch besteht, sich auszutauschen. Daher planen wir eine Kommentarfunktion für unsere registrierten Leser.