Nicht erst seit Marc Elsbergs Roman „Blackout“ ist ins Bewusstsein gerückt, wie schnell das öffentliche Leben zum Erliegen käme, wenn Institutionen der kritischen Infrastruktur wie Wasser- oder Stromversorgung, Krankenhäuser oder die Logistik von Lebensmitteln durch Cyberattacken manipuliert oder sabotiert würden. Mit der wachsenden Vernetzung der Welt wird die IT-Sicherheit, ehemals ein Nischen-Thema, zur allseits diskutierten Frage der öffentlichen Sicherheit. Nicht nur der verlässliche und  schnelle Zugang zum Internet ist deshalb nach meiner Auffassung eine Aufgabe der staatlichen Daseinsvorsorge. Auch die Sicherheit der IT-Infrastruktur muss als Verantwortung des Staates betrachtet werden.

In der vergangenen Legislatur hat der Bund mit dem IT-Sicherheitsgesetz einen ersten Rahmen für die kritische Infrastruktur gesetzt, und das Innenministerium hat eine umfassende Cybersicherheitsstrategie vorgelegt. Einige der darin beschriebenen Vorhaben befinden sich in der Umsetzung, andere sind noch weit davon entfernt. Besonders wichtig erscheint dabei die bessere Abstimmung und Kooperation der zahlreichen beteiligten Organe und Institutionen in den Ländern und im Bund.

Im aktuellen Koalitionsvertrag hat die Bundesregierung vereinbart, unter gemeinsamer Federführung von BMI und BMVg eine „Agentur zur Förderung von Innovationen der Cybersicherheit“ einzurichten. Das Vorhaben zielt darauf, die Expertise der Wissenschaft in der IT-Sicherheit mit der Agilität des Marktes zusammenzubringen und in der Forschung und Entwicklung von IT-Sicherheitstechnik führend zu werden oder doch zumindest souverän. Wichtige Schlüsseltechnologien will die Bundesregierung zudem durch einen Fonds vor dem Ausverkauf schützen.

Ich befürworte dieses Ziel der Souveränität, denn natürlich muss es uns darauf ankommen, nicht von Unternehmen abhängig zu sein, die nicht nur Analyseprogramme, sondern auch Angriffswerkzeuge und Überwachungsinstrumente verkaufen, und eben nicht nur an demokratisch und rechtsstaatlich verfasste Regierungen, sondern auch an die Autokraten dieser Welt.

Nachdem das Kabinett die Einrichtung der Agentur nun beschlossen hat, ist in Medienberichten der Begriff einer „Cyberwaffen-Agentur“ aufgetaucht. Tatsächlich ist die Frage nach der Ausrichtung der Agentur bisher noch ziemlich offen. Soll die Agentur Kompetenzen in der Analyse und der Abwehr von Cyber-Angriffen entwickeln und bündeln? Soll sie erforschen, wie sich die Resilienz der Unternehmen und staatlichen Strukturen stärken lässt, also die Fähigkeit, im Falle eines Angriffs den Schaden zu begrenzen und möglichst schnell wieder handlungsfähig zu werden? Sollen Kompetenzen in Forensik und Attribution entwickelt werden, um einen Täter identifizieren zu können? Oder soll es um die Entwicklung von Cyberwaffen und Angriffsvektoren gehen, die zum digitalen Gegenschlag, zum „finalen Rettungsschuss im Internet“ (Armin Schuster, CDU), also zum Hackback befähigen?

Ich halte von Letzterem nicht viel und plädiere deutlich für eine strikt defensive Strategie.

Professionelle Cyberangriffe wie der auf die IT des Bundestags oder zuletzt auf die IT des Bundes sind langfristig angelegt und arbeiten verdeckt und verhalten. Dadurch werden sie oft erst sehr spät, im Schnitt nach 100 Tagen, entdeckt. Reaktionen, wie sie aus konventionellen Kriegen bekannt sind - Gegenschläge – sind dadurch faktisch wirkungslos. Es können dadurch kaum Schäden begrenzt und keine Daten wiedergeholt werden – und ob man mit einem Gegenschlag den Angreifer schädigt oder nur einen von ihm gekaperten Server, das weiß man nicht. Dazu kommen völker- und kriegsrechtliche Problemstellungen: Die Realisierung staatlicher Cyberangriffe könnte nach dem internationalen Völkerrecht u.U. auch den Einsatz konventioneller Waffen rechtfertigen. Ich habe das an anderer Stelle ausführlich dargelegt.

Den Einsatz von Cyberwaffen in staatlicher Hand lehne ich deshalb rundheraus ab und plädiere stattdessen dafür, die ins Stocken geratenen Verhandlungen auf UN-Ebene vorantreiben mit dem Ziel, staatliche Cyberangriffe zu begrenzen oder besser gänzlich zu ächten. Die knappen technischen Ressourcen und Kompetenzen dürfen nicht zu einem sicherheitspolitischen Wettrüsten eingesetzt werden, das insgesamt vor allem Unsicherheit schafft.

Meines Erachtens wäre es viel wirkungsvoller, durch die Verbesserung und Vernetzung von Monitoring-Fähigkeiten Angriffe früher zu erkennen und länger beobachten zu können, um daraus zu lernen und die IT-Sicherheitstechnik und ihre Anwendung weiterzuentwickeln. Dazu muss die Resilienz von Systemen erhöht werden, um die Handlungsfähigkeit einer betroffenen IT-Infrastruktur und ihrer Umgebung schnell wiederherstellen zu können.

Die geplante Agentur für Innovationen in der Cybersicherheit sollte also nicht als Cyberwaffen-Agentur gedacht werden, sondern als cybertechnischer Think Tank und Inkubator der Bundesregierung, der fähige Experten aus dem Geschäft mit der Unsicherheit zurück holt in die staatliche Verantwortung für das Gemeinwohl. Das hoch dynamisch sich entwickelnde Feld1 braucht flexible, unabhängige und interdisziplinär denkende Fachleute, damit die  staatliche Sicherheitspolitik nicht allein durch die etablierte und an einem Wachstum ausgerichtete Sicherheitsindustrie bestimmt wird.

Die Forschungsförderung des BMBF im Bereich der IT-Sicherheit beläuft sich übrigens schon auf hohe zweistellige Millionenbeträge pro Jahr. Für die Agentur sollen in 2018 15 Millionen und in 2019 50 Millionen EUR hinzukommen. Ich sage ganz deutlich: Wer internationale Spitzenleistungen erbringen will, der muss angesichts des Fachkräftemangels auf dem Gebiet der IT-Sicherheit nicht nur in Forschung und Entwicklung investieren, sondern vor allem die Ausbildung und Gewinnung hoch spezialisierter Fachkräfte und in die Gründung innovativer und agiler, verantwortungsvoller Unternehmen.

Die Erforschung von Sicherheitsrisiken und Angriffswerkzeugen sowie die Entwicklung von Sicherheitsstrategien muss dabei einer realen, positiven Sicherheit zu Gute kommen. Wenn die DARPA ein Vorbild darstellt, dann sollten auch die durch die DARPA verkörperten Ideen und Potentiale  – ein ziemlich störungsresistentes, also resilientes weltweites Kommunikationsnetz, das durch seinen technischen Aufbau auch den schnellen Austausch guter Ideen ermöglicht– Vorbild für seine konkrete Ausrichtung sein: stabile, sichere Kooperation und Kommunikation, global.