Die Bundesrepublik Deutschland verfügt über eine ausgeprägte Cybersicherheitsarchitektur, von der die meisten anderen Staaten auf der Welt nur träumen. Zu nennen sind hier vor allem das Bundesamt für Sicherheit in der Informationstechnik, das Bundeskriminalamt und das Nationale Cyber-Abwehrzentrum. Allesamt übernehmen sie unverzichtbare Aufgaben – von der Zertifizierung von IT-Produkten über Ermittlung von Cyberstraftätern bis zum Austausch von Lageerkenntnissen unter den Sicherheitsbehörden.
Diese Cybersicherheitsarchitektur ist Garant für den Schutz von Bürgerinnen und Bürgern, Behörden, Unternehmen und anderen möglichen Cyber-Opfern. Gleichzeitig müssen wir sie als Bundesgesetzgeber immer wieder kritisch hinterfragen: Genügen die behördlichen Kompetenzen den gesteigerten Herausforderungen? Müssen wir neue Sicherheitsanforderungen formulieren, die dann auch durchgesetzt werden müssen? Als Berliner „Ampel-Koalition“ werden wir diese Fragen im Lichte einer sich zuspitzenden Cyberbedrohungslage die passenden Antworten finden.
Spätestens im Jahr 2021 muss Cybersicherheit für uns alle ein Top-Thema sein. Die jüngsten Beispiele von Angriffen auf Stadtverwaltungen oder Krankenhäuser zeigen: Hacker können unser öffentliches Leben, zumindest zeitweise, lahmlegen. Auto ummelden, ärztliche Behandlungen durchführen – nichts geht mehr im worst case. Ob Internetbetrüger oder professionelle Hacker aus China oder Russland künftig über unser Leben bestimmen, liegt auch in deutscher und europäischer Hand. Hier muss die Sozialdemokratie eine führende Rolle einnehmen: als Verfechterin einer defensiven Cybersicherheitspolitik, die auf starken staatlichen Strukturen, innovativer Informationstechnologie und europäischer Unabhängigkeit basiert.
Die IT-Sicherheitslage in Deutschland ist kritisch, deutlich kritischer als noch vor einem Jahr. Das hat weitreichende Folgen für die Opfer von Hackerattacken: Behörden, Unternehmen, Bürgerinnen und Bürger müssen immer öfter Daten, oft auch (Erpressungs-, Löse- oder Schweige-)Geld preisgeben. Diesen düsteren Zustand hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) in seinem kürzlich veröffentlichten jährlichen Lagebericht festgehalten.
Digitale (Un-)Sicherheit bedeutet immer auch analoge (Un-)Sicherheit
Für Bundestag und Bundesregierung heißt das in den kommenden Jahren: Keine Zeit zum Ausruhen. Unsere in den vergangenen Jahren erzielten Erfolge für mehr Cybersicherheit, etwa das IT-Sicherheitsgesetz 2.0, waren wichtig. Eine Daueraufgabe erfordert aber dauerhafte Entwicklung: politisch, technisch, strategisch, organisatorisch, in Unternehmen, Behörden, im Parlament – eine Herkulesaufgabe, die wir nur mit einem starken europäischen Ansatz stemmen.
Absolute Sicherheit kann es nie geben, gerade nicht in Zeiten, in denen die digitale und die analoge Welt zunehmend verwoben sind und Lieferketten immer komplexer und verzweigter werden. Wenn Cyberkriminelle eine Öl-Pipeline in den USA lahmlegen, wie im Frühjahr geschehen, hat das letzten Endes immer auch Auswirkungen auf Wirtschaft und Leben in Europa und Deutschland. Digitale (Un-)Sicherheit bedeutet immer auch (Un-)Sicherheit im „analogen Alltag“.
Davon betroffen sind immer zuerst die „schwächeren Glieder“ einer Gesellschaft, jene Bürger oder Unternehmen, die sich selbst nicht oder nur unzureichend schützen können. Eine gute sozialdemokratische Innenpolitik ist damit untrennbar verbunden mit einer konsequenten Cybersicherheitspolitik. Letztere muss dafür Sorge tragen, dass sich Wirtschaft und Gesellschaft auf den Schutz eines starken Staates verlassen können.
Vernetzte Infrastrukturen schützen
Ein wichtiger Partner ist zum Beispiel das Institut für den Schutz terrestrischer Infrastrukturen, das seit kurzem in St. Augustin angesiedelt ist, angrenzend an meinen Wahlkreis – eine der innovativsten Sicherheitsregionen Deutschlands. Das interdisziplinäre Team des Instituts, das Teil des Deutschen Zentrums für Luft- und Raumfahrt ist, beschäftigt sich genau mit dieser Frage: Wie schützen wir Infrastrukturen, deren Beeinträchtigung – etwa eines Cyberangriffs – durch ihre breite Vernetzung Auswirkungen auf andere wichtige Infrastrukturen hätte?
Ein Beispiel ist der Angriff auf einen Stromversorger. Ein Stromausfall hätte Auswirkungen auf andere Kritische Infrastrukturen, etwa Krankenhäuser. Ein Teil der Lösung ist die Entwicklung sogenannter „Digitaler Zwillinge“. Dabei handelt es sich um digitale Abbildungen von Kritischen Infrastrukturen und ihren Vernetzungen. Dies bietet die Möglichkeit, mögliche kritische Entwicklungen im Vorhinein zu erkennen und zu verhindern bzw. Instrumente zum Schutz der Infrastrukturen zu entwickeln.
Unser Leitbild: Der Staat als Partner der Bürger
Genauso sind wir als Gesetzgeber in der Pflicht, die Voraussetzungen für ein größtmögliches Maß an Sicherheit und Datenschutz zu gewährleisten. Mit Blick auf die steigende IT-Bedrohungslage muss das Thema Cybersicherheit für die nächste Bundesregierung ganz oben auf der Tagesordnung stehen – und zwar bei allen Themen der Digitalisierung. Weil Cyberbedrohungen nicht allein auf nationaler Ebene gelöst werden können, haben alle Fragen der Cybersicherheit immer auch eine internationale Dimension. Hier müssen wir als Europäische Union besser werden: schneller, selbstbewusster, innovativer, eigenständiger, um im Konzert der Cyber-Mächte USA und Russland eine mitbestimmende Rolle zu spielen.
Aus meiner Sicht sind dabei folgende Punkte entscheidend:
-Die Weiterentwicklung des Bundesamtes für Sicherheit in der Informationstechnik hin zu einer Zentralstelle für (defensive) Cybersicherheit – als Partner von Bürgerinnen und Bürgern, Unternehmen und Behörden und in europäischer Vernetzung. Die Umsetzung der Cybersicherheitsstrategie gilt es, vorzubereiten und im Sinne einer defensiven Cyberabwehr fortzuentwickeln.
-Eine stärkere Sensibilisierung der Öffentlichkeit in Bezug auf IT-Sicherheitsrisiken und die Befähigung, seine eigene IT-Sicherheit positiv zu beeinflussen.
-Die weitere Vernetzung von Wissenschaft, Wirtschaft und Zivilgesellschaft – ein „Früherkennungssystem“ und Wissensnetzwerk für mehr Innovation.
-Die verstärkte Datensouveränität durch Entwicklung modernster Verschlüsselungs- und IT-Sicherheitstechnologien made in germany und EU.
-EU-weite Standards beim Thema Produktsicherheit (security by design).
-Und schließlich die Evaluierung und Entschlackung der (komplexen) europäischen Cybersicherheits-Architektur.
Grundlage unserer Politik muss dabei immer das Leitbild des Staates sein, der Partner der Bürgerinnen und Bürger ist. Ein Partner, der alle Bürger bestmöglich vor den Gefahren im Cyberraum schützt und sie befähigt, selbstbestimmt ihre eigene IT-Sicherheit zu beeinflussen – auf Basis eines starken Staates.
Dass wir auch als Nationalstaat handlungsfähig sind, haben wir in der vergangenen Legislaturperiode mit dem IT-Sicherheitsgesetz 2.0 gezeigt. Darin verpflichten wir, Betreiber Kritischer Infrastrukturen sowie weitere Unternehmen im besonderen öffentlichen Interesse, IT-Sicherheitsmaßnahmen nach dem Stand der Technik umzusetzen. Störungen wie Sicherheitslücken oder Schadprogramme müssen dem Bundesamt für Sicherheit in der Informationstechnik (BSI) gemeldet werden. Um die Sicherheit eines 5G/6G-Netzes zu gewährleisten, untersagen wir Mobilfunknetzen den Einsatz kritischer Komponenten, wenn der Einsatz die öffentliche Ordnung oder Sicherheit der Bundesrepublik Deutschland voraussichtlich beeinträchtigt würde. Außerdem haben wir das BSI gestärkt: als Verbraucher- und Zertifizierungsbehörde und bei der Detektion von Schwachstellen. Das wird auf Dauer nicht ausreichen.
Die Cybergefahr ist groß, der Handlungsbedarf enorm
Wie dringend der Handlungsbedarf ist, zeigen folgende Zahlen: Pro Tag zählt die Deutsche Telekom über 40 Millionen Cyberangriffe. Die allermeisten davon sind provozierte Angriffe durch sogenannte „Honeypots“, die ins Leere laufen und Angreifer von anderen Zielen fernhalten. Dennoch verdeutlicht die Zahl die schier unglaubliche Dimension von Cyberkriminalität – allein in Deutschland. Die Zahl der Schadprogramm-Varianten hat binnen eines Jahres um 144 Millionen zugenommen, die Schäden durch Erpressung sind seit 2019 um 358 Prozent gestiegen.
Nicht nur die Zahl der Fälle nimmt zu, auch das Vorgehen der Täter wird immer skrupelloser. Löse-, Schutz- oder Schweigegelderpressungen mittels Bots, Trojanern, Ransomware und anderen Schadprogrammen gehören mittlerweile zu einem weit verbreiten Repertoire. Ziele sind Privatpersonen, Unternehmen, Stadtverwaltungen, kritische Infrastrukturen (z.B. Krankenhäuser), Regierungen.
Auch die Europäische Arzneimittelagentur geriet ins Visier von Cyberkriminellen: Im Dezember 2020 waren Daten über einen Impfstoff gestohlen und verfälscht im Darknet veröffentlicht worden. Das Beispiel zeigt, dass Cyberangriffe auch als hybride Waffe genutzt werden. Mit den Falschbehauptungen sollte die öffentliche Meinung beeinflusst werden. Ebenso mit Angriffen auf Regierungen oder Nichtregierungsorganisationen. Regierungskritiker werden unbemerkt ausspioniert und erpresst. Damit hat Cyberkriminalität längst die Schwelle „einfachen Diebstahls“ überschritten. Cyberkriminalität ist heute auch politisch-strategisches Tagesgeschäft autokratischer Staaten wie Russland, China oder Nordkorea.
Die entscheidende Frage ist keine geringere als: In welcher Welt wollen wir leben? China – auf der einen Seite – nutzt Informationstechnologien zur staatlichen Überwachung. Die chinesische Zentralregierung schafft eine Gesellschaft, in der der Staat zum Kontrollorgan seiner Bürger mutiert. Gleichzeitig greift China gezielt Regierungen und Unternehmen an, um Daten zu stehlen. Experten schätzen, dass Präsident Xi Jingping über eine „Hackerarmee“ von bis zu 100 000 Personen verfügt.
Die EU muss die Cyber-Weltordnung aktiv mitgestalten
Die USA – auf der anderen Seite – liegen bei den Cyberfähigkeiten (noch) vor China, das haben Experten des International Institute for Strategic Studies herausgefunden. Die Vereinigten Staaten bestimmen mit ihren Tech-Giganten Facebook, Microsoft und Co. die Spielregeln des internationalen Datenaustausches (mit) – und das nicht auf Basis der europäischen Datenschutz-Grundverordnung. Der Europäische Gerichtshof hatte das „Privacy Shield“ – ein Abkommen mit den USA zum internationalen Datenaustausch – im Juli 2020 gekippt. Dem EuGH waren vor allem die Zugriffsmöglichkeiten der US-Geheimdienste auf Daten von Europäerinnen und Europäern zu weitreichend. Das ist vor allem für viele Unternehmen ein Problem, da sie sich in einem ständigen Datenkreislauf mit den USA befinden.
Wir Europäerinnen und Europäer dürfen den US-chinesischen Machtkampf nicht staunend zur Kenntnis nehmen. Wir müssen die Cyber-Weltordnung aktiv mitgestalten.
Den Datenaustausch mit den USA müssen wir auf DSGVO-konforme Beine stellen, im Sinne größerer Datensouveränität endlich eine europäische Dateninfrastruktur aufbauen, die europäische IT-Industrie stärken – und zwar auch, indem wir Cybersicherheits- und Produktstandards EU-weit harmonisieren.
Cybersicherheit bei Produktentwicklung berücksichtigen
Letzteres ist ein Ziel der sogenannten „NiS (Netz- und Informationssicherheit) 2“-Richtlinie, die derzeit auf europäischer Ebene diskutiert wird – eine Weiterentwicklung der „NIS“-Richtlinie aus 2016. Einheitliche Anforderungen an Cybersicherheit in der EU würden nicht nur den Binnenmarkt stärken, sondern das gemeinsame Schutzniveau erhöhen. Ich bin dafür, die europäischen Anpassungen „in einem Rutsch“ mit weiteren Anpassungen in einer Fortschreibung des möglichen (deutschen) IT-Sicherheitsgesetzes 3.0 festzuschreiben.
Zwei Ziele halte ich dabei für sehr wichtig:
Erstens benötigen wir ein Schwachstellenmanagement mit dem Ziel, Sicherheitslücken zu schließen. Der Staat befindet sich in einem Zielkonflikt. Die staatliche Schutzpflicht verpflichtet zum Schutz von IT-Systemen vor Hackerangriffen. Auf der anderen Seite muss der Staat eine wirksame Gefahrenabwehr gewährleisten, wozu das Offenhalten von Schwachstellen zur Telekommunikationsüberwachung notwendig sein kann. Es ist gut, dass die künftige Koalition ein wirksames Schwachstellenmanagement auf den Weg bringen wird. Schwachstellen, die eine Gefahr für die Allgemeinheit darstellen, müssen schnellstmöglich durch das BSI gemeldet und von den Herstellern geschlossen werden.
Zweitens muss gesetzlich festgeschrieben werden, dass IT-Sicherheit schon bei der Entwicklung von Produkten berücksichtigt wird („security by Design“). Hier kann die EU durch ihre Marktmacht für mehr Sicherheit entlang der Lieferkette sorgen.
Der „Digital Markets Act“ und der „Digital Services Act“ sind zwei weitere EU-Vorlagen, die das Potenzial haben, um aus der „Zuschauerrolle“ herauszukommen. Die Ziele: Online-Plattformen bei Inhalten stärker in die Pflicht nehmen und für mehr Transparenz bei der Datenverarbeitung durch Algorithmen sorgen. Damit würden wir erneut Standards setzen in der EU. Dem EU-Parlament kommt die wichtige Rolle zu, die Vorschläge nicht aufzuweichen. Datenschutz und IT-Sicherheit – sie sind zwei Seite einer Medaille.
Die Vernetzung unseres Alltags schreitet weiter voran
Wichtig ist, dass wir mit den neuen Herausforderungen Schritt halten. Denn, so viel ist sicher, sie werden größer werden, nicht kleiner. Dazu gehört beispielsweise auch der Umgang mit dem sogenannten „Face Swapping“ (der Bündelung biometrischer Daten zu neuen Gesichtern, also einer neuen Identität). Oder ganz allgemein die weitere Vernetzung unseres Alltags: Die Entwicklung von Smart Cities, autonomen Fahren, eHealth oder digitalen Bezahlmethoden steckt noch vergleichsweise in den Kinderschuhen, wird uns aber zwangsläufig stark beschäftigen, da hier private Lebensbereite betroffen sind und hochsensible Daten verarbeitet werden.
Die Fortschritte auf EU-Ebene stimmen optimistisch. Sie sollten aber nicht darüber hinwegtäuschen, dass die europäische IT-Sicherheitsarchitektur höchst komplex ist. Ich bin für einen Evaluationsprozess: Welche Institution hat welche Kompetenzen und wer behindert sich möglicherweise? Es gilt die alte Formel: Komplexität ist der Feind von Sicherheit. Sollte dies im Sinne klarer Verantwortlichkeiten und mehr Sicherheit sein, sollten wir die EU-Cybersicherheits-Struktur entschlacken.
Das BSI zur „dritten Säule“ bei Cybersicherheit ausbauen
Das gilt auch für Deutschland: Es bringt nichts, wenn jedes Bundesland eigene Institutionen gründet – IT-Sicherheit macht nicht an Ländergrenzen Halt. Ich halte es deshalb für sinnvoll, das Bundesamt für Sicherheit in der Informationstechnik auszubauen zu einer Zentralstelle im Bund-Länder-Gefüge, als Partner für Bund, Länder, Kommunen, Unternehmen, Bürger. Damit würde das BSI neben dem Bundeskriminalamt im Polizeiwesen und dem Bundesamt für Verfassungsschutz im Verfassungsschutzverbund zur dritten Säule einer föderal integrierten Cybersicherheitsarchitektur weiterentwickelt werden, neben dem Bundeskriminalamt und dem Bundesamt für Verfassungsschutz.
Cybersicherheit kann nur europäisch gewährleistet werden. Sie kommt aber nicht ohne handlungsfähige staatliche Strukturen aus. In der neuen Bundesregierung werden wir Sozialdemokratinnen und Sozialdemokraten diese weiter stärken.
Sebastian Hartmann