Neue Cybersicherheitsagenda des BMI: Kaffeesatzleserei im Namen der öffentlichen Sicherheit
von , veröffentlicht am 12.07.2022Heute hat Bundesinnenministerin Nancy Faeser anlässlich einer Pressekonferenz die neue Cybersicherheitsagenda des Bundesministeriums des Innern und für Heimat vorgestellt. Die neue Agenda soll nicht nur ein höchstmögliches Schutzniveau für die Cybersicherheit in Deutschland schaffen, sondern zugleich eine effizientere und klarere Aufgabenverteilung in der Cybersicherheitsarchitektur und eine bessere Verzahnung der Akteure gewährleisten. Dabei ist begrüßenswert, dass deutlich herausgehoben wird, dass eine Untersuchung der Wirksamkeit der derzeitigen Aufgabenwahrnehmung aller Akteure in der Cybersicherheit stattfinden muss und insbesondere auch eine Überprüfung der Effektivität der Zuständigkeitsverteilung und behördenübergreifenden Zusammenarbeit zu gewährleisten ist. Trotz dieser an sich lobenswerten Zielsetzung enthält die neue Cybersicherheitsagenda aber leider zahllose Aspekte, die die Cybersicherheit eher schwächen und offensichtlich nicht dazu geeignet sind, die Cybersecurity in Deutschland nachhaltig zu verbessern. Dazu wie folgt:
- Bund-Länder-Rolle: Es ist zwar gut, dass die Bund-Länder-Rolle ausdrücklich Gegenstand der Agenda ist, diese muss aber noch deutlich stärker und konkreter als bislang adressiert werden. Cybersecurity ist auch Gefahrenabwehr, die verfassungsrechtlich vornehmlich in die Länderzuständigkeit fällt. Durch den Bund wurden in der Vergangenheit Länderkompetenzen in der Cybersicherheit auf gravierende Weise missachtet, außerdem müssen die finanziellen und personellen Ressourcen der Cybersecurity in den Ländern deutlich stärker als bislang ausgebaut werden.
- BSI als Zentralstelle: Eine Tätigkeit des BSI als „Zentralstelle im Bund-Länder-Verhältnis“ macht nur dann Sinn, wenn es auch die nötige Unabhängigkeit besitzt, was zurzeit definitiv nicht der Fall ist. Auch geht aus der Agenda nicht hervor, welche konkreten Aufgaben mit dieser Zentralstellenfunktion verbunden sein sollen. Schon jetzt befürchten Unternehmen bei einer Datenübermittlung an das BSI eine Zweckentfremdung von sicherheitsrelevanten Informationen. Die Agenda legt nicht dar, wie dieses Misstrauen ausgeräumt werden soll. Auch wird nicht dargelegt, wie eine „unabhängigere Aufstellung des BSI“ aussehen könnte und mit welchen Änderungen in der gesamtstaatlichen Cybersicherheitsarchitektur dies zu verbinden wäre. Die bislang geführte Diskussion um die Unabhängigkeit des BSI ist rein politischer Natur ohne Mehrwert. Die Verzahnung von Recht, Politik und technischen Anforderungen ist mehr als gefährlich. Das haben beispielsweise die rechtswidrigen BSI-Warnungen vor Kaspersky-Produkten belegt.
- Neue sicherheitsbehördliche Ermittlungsinstrumente: Die Agenda will ein „Maximum“ an Cybersecurity schaffen, schafft aber gleichzeitig einen neuen und extensiven sicherheitsbehördlichen Eingriffsrahmen, der die Cybersecurity letztlich kompromittiert. So wird formuliert: „Sicherheitsbehörden sollen mit dem technologischen Wandel Schritt halten und ihre gesetzlichen Aufgaben bei der Gefahrenabwehr und Strafverfolgung weiterhin wahrnehmen.“ Unklar ist überdies, was mit einem „Ausbau und Modernisierung der Ermittlungsfähigkeiten und Instrumente des BKA und der Bundespolizei im Bereich Automotive IT, IoT, Verschlüsselung und KI“ gemeint sein soll. In einer möglichen Lesart klingt dies eher nach verstärkter behördlicher Datenauswertung und weniger nach Cybersecurity. Insbesondere die Nennung der „Verschlüsselung“ im Zusammenhang mit „Ermittlungsinstrumenten“ wirft kritische Fragen auf.
- Aktive Cyberabwehr: Im Hinblick auf die nicht erst seit dem Ukraine-Krieg umstrittene sog. „aktive Cyberabwehr“ hätte man sich deutlich grundlegendere klarstellende Worte wünschen können. Die vorgestellte Agenda vermeidet eindeutig eine klare politische Positionierung zum Thema. Damit wird auch deutlich, dass das Thema Hackback noch lange nicht vom Tisch ist. Zwar will laut Ministerin Faeser gemäß ihrer Äußerung in der Pressekonferenz „niemand einen Hackback“, die verschriftlichte Agenda distanziert sich davon aber nicht hinreichend. So ist nach wie vor davon die Rede, dass Aufklärungs- und Früherkennungstools für staatlich gesteuerte Cyberangriffe zu modernisieren sind und es verbesserte Befugnisse zur Aufklärung technischer Sachverhalte bei Cyberangriffen fremder Mächte geben muss. Im Bereich der Forschungsförderung wird gar festgestellt, dass die „Cyberverteidigung“ ein wesentliches Interesse darstellt.
- ZITiS: Die Schaffung einer gesetzlichen Grundlage ist hier schon mehr als lange überfällig, selbst wenn durch ZITiS nur mittelbar Grundrechtseingriffe insb. in das IT-Grundrecht verursacht werden. Die fehlende Rechtsgrundlage und Kontrolle werden schon seit Jahren kritisiert. Ein Interessenkonflikt zur Cybersicherheit wird insbesondere dadurch deutlich, dass in der vorgestellten Agenda mehrfach beschrieben wird, dass ZITiS ausgebaut werden soll. Hierdurch findet aber infolge der Kompromittierung von Systemen eher eine Schwächung der Cybersicherheit statt.
- „Chatkontrolle“, Extremismus und Hasskriminalität im Netz: Besonders deutlich wird an diesen Punkten, dass das BMI offensichtlich unter einem Interessenkonflikt leidet. Eine Agenda, die „Cybersicherheit“ thematisieren will, hat mit Fragen der Chatkontrolle, Extremismusbekämpfung und Hasskriminalität im Netz eigentlich nichts zu tun. Dies sind jedoch Themen, die politisch unter die BMI-Agenda fallen. Durch die Chatkontrolle und den entsprechenden europäischen Vorstoß, auf den die Agenda mittelbar ebenfalls Bezug nimmt und ihn gutheißt, wird die Cybersecurity infolge der damit verbundenen anlasslosen Massenüberwachung der vertraulichen Kommunikation von Millionen von Bürgern sogar ad absurdum geführt.
- Digitale Souveränität in der Cybersecurity: Die Agenda schlägt vor, digitale Souveränität in der Cybersecurity u.a. durch öffentliche Fördermaßnahmen zu stärken. Das ist sicherlich ein möglicher Weg, jedoch keine Maßnahme, um zeitnah Technologiesouveränität und insbesondere Hardwaresouveränität herstellen zu können. Dass dabei auf 5G und 6G abgestellt wird, ist wenig überraschend, da dies schon in der Cybersicherheitsstrategie des Bundes und im IT-SiG 2.0 Thema ist. Kritisch zu hinterfragen sind die angesprochenen erweiterten Prüfmöglichkeiten des BSI im Hinblick auf die Vertrauenswürdigkeit von Herstellern und kritischen Komponenten bei KRITIS-Betreibern – welche Maßnahmen sollen hier sinnvollerweise geschaffen werden, die schon über geltendes Recht hinausgehen?
FAZIT: Die neue Cybersicherheitsagenda des BMI ist insgesamt wenig überzeugend, denn man hat hier offensichtlich versucht, den kleinsten politischen Nenner für ein hochkomplexes und ressortübergreifendes Thema zu finden. Die Formulierungen im Dokument sind vage und verklausuliert und laden zur Kaffeesatzleserei, aber nicht zur konkreten Verbesserung von Cybersecurity ein. Das BMI als zuständige Einrichtung scheitert wieder einmal an der „Quadratur des Kreises“ seiner sich widersprechenden Ziele und Aufgaben, indem einerseits öffentliche Sicherheit mit Eingriffsbefugnissen, andererseits aber auch Cybersecurity befördert werden soll, die durch diese Eingriffsbefugnisse geschwächt wird. Das vorgestellte bunte „Potpourri“ an Maßnahmen ist wenig geeignet, nachhaltig mehr Cybersicherheit zu schaffen. Letzten Endes belegt die Agenda mehr als eindrucksvoll, dass wir in Deutschland ganz generell einmal über eine Neuordnung der Kompetenzen und Zuständigkeiten in der Cybersicherheit nachdenken sollten.
Hinweise zur bestehenden Moderationspraxis
Kommentar schreiben
1 Kommentar
Kommentare als Feed abonnierenVielen Dank. Vielleicht ist in diesem Zusammenhang noch interessant, dass das BSI am 1. Juli 2022 ein neues Zertifizierungsprogramm für Komponenten der 5G-Telekommunikationsnetze gestartet hat. Das Zertifizierungsprogramm nach dem Schema "Network Equipment Security Assurance Scheme Cybersecurity Certification Scheme – German Implementation" (NESAS CCS-GI) richtet sich vorrangig an Hersteller von 5G-Mobilfunkkomponenten. Sie können somit die IT-Sicherheitseigenschaften ihrer 5G-Produkte unabhängig überprüfen lassen und der im TKG enthaltenen Zertifizierungspflicht für kritische Komponenten in 5G-Netzen nachkommen.
Das nationale Schema soll damit auch als Vorbild für ein zukünftiges europäisches Zertifizierungsschema nach der Verordnung (EU) 2019/881 (Cybersecurity Act (CSA)) dienen. Das BSI möchte somit mit seinen Erfahrungen und Erkenntnissen aktiv das zukünftige europäische 5G-Zertifizierungssschema (EU5G) in den internationalen Arbeitsgruppen des CSA mitgestalten und so die sichere Digitalisierung in Europa vorantreiben.