Cybersicherheitsagenda: BKA & Co. sollen Angriffsserver runterfahren können
Innenministerin Nancy Faeser zielt mit ihrer Cybersicherheitsagenda auf eine aktive staatliche Cyberabwehr, "zivile Netzverteidigung" und ein stärkeres BSI.
(Bild: Gorodenkoff/Shutterstock.com)
Bundesinnenministerin Nancy Faeser hat am Dienstag in Berlin ihre Cybersicherheitsagenda vorgestellt. Kernpunkte des 14-seitigen Plans sind neue Befugnisse für die Sicherheitsbehörden, um massive IT-Angriffe aktiv abwehren zu können, eine neu organisierte Cybersicherheitsarchitektur mit einer führenden Rolle des Bundes, ein verschärfter Kampf gegen Cyberkriminalität sowie die Stärkung der Resilienz des Staates und kritischer Infrastrukturen.
Spätestens seit dem "furchtbaren Angriffskrieg" Russlands auf die Ukraine gebe es eine stetige Bedrohung aus dem Cyberraum, die Tag für Tag wachse, begründete Faeser ihr Vorhaben. Die äußere und die innere Sicherheit müssten daher verknüpft werden. Der Bund habe bereits alle verfügbaren Schutzmaßnahmen hochgefahren und koordiniere diese im nationalen Cyberabwehrzentrum. Die SPD-Politikerin betonte aber: "Die Zeitenwende, die wir erleben, erfordert eine strategische Neuaufstellung und deutliche Investitionen in unsere Cybersicherheit."
Ein besonders umstrittener Punkt ist die "aktive Cyberabwehr". Die aktuelle, von Ex-Innenminister Horst Seehofer (CSU) vorangetriebene Cybersicherheitsstrategie der Bundesregierung sieht dafür noch Hackbacks vor, also ein Zurückschlagen im Cyberspace. Die Ampel-Koalition lehnt dieses Mittel aber ab. Faeser peilt trotzdem nun auch Maßnahmen an, die über eine bloße Aufklärung einer Attacke hinausgehen: "Wir müssen auf IT-Infrastrukturen einwirken können, die für einen Angriff genutzt werden. So können die Sicherheitsbehörden schwerwiegende Cyberangriffe verhindern, stoppen oder zumindest abschwächen."
Es gehe etwa um die Fähigkeit, eine Attacke "umzuleiten", führte die Ministerin aus. Der Bund werde vor allem dem Bundeskriminalamt (BKA) – gegebenenfalls auch mehreren Behörden – einschlägige Zuständigkeiten geben müssen. Nicht geplant sei, mit staatlichen Mitteln ausländische Server mit aggressiven Gegenschlägen zu bekämpfen. Ein Angriff könne aber so schwer sein, dass der Staat sich gezwungen sehe, ihn abzustellen.
Server "gezielt runterfahren"
Es gelte herauszukommen aus der "Opfersphäre", ergänzte der IT-Beauftragte der Bundesregierung, Markus Richter. Die Sicherheitsbehörden sollten auch Server in den Blick nehmen, von denen ein Angriff erfolge, um diese "gezielt runterzufahren". Dieses breite Reaktionsspektrum stehe derzeit noch nicht zur Verfügung. Zuvor hatte Wolfgang Wien, Vizepräsident des Bundesnachrichtendienstes (BND), den Auslandsgeheimdienst für solche Aktionen ins Spiel gebracht. Er forderte, jetzt zu entscheiden, wer gegebenenfalls eine aktive Cyberabwehr durchführen sollte.
Der Bundestag forderte von der Regierung jüngst ein Konzept, wie das Bundesamt für Sicherheit in der Informationstechnik (BSI) "unabhängiger aufgestellt und zur Zentralstelle für IT-Sicherheit ausgebaut werden soll". Damit die Cybersicherheitsbehörde den Ländern und Kommunen etwa bei Ransomware-Attacken nicht mehr nur auf dem langwierigen offiziellen Weg der Amtshilfe beistehen kann, will Faeser nun eine Grundgesetzänderung vorschlagen. Damit soll eine direkte Unterstützung möglich werden.
Beim BSI liefen viele Informationen zusammen, auch zu Angriffsszenarien, erläuterte Richter. Momentan sei es schwer, diese mit anderen zu teilen. Über die Zentralstellenfunktion könne künftig aber eine direkte Kommunikation auf Basis einer rechtlichen Grundlage mit den zuständigen Länderbehörden erfolgen. "Die Signale aus den Ländern sind sehr positiv", freute sich Faeser. Auch im Bundeskabinett habe sie das Vorhaben schon angesprochen, dort sei "kein Hinderungsgrund" laut geworden. Sie erwarte, dass auch die Opposition diesen Schritt mitgehe. Verankert ist in der Agenda zudem eine "unabhängigere Aufstellung" des BSI.
Ziviles Cyberabwehrsystem
Für den Schutz ziviler Infrastrukturen vor Hackerattacken will das Bundesinnenministerium (BMI) laut dem Dokument in einem ersten Schritt die bestehenden Informationsangebote des BSI und angeschlossener Institutionen bündeln sowie einer "breiteren Nutzergemeinschaft" inklusive kleinen und mittleren Unternehmen auf einer zentralen Plattform anbieten. Diese soll dann zu einem "zivilen Cyberabwehrsystem" (ZCAS) ausgebaut werden, das zentrale Elemente einer "zivilen Netzverteidigung" enthält, "mit denen aktiv und automatisiert auf Cyberangriffe reagiert werden kann".
Das BMI will ferner die Ermittlungs- und Analysefähigkeiten der Polizei und des Bundesamts für Verfassungsschutz (BfV) weiterentwickeln und die einschlägigen Behörden personell aufstocken. Vor allem gegen Cybercrime werde entschlossener vorgegangen, gab Faeser als Parole aus. Hier habe das BKA etwa auf Telegram durchgesetzt, dass Mordaufrufe gelöscht würden. Der Schutz von Kindern vor sexualisierter Gewalt habe nun Priorität: Sexuelle Missbrauchsdarstellungen müssten mit allen rechtsstaatlich verfügbaren Mitteln bekämpft werden. Auch Prävention und Opferschutz spielten eine wichtige Rolle.
In der Agenda ist so von der Entwicklung einer einschlägigen nationalen Strategie die Rede. Auch den geplanten EU-weiten Rechtsrahmen, mit dem die Brüsseler Kommission vor allem die Verbreitung von Kindesmissbrauchsdarstellungen im Internet erschweren will, werde man "fördern". Dabei ist aber – neben Websperren – insbesondere das Instrument der Chatkontrolle heftig umstritten. National soll ein "zentral durch das BKA koordinierter und bundesweit abgestimmter Melde- und Löschprozess bei Missbrauchsdarstellungen" im Netz erstellt werden.
Zitis ausbauen
Die als Hackerbehörde bekannt gewordene Zentrale Stelle für Informationstechnik im Sicherheitsbereich (Zitis) soll Faeser zufolge weiterhin die anderen Sicherheitsbehörden des Bundes mit technischen Lösungen und IT-Services "zielgerichtet" unterstützen. Dafür werde nun aber eine rechtliche Grundlage geschaffen, heißt es in der Agenda. Darauf drängten vor allem die Grünen. Parallel soll die Zitis "konsequent" ausgebaut werden zum zentralen Dienstleister mit eigenen nationalen Entwicklungsfähigkeiten und einer Bewertungskompetenz.
Zu den Vorhaben zählt auch, die Resilienzfähigkeit der Netze des Bundes zu stärken, die vor allem mit der Hackerattacke auf den Bundestag bekannt geworden sind. Andreas Könen, Leiter der Abteilung Cyber- und IT-Sicherheit im BMI, hatte dazu bereits Ende Juni die Umstellung auf eine Zero-Trust-Architektur angekündigt. Damit soll über ein restriktives Vertrauensmodell von vornherein verhindert werden, dass schlafende Schadsoftware in IT-Systemen installiert werden kann.
Eingerichtet werden die Stelle eines Chief Information Security Officer (CISO) und ein Kompetenzzentrum zur "operativen Sicherheitsberatung des Bundes". IT-Sicherheit soll von vornherein in die Technik eingebaut und entsprechend voreingestellt werden über den Grundsatz "Security by Design and by Default". Weiteres Ziel ist es, die Bundesbehörden auch mit quantengesicherten Kommunikationslösungen auszustatten. Zudem will das BMI die Verfügbarkeit von Ressourcen wie Softwarelizenzen, Cloud-Diensten und Wartungsteilen stärker in den Fokus nehmen. Die Kosten für die Umsetzung der Agenda und die Fortschreibung der umfassenderen Cybersicherheitsstrategie bezifferte Faeser mit insgesamt rund 20 Milliarden Euro.
Abgestimmte IT-Sicherheitspolitik
Als "ersten Aufschlag" der Innenministerin bezeichnete Konstantin von Notz, Vizefraktionschef der Grünen im Bundestag, die Initiative. Weiterhin bedürfe es dringend einer zwischen den Häusern abgestimmten, kohärenten IT-Sicherheitspolitik. Die Grünen würden ihren Teil dazu leisten, Projekte wie ein Dachgesetz für kritische Infrastrukturen im weiteren Verfahren noch zu berücksichtigen. Überwachungsmaßnahmen, die die IT-Sicherheit nachweislich gefährden, müsse das BMI kritisch hinterfragen und ein rechtsstaatlich ausgestaltetes Schwachstellen-Management vorgeben.
(olb)
