Deutsche Cybersicherheitsagenda: Von der Hochglanzstory zum nationalen Drama
Die Bundesregierung hat sich in zwei Jahren nach Vorstellung einer Agenda für Cybersicherheit in der Umsetzung verzettelt, meint Dennis-Kenji Kipker.
(Bild: your / Shutterstock.com)
Im Sommer 2022 stellte Bundesinnenministerin Faeser die nationale Cybersicherheitsagenda vor. Sie liest sich gut, denn politisch soll mit ihr eine "starke Sicherheitsarchitektur und ein höchstmögliches Schutzniveau in der Cybersicherheit" realisiert werden. Doch jetzt, zwei Jahre später, ist vom Hochglanzwerk mit Bildagenturgrafik und vielen bunten Symbolen leider nicht viel übrig geblieben.
Von den insgesamt 47 in der Agenda geplanten Vorhaben wurden bislang nur vier tatsächlich realisiert. Dies geht aus einer Antwort des Bundesinnenministeriums auf eine Anfrage von Anke Domscheit-Berg (Linke) im Digitalausschuss hervor, die heise online vorliegt. Demnach wurden elf der Vorhaben vorerst zurückgestellt – also bisher nicht begonnen –, der Rest befindet sich nach wie vor in der Umsetzung, ohne dass klar würde, in welchem Stadium.
Keine Lappalien, sondern Zukunft der Digitalisierung
Dabei geht es inhaltlich nicht nur um Lappalien, sondern um zentrale Schlüsselfragen für den Digitalstandort Deutschland. Ohne Cybersicherheit gibt es kein Vertrauen in Technologie, und ohne Vertrauen in Technologie gibt es keine vernünftige Digitalisierung. So ist in der Cybersicherheitsagenda die Rede vom Ausbau des BSI zu einer Zentralstelle im Bund-Länder-Verhältnis und einer unabhängigeren Aufstellung der Behörde.
Zudem soll es verbesserte Befugnisse geben, um Cyberangriffe fremder Mächte aufzuklären und Ermittlungsfähigkeiten des BKA im Cyberraum zu verbessern. Die ZITiS soll eine gesetzliche Grundlage bekommen, investiert werden soll in Quantencomputing für cybersichere Regierungskommunikation und gefördert werden das Prinzip "security by design" in der Bundesverwaltung. Doch nicht nur um die öffentlichen Einrichtungen geht es, sondern auch, wie wir den Cyberschutz von KMU optimieren können, die dem KRITIS-Sektor angehören.
Anstelle von Pragmatismus lieber Haarspaltereien
Diese Themen sind richtig dicke Bretter, die sich nicht von einem Monat auf den anderen bearbeiten lassen, doch reden wir über mehrere der Schlüsselthemen schon seit Jahren; über die Unabhängigkeit des BSI, die gesetzliche Verortung der ZITiS oder die Reform des deutschen Computerstrafrechts – Stichwort: Hackerparagraf. Alles Themen, die schon lange und eigentlich sogar noch vor Faesers Agenda politisch hätten angefasst werden müssen.
Doch anstelle eines pragmatischen Vorgehens für die Cybersicherheit werden wir konfrontiert mit politischen Forderungen, Thesen, Mutmaßungen, Haarspaltereien, die nicht die Sache, sondern lediglich den politischen und medialen Diskurs darüber befördern sollen. Dabei ist der Bundesregierung die Cybersicherheit nicht unwichtig, sie scheint nur unfähig, eigentlich eindeutige Sachverhalte zugunsten der Cybersicherheit zu entscheiden.
Cybersicherheit ist schon lange nicht mehr nur öffentliche Sicherheit
Eigentlich ist schon die nationale Cybersicherheitsagenda selbst das Problem. Denn indem sie rein innenpolitisch aufgehängt ist, bringt sich der Bund selbst in ein Entscheidungsdilemma: Er kann nicht zugunsten der Cybersicherheit entscheiden, selbst wenn dies noch so sachdienlich wäre, wenn dies möglicherweise jetzt oder zukünftig irgendwie mit den Interessen der öffentlichen Sicherheit kollidieren könnte. Was wir deshalb hierzulande dringend benötigen, ist ein nationales Umdenken in der Cybersicherheit: Cybersicherheit ist ebenso wie die Digitalisierung ein ressortübergreifendes Querschnittsthema.
Die politische Auffassung, dass Cybersecurity allein ein BMI-Thema ist, entstammt noch den 1980er-Jahren, als Digitalisierung vor allem "Staatsaufgabe" war und ist in heutigen Zeiten völlig überholt. Und während man sich in Berlin in diesem Entscheidungsdilemma weiter um die eigene Achse dreht und politisch vor sich hin diskutiert, werden andernorts die Fakten längst geschaffen; denn die Bedrohung aus dem Cyberraum kommt nicht erst, sondern sie ist für Wirtschaft, Staat und Gesellschaft schon lange real.
Handeln anstatt debattieren, und zwar jetzt
Cybersecurity ist deshalb weder Selbstzweck noch abstrakter politischer Diskussionsgegenstand, sondern grundrechtlich verbriefte Gewährleistungsverantwortung des Staates. Dieser muss er inhaltlich auch nachkommen, und zwar vor allem jenseits bunter Prospekte und blumiger politischer Ankündigungen. Wenn die Bundesregierung nicht bald aufholt, ist das gerade in diesen Zeiten gefährlicher denn je, denn wenn wir eines aktuell nicht brauchen, ist es Cybersecurity bloß auf dem Papier.
(nie)