Faesers neue Cybersicherheitsstrategie: Neuaufstellung oder Placebo?

Berlin taz | Nancy Faeser spart nicht an Deutlichkeit. Die Gefahr durch ausländische Cyberattacken sei durch den Ukrainekrieg „sehr ernst“, die Onlinekriminalität „exorbitant angestiegen“. Deutschland müsse seine Cybersicherheit deshalb „neu aufstellen“ und deutlich besser finanzieren, so die Bundesinnenministerin. „Die Bedrohungslage wächst Tag für Tag.“

Am Dienstag stellte Faeser dafür in Berlin ihre neue Cybersicherheitsagenda vor. Noch gebe es durch den Ukrainekrieg keine konkrete Bedrohung für Deutschland, erklärt die Sozialdemokratin. „Aber wir sehen ein stetiges Scannen von Sicherheitslücken.“ Faeser sorgt sich vor allem um Cyberangriffe auf die Kritische Infrastruktur wie Energieversorger oder Krankenhäuser und um gezielte Sabotage oder Desinformation. Eine große Gefahr blieben auch Ransomware-Angriffe auf Privatunternehmen oder Behörden wie zuletzt im Landkreis Anhalt-Bitterfeld, bei denen Daten verschlüsselt und erst nach Lösegeldzahlungen wieder freigegeben werden.

Bisher ist die Abwehr von Cyberangriffen Aufgabe der Länder. Faeser will nun eine klare Verlagerung auf den Bund – was eine Grundgesetzänderung verlangt. Sie zeigte sich optimistisch, dass die Länder dies mittragen, da diese angesichts der Bedrohungslage schon jetzt überfordert seien. Gestärkt werden soll nun vor allem das Bundesamt für Sicherheit in der Informationstechnik (BSI), das zur Zentralstelle für die Cybersicherheit von Bund und Ländern und unabhängiger werden soll. 1.300 Mitarbeitende widmen sich dort bisher der Netzsicherheit und dem digitalen Schutz von Kritischer Infrastrukturen.

Betreiber dieser Strukturen sollen nun enger ans BSI-Lagezentrum angebunden und in der Behörde für jeden Sektor ein „Cyber Emergeny Response Team“ aufgebaut werden. Zudem soll das BSI eine Plattform aufbauen, auf der sich Unternehmen vor Cyberangriffen warnen können. Perspektivisch soll daraus ein „ziviles Cyberabwehrzentrum“ werden, mit dem „aktiv und automatisiert auf Cyberangriffe reagiert werden kann“.

Hackbacks ja oder nein?

Ob und wie größere Cyberattacken aber auch von Sicherheitsbehörden abgewehrt werden sollen, blieb auch am Dienstag unklar. Die Ampel hatte in ihrem Koalitionsvertrag sogenannte Hackbacks, also Gegenschläge auf angreifende Server, grundsätzlich ausgeschlossen. Auch Faeser betonte, „aggressive Gegenschläge“ solle es nicht geben. Dennoch müsse man in der Lage sein, bei schweren Angriffen attackierende Server abzuschalten.

Die Linken-Digitalpolitikerin Anke Domscheit-Berg kritisierte, dass dies dann sehr wohl Hackbacks bedeute, auch wenn sich Faser „semantisch drum herum wurstelt“. Die Gefahr bleibe, dass für Cyberattacken fremde Server benutzt würden, etwa von Krankenhäusern, die bei Hackbacks ausgeschaltet und für die bewusst Sicherheitslücken offengelassen würden.

Faeser will derweil, dass auch die Sicherheitsbehörden – also Verfassungsschutz, Bundeskriminalamt und Bundespolizei – ihre Cyberabteilungen ausbauen und ihre IT-Infrastruktur modernisieren. Unterstützung sollen sie dafür wiederum von der Zentralen Stelle für Informationstechnik im Sicherheitsbereich (Zitis) erhalten. Diese ist bisher 250 Mitarbeitende stark. Auch Zitis soll eine neue gesetzliche Grundlage bekommen – eine Forderung der Grünen, die zuletzt kritisierten, ob das Haus „tatsächlich einen Beitrag zur Erhöhung der allgemeinen IT-Sicherheit leistet“. Für Faeser soll Zitis dagegen nun als zentraler Dienstleister für die Sicherheitsbehörden neue Analysewerkzeuge entwickeln. Konkret geht es um Recherchetools für soziale Medien, Künstliche Intelligenz für die Polizei oder um Programme, um Verschlüsselung zu knacken.

Kampf auch gegen Cybercrime

Härter bekämpfen will Faeser auch Missbrauchsdarstellungen von Kindern im Internet. Mit einer Nationalen Strategie sollen diese früher gemeldet, verfolgt und gelöscht werden. Faeser sieht hier vor allem das Bundeskriminalamt zuständig, um die massenhaften Daten auszuwerten. Gleiches gilt für die Identifizierung von Ver­fas­se­r:in­nen von Hassbotschaften, welche ihr Ministerium weiter forcieren will.

Zu guter Letzt sollen sich auch die Bundesbehörden besser und „unverzüglich“ vor Cyberangriffen schützen. Ein „Verstärkungsprogramm“ für die Cybersicherheit des Bundes soll aufgelegt werden und das Quantencomputing beim BSI weiter gefördert werden, das höhere Recheneffizienz verspricht und eine sicherer Regierungskommunikation gewährleisten soll. Zudem soll ein zentrales Videokonferenzsystem für die Bundesverwaltung eingeführt und die Cybersicherheitsforschung gestärkt werden.

Die Linke Domscheit-Berg überzeugt die Agenda nicht. Diese offenbare vielmehr eine „digitale Inkompetenz“, Maßnahmen wie Hackbacks seien „kontraproduktiv und schlicht kreuzgefährlich“. Faeser und ihr Ministerium seien die Tragweite und Konsequenzen ihrer Vorschläge offenbar nicht bewusst.

Der Grünen-Innenexperte Konstantin von Notz reagierte freundlicher, aber dennoch verhalten. Die Agenda könne „nur ein erster Aufschlag sein“, erklärte er. Eine „echte Kehrtwende“ bei der IT-Sicherheit sei sie nicht. Um diese stehe es nach Jahren der Untätigkeit „extrem schlecht“. Auch fehle es weiter an klaren Rechtsgrundlagen für die Zusammenarbeit der Behörden im Digitalen, an finanzieller Unterstützung für Bürger und Unternehmen, die sich digital besser schützen wollen – und an einer Stärkung für die Freiheitsrechte.