
|
11-02-47
Am
23.02.2011 hat das Bundeskabinett eine Cyber-Sicherheitsstrategie
beschlossen
(1),
deren Grundzüge in einer Broschüre veröffentlicht wurden
(2).
Ihr geht es um die Verbesserung der Rahmenbedingungen für den sicheren
Betrieb der Informationstechnik und ihrem Schutz gegen Angriffe aus dem
In- und Ausland.
Die
"IT-Gefährdungslage" wird zutreffend beschrieben <S. 3>: Wirtschaft und
Verwaltung betreiben in aller Regel mit Standardkomponenten
geschäftswichtige Anwendungen, die zunehmend mit dem Internet verbunden
sind. Die Broschüre spricht insoweit von dem Cyber-Raum
(3).
Kriminelle, terroristische und nachrichtendienstliche Akteure nutzen den
Cyber-Raum als Feld für ihr Handeln und machen vor Landesgrenzen nicht
halt. Auch militärische Operationen können hinter solchen Angriffen
stehen. <S. 3>
Zur
Gewährleistung von Sicherheit im Cyber-Raum, die Durchsetzung von Recht
und der Schutz der kritischen Informationsinfrastrukturen setzt die
Bundesregierung vor allem auf die Zusammenarbeit der Bundesbehörden, der
Wirtschaft und mit ausländischen Partnern <S. 4>, des
Informationsaustausches und Koordination, wobei
zivile Ansätze und Maßnahmen ... bei der Cyber-Sicherheitsstrategie
im Vordergrund stehen <S. 5>.
Im
Zusammenhang mit den strategischen Maßnahmen setzt die Bundesregierung
auf den "Umsetzungsplan KRITIS" <S. 6>. Dahinter steckt die Nationale
Strategie zum Schutz Kritischer Infrastrukturen
(4),
die zwar eine sehr breite Definitionen für Kritische Infrastrukturen und ihre
"Kritikalität" vorgibt, aber die Stromversorgung, die Informations- und
Kommunikationstechnologie, das Transportwesen und die
Wasserversorgungswirtschaft als technische Basisinfrastrukturen in den
Vordergrund stellt <KRITIS, S. 8>. Diese Eingrenzung bleibt weit hinter
dem zurück, was McAfee
(5)
oder die US-Air Force als kritisch ansehen
(6).
|
Kritische Infrastrukturen sind Organisationen und
Einrichtungen mit wichtiger
Bedeutung für das staatliche Gemeinwesen, bei deren Ausfall oder
Beeinträchtigung nachhaltig wirkende Versorgungsengpässe, erhebliche
Störungen
der öffentlichen Sicherheit oder andere dramatische Folgen eintreten
würden. <KRITIS, S. 4> |
Kritikalität
ist ein relatives Maß für die Bedeutsamkeit einer Infrastruktur in Bezug
auf die Konsequenzen, die eine Störung oder ein Funktionsausfall
für die Versorgungssicherheit der Gesellschaft mit wichtigen
Gütern und Dienstleistungen hat. <KRITIS, S. 7> |
Daneben stellt KRITIS die Sozioökonomischen
Dienstleistungsinfrastrukturen:
Gesundheitswesen, Ernährung
Notfall- und Rettungswesen, Katastrophenschutz
Parlament, Regierung, öffentliche Verwaltung, Justizeinrichtungen
Finanz- und Versicherungswesen
Medien und Kulturgüter
KRITIS
verfolgt als Ziel die Schaffung einer "Risikokultur", um
die Gesellschaft im Umgang mit
wachsenden Verletzlichkeiten robuster und widerstandsfähiger zu
gestalten. <KRITIS, S. 11> Sie soll im wesentlichen aufgrund der
Eigenverantwortung der IT-Betreiber, des Erfahrungs- und
Informationsaustausches sowie der Koordination geschaffen werden.
<KRITIS, S. 12> Die dazu diskutierten Instrumente beschränken sich vor
allem auf die Risikoerkennung, Übungen, ein
effektives Notfall- und
Krisenmanagement und effiziente Redundanzen
sowie eine wirkungsvolle Selbsthilfekapazität der unmittelbar
Betroffenen. <KRITIS, S. 12> und die Fortschreibung von
Gefährdungsanalysen. Dadurch wird ein Reifeprozess-Modell erstrebt, wie
es auch aus dem strategischen IT-Management bekannt ist <KRITIS, S. 13>.
|
|
Über das
kopflastige KRITIS-Modell geht die Cyber-Strategie kaum hinaus. Als
strategische Ziele formuliert sie <S. 6>:
den
Schutz kritischer Informationsinfrastrukturen nach Maßgabe von KRITIS,
wobei auch die Einbeziehung weiterer Branchen geprüft werden soll,
sichere IT-Systeme in Deutschland, worunter vor allem die Aufklärung und
Schulung zur Selbstsicherung und die Verantwortung der Provider
verstanden wird <S. 7>,
die
Stärkung der IT-Sicherheit in der öffentlichen Verwaltung,
die Schaffung eines Nationalen Cyber-Abwehrzentrums und
die Bildung eines Nationalen Cyber-Sicherheitsrates.
Die
Federführung für das Cyber-Abwehrzentrum wird dem Bundesamt für
Sicherheit in der Informationstechnik übertragen. Beteiligt werden
sollen der Bundesverfassungsschutz, der Katastrophenschutz, das
Bundeskriminalamt, die Bundespolizei, das Zollkriminalamt, der
Bundesnachrichtendienst, die Bundeswehr und andere "aufsichtsführende
Stellen" <S. 8>.
Ein schneller
und enger Informationsaustausch über Schwachstellen in IT-Produkten,
Verwundbarkeiten, Angriffsformen und Täterbilder <soll> das Nationale
Cyber-Abwehrzentrum <dazu befähigen>, IT-Vorfälle zu analysieren und abgestimmte
Handlungsempfehlungen
zu geben. Damit soll auch die Betrachtung des
Schutzes der Wirtschaft vor Cyber-Spionage verbunden werden.
Der
Nationale Cyber-Sicherheitsrat wird im Wesentlichen aus Spitzenbeamten
der Bundes- und Länderverwaltungen bestehen.
|
Erreicht
werden sollen ferner:
die
wirksame Kriminalitätsbekämpfung im Cyber-Raum durch Stärkung der
Fähigkeiten in der Strafverfolgung und den mit Sicherheitsfragen
befassten Bundesbehörden,
das
effektives Zusammenwirken für Cyber-Sicherheit in Europa und weltweit,
Fortbildung und Personalentwicklung in den Bundesbehörden und
die
Schaffung eines Instrumentarium zur Abwehr von Cyber-Angriffen.
Dem
Cyber-Abwehrzentrum fehlt jede operative Kompetenz. Es beschränkt sich
auf Overhead-Funktionen, sichert den Informationsaustausch, erstellt
Lagebilder und Pläne zur Gefahrenabwehr.
Das ist nicht falsch, aber nur ein Schritt zur Gefahrenabwehr, dem
der wesentliche zweite fehlt: Die aktive und proaktive Abwehr von
Cyberangriffen.
Dem Konzept fehlt der nötige Biss. Somit bleibt abzuwarten, welche
Arbeitsergebnisse und Empfehlungen vom Abwehrzentrum kommen werden. Sie
werden zweifellos auch operative Maßnahmen enthalten müssen, die von den
beteiligten Bundesbehörden in Angriff genommen werden müssten. Auch das
bleibt abzuwarten.
Im
Ergebnis zielt die Cyber-Strategie nur auf die Schaffung einer
beobachtenden und beratenden Kopfstelle ohne Befugnisse. Das ist sehr
kurz gegriffen und wird ihrer großen Aufgabe nicht gerecht.
|