FM4-Logo

jetzt live:

Aktueller Musiktitel:

Deutsche Cybersicherheitsstrategie

Radio FM4

Erich Moechel

Deutsche Cybersicherheitsstrategie ohne Sicherheit

Die neue deutsche Innenministerin Nancy Faeser(SPD) fährt den nach Ansicht unabhängiger Experten völlig verpeilten Cyberkurs ihres Vorgängers Horst Seehofer (CDU) geradeaus weiter. Die Fachwelt „is not amused“.

Von Erich Moechel

Parallel zur Finalisierung der neuen EU-Richtlinie zur Cybersicherheit (NIS2) wurde in Berlin die neue Cybersicherheitstrategie Deutschlands vorgestellt. Die ungewöhnlich schnell ausverhandelte europäische Richtlinie wurde von Experten fast einhellig begrüßt.

Die neue deutsche Cybersicherheitsstrategie wird hingegen in der Fachwelt seit ihrer Publikation laufend in Grund und Boden kritisiert. Wie eine nähere Betrachtung zeigt, ist sie nämlich weder neu, noch ist es eine Sicherheitsstrategie. In erster Linie werden da neue Befugnisse an Polizeibehörden und Geheimdienste verteilt.

Deutsche Cybersicherheitsttrategie

BMI Deutschland

Das Inhaltsverzeichnis der Cybersicherheitsagenda der deutschen Innenministerin Nancy Faeser (SPD) sagt eigentlich schon alles über Verständnis von Cybersicherheit der Verfasser dieser Agenda aus. „Hinter sämtlichen noch so positiv klingenden aufgelisteten Vorhaben stecken höchst umstrittene sicherheitspolitische Maßnahmen“, so die Vorsitzende des liberalen Thinktanks LOAD Ann Cathrin Riedel. Diese Cybersicherheitsagenda sei eine bewusste Irreführung der Öffentlichkeit.

Trojaner statt Cybersicherheit

Der Überfall Russlands auf die Ukraine hatte den Einigungsprozess im Trilog-Verfahren für die neue EU-Richtlinie zur Cybersicherheit zuletzt vorangetrieben.

Wie schon das Inhaltsverzeichnis zeigt, geht es hier in erster Linie nicht darum, das allgemeine Sicherheitsniveau in den Informationsnetzen signifikant zu heben wie bei NIS2. Die ersten vier Abschnitte, also die obersten Prioritäten dieses Ansatzes, betreffen alleine die deutschen Behörden. Oberste Priorität haben zum Beispiel die Erweiterung der „Ermittlungs- und Analysefähigkeiten“ um die „Abhängigkeit der Sicherheitsbehörden von außereuropäischen Herstellern“ zu reduzieren. „Polizei und Nachrichtendienste“ würden „gleichermaßen vom Ausbau eigener nationaler Entwicklungsfähigkeiten profitieren“.

Der komplette zweite Abschnitt ist dem Ausbau des Bundesverfassungsschutzes sowie der landläufig als „Trojanerbehörde“ bekannten „Zentralen Stelle für Informationstechnik im Sicherheitsbereich“ (ZITiS) gewidmet. Diese nationalen „Entwicklungsfähigkeiten“ sollen zur „Etablierung eines wirksamen Schwachstellenmanagements“ dienen. Übersetzt heißt das: ZITіS soll eigene Überwachungs-Tools und da vor allem Trojaner-Schadsoftware für Polizei- und Geheimdienste liefern, um die Abhängigkeit von anrüchigen Firmen wie der NSO-Group bzw. Candiru (Israel) sowie US-Unternehmen reduzieren. „Schwachstellenmanagement“ ist ein Verfahren, bei dem neue entdeckte Sicherheitslücken erst den Geheimdiensten vorgelegt werden, die dann entscheiden, ob diese Lücken publik gemacht werden dürfen, oder ob dafür „Eigenbedarf“ besteht. Das ist das exakte Gegenteil der Empfehlungen so gut wie aller unabhängigen IT-Sicherheitsexperten, nicht nur in Deutschland.

Deutsche Cybersicherheitsttrategie

BMI Deutschland

Künstliche Intelligenz, Direktzugriff auf Fahrzeugdaten und das Internet der Dinge, sowie Methoden, die Verschlüsselung von Kommunikation zu brechen - der gesamte Wunschkatalog von Polizeihehörden und Geheimdiensten für die nächsten zwei Jahrzehnte ist da enthalten. Die altehrwürdige deutsche Gesellschaft für Informatik e.V. (gegründet 1969) befürchtet bei mehreren Punkten, dass diese Cybersicherheitsagenda die Cybersicherheit der europäischen Wirtschaft, Verwaltung und Bürger:innen gefährden könnte

Verschlüsselung nur für Behörden

Im Juli 2021 kam eine Rohversion der Cybersicherheitagenda durch ein Leak ans Licht.

In den für die Behörden reservierten obersten Punkten werden in erster Linie konkrete Projekte abgehandelt, die von der konservativen Vorgängerregierung übernommen und geradeaus fortgeschrieben werden. So soll die ZITiS eine gesetzliche Grundlage erhalten und zum „zentralen Dienstleister für die Sicherheitsbehörden“ ausgebaut werden, zumal „Polizei und Nachrichtendienste gleichermaßen vom Ausbau eigener nationaler Entwicklungsfähigkeiten“ und einer „zentralen Bündelung der Investitionen und Entwicklungsfähigkeiten“ profitieren würden. Zudem soll der Bundesverfassungsschutz zur „Zentralstellenfunktion im Verfassungsschutzverbund“ ausgebaut werden.

Soweit so konkret. Ab dem Punkt fünf „Cyber-Resilienz Kritischer Infrastrukturen stärken“ ändert sich die Tonart auffallend. Da ist dann von „Förderungen von Investitionen für Cyber-Resilienzmaßnahmen“ und von „Awareness- und Cyber-Resilienz-Projekten“ unter „Berücksichtigung der Sicherheit von IT-Lieferketten“ die Rede. Quer durch die folgende vier Kapitel wird keine einzige Maßnahme, wie diese Cyber-Resilienz zu stärken ist, auch nur erwähnt. Verschlüsselung kommt im gesamten Dokument überhaupt nur zweimal vor. Im ersten Fall (siehe Screenshot oben) als Hindernis für Strafverfolger und dann zur „Ausstattung der Bundesbehörden mit weiterentwickelten IT-Produkten“ nämlich „Quantencomputing und Post-Quanten-Kryptografie“.

Maßnahmen und Ziele der Deutschen Cybersicherheitsstrategie

BMI Deutschland

Zum Schluss wird das Papier ganz konkret, denn hier geht es um neue Budgets für neue bzw. modernisierte Kommunikationssysteme. In einem Gastkommentar für Heise konstatieren Caroline Krohn, IT-Sicherheitsexpertin für nachhaltige Wirtschaft und sichere Digitalisierung und Manuel Atug von der AG-Kritis Deutschland eine Cybersicherheitsverwahrlosung. Die AG Kritis nennt in ihrer Stellungnahme die Cybersicherheitsagenda alten Wein in neuen Schläuchen hier werde versucht, den wohlbekannten Wunschzettel der Sicherheitsbehörden neu zu verpacken."

Vorläufiges Fazit

2020 wurde von der damaligen deutschen Ratspräsidentschaft der berüchtigte Ansatz Sicherheit durch Verschlüsselung, Sicherheit trotz Verschlüsselung EU-weit eingeführt. Hier ist ein Talk beim CCC dazu(www.youtube.com

Dass Schlusskapitel "Krisenfeste Kommunikationsfähigkeit schaffen und Sicherheit der Netze ausbauen‶ betrifft ebenfalls nur die Behörden, nicht aber die kritische Infrastruktur selbst. Hier ist überhaupt nur vom Öffentlichen Dienst die Rede und zum wiederholten Mal wird über „die nationale digitale Souveränität“ schwadroniert, die von „Cyberangriffen fremder Mächte“ bedroht ist. Solch „geopolitsche Machtfantasien – gleichgültig, ob nach innen oder nach außen – gehören im 21. Jahrhundert nicht mehr in Sicherheitskonzepte“, sagte Manuel Atug, Experte im IT- und Cybersicherheitsbereich der AG Kritis zu ORF.at. „Sicherheit will nämlich durchdacht sein und Menschenschutz muss vom Individuum aus gedacht werden“, dies sei eben in diesem Fall nicht gegeben.

Deutsche Cybersicherheitsttrategie

Stiftung NV

Dies ist ein Auszug aus dem (inoffiziellen) Organigramm der deutschen Cybersicherheit, zusammengestellt von der Stiftung Neue Verantwortung. Das Diagramm zeigt die öffentlichen Organe, die im Falle eines Cyberangriffs aktiviert werden. Die oberste Reihe (graublau) sind EU-Organisationen, darunter in orange sind die Gremien und Institutionen der deutschen Bundesregierung abgebildet. Die untersten hier dargestellten Institutionen zeigen bereits die Länderebenen, wobei dieser Screenshot nur einen Auszug von weniger als der Hälfte des gesamten Organigrammes zeigt.

Epilog

Das obige Organigrammgeht noch endlos nach unten weiter, nämlich dorthin, wo etwa Ransomware-Attacken im Bereich kritischer Infrastrukturen tatsächlich „einschlagen“. Das passiert in erster Linie bei kommunalen Dienstleistern aller Art, regionalen Verwaltungsbehörden, kleineren Spitälern , KMUs und ähnlichen Einheiten die in der Hierarchie ganz unten stehen. Wie in einem solchen aufgeblähten bürokratischen Konstrukt absolut zeitkritische Entscheidungen getroffen und nahe an Echtzeit Gegenmaßnahmen eingeleitet werden sollten, wissen die dafür Verantwortlichen wohl selber nicht genau.

Vielleicht ist das aber auch alles Absicht, um potenzielle Cyberangreifer durch diesen bürokratischen Overkill so zu irritieren, dass sie ihre eigentlichen Angriffsziele aus den Augen verlieren.

Der RSS-Feed zu diesem Blog. Sachdienliche Informationen, Metakritiken et al. sind über dieses Formular verschlüsselt und anonym beim Autor einzuwerfen. Wer eine Antwort will, gebe tunlichst eine Kontaktmöglichkeit an.

Aktuell: