Allein schon das Wort ist „Cyber" ist ziemlich albern. Doch die Bundesregierung meint es tatsächlich sehr ernst damit. Eine „Cyber-Sicherheitsstrategie für Deutschland" hat das Bundeskabinett beschlossen. Vorgelegt hat sie Bundesinnenminister Thomas de Maizière. Aufgeschreckt wurden die Zuständigen offenbar vom Stuxnet-Angriff auf Steuersysteme ausgewählter Maschinen in iranischen Kernanlagen. Schon auf der diesjährigen Sicherheitskonferenz in München waren die Gefahren eines Cyberkrieges ein großes Thema.
Was der Hauptstadtpresse in den Räumen der Deutschen Physikalischen Gesellschaft Berlin am Mittwochvormittag zu hören bekamen, war jedoch wenig konkret, zumal es neben dem öffentlichen Teil des Beschlusses auch noch einen geheimen Teil gibt, über den nichts bekannt wurde. Kurz zusammengefasst könnte man den Beschluss auch so kommentieren: „Wenn man nicht mehr weiter weiß, gründe einen Arbeitskreis."
Start am 1. April
Wie bei solchen Veranstaltungen üblich, wo es um das Thema Computersicherheit geht, stellte das Bundesamt für Sicherheit in der Informationstechnik (BSI) zunächst in einer längeren Präsentation die „Gefahren des Cyberraums" vor. Es ging um Viren, Alle möglichen Zahlen wurden genannt, die die Bedrohung illustrieren sollten und deren Wahrheitsgehalt nicht überprüfbar ist.
Foto: BSI
Fest steht: Es soll schon ab dem 1. April ein „Nationale Cyber-Abwehrzentrum" unter der Federführung des Bundesamtes für Sicherheit in der Informationstechnik (BSI) und mit Beteiligung des Bundesamtes für Verfassungsschutz (BfV) sowie des Bundesamtes für Bevölkerungsschutz und Katastrophenhilfe (BBK) aufgebaut werden. Hierfür stehen zehn feste Stellen zur Verfügung, teilte BSI-Präsident Michael Hange auf Nachfrage mit. Dabei handelt es sich um sechs Mitarbeiter des BSI, zwei Verfassungsschützer und zwei Mitarbeiter des Bundesamtes für Bevölkerungsschutz.
Wie hoch das Budget der neuen in Bonn-Mehlem angesiedelten Koordinationsstelle ist, sagte er trotz Nachfrage nicht. Mit am „Cybertisch" sollen Vertreter von Beteiligung von Bundeskriminalamt (BKA), Bundespolizei (BPol), Zollkriminalamt (ZKA), Bundesnachrichtendienst (BND) sowie der Bundeswehr und der „aufsichtsführenden Stellen über die Betreiber der Kritischen Infrastrukturen" sitzen.
Diese Zusammensetzung rief im Vorfeld Besorgnisse insbesondere bei der FDP hervor, weil es hierzu einer verbotenen Vermischung von Polizei und Nachrichtendiensten einerseits sowie von den Zuständigen für innere und äußere Sicherheit kommen könnte. Der Kommentar des Innenministers dazu: „Wir haben diese Bedenken ausgeräumt." Festgelegt worden sei im Beschluss ausdrücklich noch einmal, das es bei den bisherigen Zuständigkeiten bleibt.
Sind Schadprogramme eine Waffe?
Für die Bundesregierung scheinen die Grenzen bei der Beurteilung von Internetangriffen jedoch fließend zu sein. Sie umfassen sowohl Kriminalität, Spionage als auch Terror. „Die Frage ist, was eine Waffe ist", sagte der Innenminister dazu etwas kryptisch.
Ein „Nationaler Cyber-Sicherheitsrat" unter Leitung der IT-Beauftragten der Bundesregierung Cornelia Rogall-Grothe soll Schutzmaßnahmen und Netzpolitik koordinieren. Mit dabei sind Vertreter des Bundeskanzleramtes sowie die Ressorts Auswärtiges Amt, Inneres, Verteidigung, Wirtschaft, Justiz, Finanzen und Vertreter der Länder.
Eingeladen werden können auch weitere Ressorts und Vertreter der Wissenschaft, die Wirtschaft ist als assoziiertes Mitglied dabei. Falle einer „Cyberkrise" berichtet das „Cyber-Abwehrzentrum" direkt an einen vom Staatssekretär des Innenministeriums geleiteten Krisenstab.
Ab dem 29. März will das Bundeswirtschaftsministerium zusammen mit der Wirtschaft zudem noch eine „Taskforce IT-Sicherheit in der Wirtschaft" ins Leben rufen. Über deren Zusammensetzung will Bundeswirtschaftsminister Rainer Brüderle aber erst am 28. März informieren. Diese Gruppe soll vor allem kleine und mittelständische Firmen zum Thema IT-Sicherheit sensibilisieren.
Brüderle sagte: „Netzangriffe können erhebliche Auswirkungen auf unseren wirtschaftlichen Wohlstand und Technologievorsprung haben. Deshalb wollen wir unsere Wirtschaft und vor allem unseren Mittelstand vor Cyber-Angriffen stärker schützen. Wir werden mit der Wirtschaft gemeinsam intensiv daran arbeiten, noch bestehende Sicherheitslücken zu schließen."
Aufgabenverteilung der Behörden passt nicht mehr
Die neuen Gremien sieht die Bundesregierung als „eine kontinuierliche Weiterentwicklung der bisherigen IT-Sicherheitsaktivitäten" an. BSI-Präsident Hange sagte zur Begründung der neuen Strukturen: „Neue Angriffsmechanismen, wie sie bei Stuxnet zu beobachten waren, orientieren sich nicht an der klassischen Aufgabenteilung deutscher Behörden. Sie erfordern neue Formen der Zusammenarbeit und fest etablierte Kommunikationsstrukturen."
Als Reaktion auf die wachsende IT-Bedrohungslage hatte das Bundeskabinett im Sommer 2005 den „Nationalen Plan zum Schutz der Informationsinfrastrukturen" (NPSI) beschlossen. Im September 2007 wurden dazu zwei Umsetzungspläne beschlossen, der „Umsetzungsplan Bund" für den Schutz der Informationsinfrastrukturen in der Bundesverwaltung und der „Umsetzungsplan KRITIS" für IT-gestützte kritische Infrastrukturen außerhalb der öffentlichen Verwaltung.
Die Aufgaben des BSI: Das Bundeskabinett verabschiedete 2009 einen Gesetzentwurf zur „Stärkung der Informationssicherheit des Bundes". Damals erhielt das BSI mehr Geld, Personal und erweiterte Befugnisse. 365 Tage im Jahr ist das „nationale IT-Lage- und Analysezentrum" im BSI des CERT-Bund (Computer Emergency Response Team) besetzt. Die Bundeswehr baute eine „Abteilung Informations- und Computernetzwerkoperationen" in der Tomburg-Kaserne in Rheinbach nahe Bonn auf.
Auch die Wirtschaftsverbände Bitkom und BDI waren bei der Präsentation dabei. Dieter Kempf vom Präsidium des Bitkom und Stefan Mair, Mitglied der Geschäftsführung des BDI durften eine Art Grußwort sprechen. „Wir begrüßen sehr, dass sich die Bundesregierung dem Kampf gegen Cyberkriminalität so stark annimmt", sagte Kempf.
Wirtschaft begrüßt die Sicherheitsinitiative
Vorbildlich sei insbesondere die enge Zusammenarbeit der betroffenen Ministerien. „Infrastrukturen lassen sich nur in enger Zusammenarbeit zwischen Staat und Wirtschaft wirksam schützen", so Kempf weiter.
Auch Mair vom BDI äußerte sich positiv zu den Cyber-Neugründungen: „Die Sicherheit von ITK-Infrastrukturen betrifft alle Unternehmen gleichermaßen. Durch einen engeren Informationsaustausch zwischen Staat und Wirtschaft können Gefahren frühzeitiger erkannt und effizienter ausgeräumt werden", sagte er.
Quelle: CIO.de