„Innere und äußere Sicherheit fallen in wenigen Bereichen so eng zusammen wie im Cyberraum. Das erfordert eine ganzheitliche Betrachtung im Rahmen der Cybersicherheitspolitik“[1]
Trotz des stetigen technologischen Fortschritts in der nationalen IT- und Computersicherheit fordern zunehmend Hackerangriffe die verlässliche und lückenlose Gewährleistung der IT-Sicherheit von etwa Krankenhäusern, Regierungsbehörden oder der Bundeswehr im Cyber- und Informationsraum tagtäglich heraus. Einerseits profitieren Staat, Wirtschaft und Gesellschaft von einer verstärkt vernetzten und digitalisierten Welt, andererseits steigt gerade dadurch die Verwundbarkeit – die digitale Gesellschaft ist ein prädestiniertes Ziel für Cyber-Angriffe.
Eine Allianz für mehr IT-Sicherheit
Um Deutschland zukünftig (noch) stärker vor Cyberangriffen zu schützen, beschloss die Bundesregierung am 29.08.2018 die Gründung einer sogenannten Agentur für Innovation in der Cybersicherheit. Entsprechend der Meldung des Bundesministeriums des Inneren, für Bau und Heimat (kurz: BMI), sei Kernaufgabe dieser Agentur die Finanzierung und Förderung von ambitionierten Forschungs- und Entwicklungsvorhaben mit hohem Innovationspotenzial auf dem Gebiet der Cybersicherheit.[2] Konkret bezwecke die Förderung von Forschungsvorhaben im Bereich der Schlüsseltechnologien mit Bedeutung für die innere und äußere Sicherheit, Sicherheitstechnologien in Deutschland zu halten und zu fördern.[3]
Die neu gegründete Bundesbehörde, oft (insbesondere seitens der Medien) verkürzend Cyberagentur genannt, gehört als sogenannte Inhouse-Gesellschaft zu 100 Prozent der Bundesrepublik Deutschland und steht unter der gleichberechtigten Führung des Bundesministeriums der Verteidigung (BMVg) und des BMI.[4] Nachdem Cybersicherheit eine gesamtstaatliche Aufgabe sei, die eine Zusammenarbeit über politische Ressortgrenzen hinweg erfordere[5] , könne nach Ansicht beider Ministerien nur gemeinsam etwas bewegt werden.
Unmittelbar im Anschluss an die Kabinettssitzung vom 29.08.2018 stellten Bundesverteidigungsministerin Ursula von der Leyen und Bundesminister des Innern, für Bau und Heimat, Horst Seehofer, in einer ressortübergreifenden Präsentation erste Pläne und Details zur neuen Agentur vor, deren grundlegende Existenz bereits im Koalitionsvertrag von Union und SPD[6] festgeschrieben worden war. Gespräche zwischen dem BMI und dem BMVg hinsichtlich der Gründung einer Cyberagentur gab es bereits seit Januar 2018[7], allerdings verzögerte sich der finale Kabinettsbeschluss aufgrund von Auseinandersetzungen über, in früheren Vorlagen, unzureichend geklärte Details.
Im Ergebnis herrscht zumindest Einigkeit, dass mit der Cyberagentur der notwendigen Etablierung neuer Ansätze im Kampf gegen IT-Sicherheitslücken bestmöglich Rechnung getragen werden soll: „Angesichts des digitalen Innovationspotenzials kommt es […] für den Staat darauf an, auf Basis einer entsprechenden Risikoanalyse mögliche Entwicklungen und deren Bedeutung für Fragen der Cyber-Sicherheit frühzeitig zu erkennen sowie neue Lösungsansätze zu erforschen und in politische Konzepte einzubinden“.[8]
Wissenswertes zur Agentur für Innovation in der Cybersicherheit
Budget und Einsatzbereich: Im Zeitraum von 2019 bis 2022 sollen im Rahmen der Tätigkeit der ressortübergreifenden Cyberagentur insgesamt rund 200 Millionen Euro in die – nach eigener Aussage des BMI mitunter auch wagnisbehaftete[9] – Forschung und Entwicklung investiert werden. Pro Jahr sind letztlich zwischen 40 Millionen und 50 Millionen Euro eingeplant, starten würde das Projekt noch in diesem Jahr mit zunächst 15 Millionen Euro.[10] Zentral soll es dabei um die zielgerichtete Finanzierung neu aufkommender Technologien mit Potenzial für Sprunginnovationen in der Cybersicherheit gehen, wobei Ideenträgerinnen und Ideenträger, zeitlich befristet, mit hohem Mitteleinsatz, gefördert werden.[11] Ferner sollen ambitionierte Forschungs- und Innovationsvorhaben im Bereich der Cybersicherheit angestoßen werden. Hier sei es Aufgabe der Agentur, den gesamten Forschungsprozess von der Idee bis zum Produkt zu koordinieren[12], was deutliche Geschwindigkeitsvorteile gegenüber bisherigen Beschaffungsverfahren ermöglichen soll. Ziel sei jedenfalls, 80 Prozent der finanziell verfügbaren Mittel direkt für solche Forschungs- und Innovationsaufgaben einzusetzen.[13]
Mitarbeiteranzahl und Behördensitz: Aktuell befindet sich die Agentur noch im Aufbau, nach Information des BMVg ist jedoch geplant, die Cyberagentur noch dieses Jahr mit bis zu 14 Mitarbeiterinnen und Mitarbeitern auszustatten.[14] Letztendlich soll sie bis zu 100 Mitarbeiterinnen und Mitarbeiter umfassen.[15] Offen ist bislang, wo die neue Bundesbehörde ihren Sitz haben wird.
Konzeption: Vorbild des deutschen Projekts ist eine Behörde des US-Verteidigungsministeriums, die Defense Advanced Research Projects Agency (kurz: DARPA).[16] Diese ist unter anderem der „Geburtsort“ von Innovationen wie dem Internet, dem Satellitennavigationssystem GPS sowie diverser Spracherkennungssysteme. Aufgrund ihrer Aufgabenstellung ist die neue Cyberagentur als Ergänzung zum „Cyber Innovation Hub (CIH)“ des BMVg oder der „Zentralen Stelle für Informationstechnik im Sicherheitsbereich (ZITiS)“ des BMI zu sehen.[17] Beachtlich ist, dass sie nicht selbst operativ tätig werden wird, sondern lediglich möglichst unbürokratisch Wagniskapital für Grundlagenforschungs-Projekte mit besonderem Entwicklungspotential zur Verfügung stellen soll.[18] Konzeptionell ist die Cyberagentur, wie bereits erwähnt, eine Inhouse-Gesellschaft, mithin eine GmbH (Gesellschaft mit beschränkter Haftung) in Verantwortung von BMI und BMVg.
Geplante Vorhaben: Beispielhaft für innovative IT-Sicherheitslösungen ist etwa die Etablierung von Systemen auf Basis quantenmechanischer Zustände. Mit den Mitteln der Cyberagentur könnten hier Fragen, Risiken und Unklarheiten geklärt werden. So ließe sich womöglich beantworten, welche Chancen und Risiken ein Übergang vom Digitalrechner zum wesentlich leistungsfähigeren Quantencomputer mit sich bringen würde und welche Auswirkungen das auf heutige Verschlüsselungsverfahren hätte.[19] Ein weiteres Vorhaben ist die Entwicklung einer Software, die gewährleisten soll, dass E-Mails mitsamt den darin enthaltenen Daten bei ihrem Weg durch das Internet in europäischen Netzwerken bleiben.[20] Ein rein europäisches Datennetz würde es etwa den Geheimdiensten nichteuropäischer Länder erschweren, auf in diesem Netz kursierende Daten zuzugreifen.[21] Beide Thematiken wurden seitens des BMVg bislang nicht näher konkretisiert.
Einkalkulierte Fehlschläge – Statements und Kritik zur Cyberagentur
Schon bei der Vorstellung der Agentur äußerte Seehofer, dass „mit der Einrichtung der Agentur […] Deutschland bei der Cybersicherheit im internationalen Vergleich die Führung, [zumindest aber] eine Spitzenposition übernehmen [wird]“.[22] Insbesondere dürfe die Bundesregierung nicht zusehen, wenn der Einsatz sensibler Informationstechnik mit hoher Sicherheitsrelevanz in Deutschland von Drittstaaten kontrolliert werde.[23] Dem müsse durch das Begehen neuer Wege entgegengewirkt werden.[24]
Verteidigungsministerin Ursula von der Leyen machte zudem deutlich, mittels der neuen Behörde den Vorteil nutzen zu wollen, dass Deutschland bereits über eine exzellente Grundlagenforschung verfüge.[25] Nachdem der Staat in der digitalen Welt eine Schutzfunktion wahrnehme und daher die Pflicht zur Übernahme von Eigenverantwortung habe[26], müsse Deutschland schneller agieren als Angreifer und Täter.[27]
Im Ergebnis bezwecken sowohl Seehofer als auch von der Leyen, zukunftweisende Technologien schneller zu entdecken, einzuführen und weiterzuentwickeln. Zur Diskussion[28] stehen gegenwärtig insbesondere sogenannte „Hackbacks“, das heißt Gegenangriffe auf Eindringlinge im Datennetz. Diesbezüglich plädierte Seehofer explizit für ein offensives Vorgehen. National fehle es derzeit allerdings (noch) an einer Rechtsgrundlage hierfür. Darüber hinaus ist auch schon die Frage nach der Zuständigkeit für solche Hackbacks mit zahlreichen Problemen verbunden und bisher völlig ungeklärt.[29] Daher sprach sich der Bundesminister entschieden dafür aus, den im Rahmen der Verhältnismäßigkeit politischen und rechtlichen Rahmen für ein abgestuftes Vorgehen zu schaffen, sodass in einer besonderen Situation auf einer klaren Grundlage für den zivilen Bereich auch dieser Gegenangriff ermöglicht werden könne.[30]
Soweit die Cyberagentur, wie geplant, keiner operativen Tätigkeit nachgehen wird, so könnte sie zumindest durch Projektförderung die Entwicklung solcher Technologien unterstützen, welche später zur Abwehr von Cyberangriffen zum Einsatz gebracht würden.
Kritisch hierzu äußerte sich hingegen die Linkspartei. „Die Cyberagentur markiert eine neue Dimension der Kriegsführung im digitalen Raum“, so der verteidigungspolitische Sprecher der Linksfraktion im Bundestag, Tobias Pflüger.[31] Seiner Ansicht nach, sei es zwar notwendig, sich vor Cyberangriffen technisch zu schützen, bei der neuen Agentur gehe es aber offensichtlich nicht nur um Abwehr, sondern auch darum, selbst offensive Aktionen unterstützen zu können.[32] Ihre Bedenken gegen Cyberwaffen tat auch die SPD kund. So forderte die Digitalexpertin und Bundestagsabgeordnete der Partei, Saskia Esken, eine defensive Ausrichtung der Agentur.[33] Nach Auffassung des netzpolitischen Sprechers der Grünen, Konstantin von Notz, würde die Agentur, „[…] auf jeden Fall die Arbeit des Auswärtigen Amtes konterkarieren“[34]. „Das Auswärtige Amt setzt sich auf UN-Ebene gerade für die Ächtung von Cyberwaffen ein, mit sehr guten Argumenten.“[35] Hier sei die neu geplante Agentur völlig kontraproduktiv. Des Weiteren kritisierte Notz die Militarisierung des digitalen Raumes.[36]
Für weiteren Unmut sorgten seitens beider Minister getätigte Äußerungen, wonach sie schon jetzt damit rechneten, dass Steuergelder für Projekte ausgegeben werden, deren Erfolg nicht garantiert werden könne. Konkret betonten Seehofer als auch von der Leyen, dass zwar ein Teil der Forschungsvorhaben scheitern, andere allerdings gerade den technologischen Vorsprung schaffen sollten, der dringend gebraucht werde.[37] Insgesamt müsse mehr Risiko und mehr Mut eingebracht werden, denn „es ist kein Scheitern dieser Gesellschaft, wenn einmal drei Forschungsprojekte in der konkreten Umsetzung zu keinem Ziel führen“[38]. Ohne Wagnis sei auch kein außerordentliches Ergebnis zu erreichen.[39] Obgleich Politiker in Deutschland in der Regel nicht für die Fehlkalkulation bei der Ausgabe von Steuergeldern zur Verantwortung gezogen werden können, ist es doch eine Seltenheit, bereits im Vorfeld so offen mit einem möglichen Scheitern von Projekten umzugehen.
Ausblick
Mit Blick auf den, seit dem 11.09.2001 geltenden, Artikel 5 des Nato-Vertrages ist davon auszugehen, dass die neue Cyberagentur ihre Erkenntnisse mit den US-Behörden teilen wird. Der hier entscheidende Passus des Nordatlantikvertrages regelt den Bündnisfall im Falle des Angriffs auf eines der Mitgliedsländer. Hieraus ergibt sich unter anderem, dass Deutschland sich an der Seite der Bündnis-Partner im Krieg gegen den Terror befindet.[40]
Mutmaßlich wird sich auch weiterhin – nicht zuletzt aufgrund neuer, durch die Cyberagentur generierter Möglichkeiten – das Thema des „digitalen Wettrüstens“ als problematisch erweisen, das bereits in der Vergangenheit Gegenstand zahlreicher Diskussionen war. Primär geht es dabei um die Frage, wann eine Armee auch digital zum Angriff übergehen darf. Gegner führen hier beispielsweise an, dass kritische Infrastrukturen als Kollateralschaden zerstört werden könnten, überdies bestünde die Gefahr der Ingangsetzung einer Rüstungsspirale.[41] Diese Ansicht vertritt auch von Notz, weshalb er die Bundesregierung ausdrücklich zur frühen Klärung grundlegender Fragen aufforderte. „Denn ein cyberpolitisches Wettrüsten mit Staaten wie China, Nordkorea oder Russland kann man als Rechtsstaat nur verlieren. Das muss auch die Bundesregierung erkennen und auf die konsequente Härtung der Infrastruktur setzen“.[42]
Es bleibt abzuwarten, welche weitreichenden technologischen Neuerungen mit der Cyberagentur in den kommenden Jahren tatsächlich nachhaltig realisierbar sein werden und welche weiteren Wege die Agentur zukünftig beschreiten wird.
Weiterführender Hinweis: Näheres zum Themenbereich der IT-Sicherheit finden Sie im BayWiKi.
[1] BMI, Weißbuch 2016, S. 38, zuletzt abgerufen am: 03.09.2018.
[2] Agentur für Innovation in der Cybersicherheit, Meldung des BMI v. 29.08.2018, Agentur für Innovation in der Cybersicherheit, zuletzt abgerufen am: 03.09.2018.
[3] Vgl. Fn. 2.
[4] Vgl. Fn. 2.
[5] BMV, Themenseite Cybersicherheit, zuletzt abgerufen am: 03.09.2018
[6] Koalitionsvertrag zwischen CDU, CSU und SPD, Ein neuer Aufbruch für Europa, Eine neue Dynamik für Deutschland, Ein neuer Zusammenhalt für unser Land, 19. Legislaturperiode, vgl. insbesondere Rn. 592, 5868 ff., 6003 ff. und 7544 ff., zuletzt abgerufen am: 03.09.2018.
[7] Manthey/Fleischer Bundeskabinett beschließt Cyberagentur, 29.08.2018, zuletzt abgerufen am: 03.09.2018, vgl. ebd. die Audio-Datei mit Statements der Verteidigungsministerin und des Innenministers zur Gründung der Agentur für Innovationen in der Cybersicherheit.
[8] Vgl. Fn. 7.
[9] Vgl. Fn. 2.
[10] Vgl. Fn. 7.
[11] Vgl. Fn. 2.
[12] Vgl. Fn. 7.
[13] Vgl. Fn. 7.
[14] Vgl. Fn. 7.
[15] Vgl. Fn. 7.
[16] Tagesschau.de v. 29.08.2018, Beschluss des Kabinetts – Agentur für Cybersicherheit kommt, zuletzt abgerufen am: 03.09.2018.
[17] Vgl. Fn. 2.
[18] Deutsche Wirtschaftsnachrichten v. 29.08.2018, Bundesregierung gründet Agentur und rechnet mit teilweisem Scheitern, zuletzt abgerufen am: 03.09.2018.
[19] Vgl. Fn. 7.
[20] Vgl. Fn. 16.
[21] Vgl. hierzu etwa im Rahmen der Diskussion um jüngere NSA-Überwachung: ntv v. 10. November 2013, Deutsches Internet als NSA-Abwehr – Telekom schmiedet Pläne, zuletzt abgerufen am 21.09.2018.
[22] Vgl. Fn. 2.
[23] Vgl. Fn. 2.
[24] Vgl. Fn. 16.
[25] Vgl. Fn. 16.
[26] Vgl. Fn. 7.
[27] Vgl. Fn. 16.
[28] Vgl. hierzu etwa die Kleine Anfrage bzgl. der Aktivitäten der Bundeswehr im digitalen Raum und gesetzgeberische Maßnahmen der Bundesregierung, BT-Drs. 19/2614, zuletzt abgerufen am 14.09.2018.
[29] Vgl. hierzu Herpig, Zurückhacken ist keine Lösung, Zeit Onlinev. 21.04.2017, Seite 2, zuletzt abgerufen am 21.09.2018.
[30] Beschluss der Bundesregierung, Neue Cyber-Agentur soll IT-Sicherheit stärken, Spiegel-Online v. 29.08.2018, zuletzt abgerufen am: 03.09.2018.
[31] Vgl. Fn. 18.
[32] Vgl. Fn. 18.
[33] von Mallinckrodt/Prössl, Cyberagentur soll Deutschland im Netz schützen, Tagesschau.de v. 29.08.2018, zuletzt abgerufen am: 03.09.2018.
[34] Vgl. Fn. 30.
[35] Vgl. Fn. 30.
[36] Vgl. Fn. 30.
[37] Vgl. Fn. 18.
[38] Vgl. Fn. 18.
[39] Vgl. Fn. 27.
[40] Wortlaut des Nato-Vertrags, Artikel 5: „Die Parteien vereinbaren, dass ein bewaffneter Angriff gegen eine oder mehrere von ihnen in Europa oder Nordamerika als ein Angriff gegen sie alle angesehen wird; sie vereinbaren daher, dass im Falle eines solchen bewaffneten Angriffs jede von ihnen in Ausübung des in Artikel 51 der Satzung der Vereinten Nationen anerkannten Rechts der individuellen oder kollektiven Selbstverteidigung der Partei oder den Parteien, die angegriffen werden, Beistand leistet, indem jede von ihnen unverzüglich für sich und im Zusammenwirken mit den anderen Parteien die Maßnahmen, einschließlich der Anwendung von Waffengewalt, trifft, die sie für erforderlich erachtet, um die Sicherheit des nordatlantischen Gebiets wiederherzustellen und zu erhalten. Von jedem bewaffneten Angriff und allen daraufhin getroffenen Gegenmaßnahmen ist unverzüglich dem Sicherheitsrat Mitteilung zu machen. Die Maßnahmen sind einzustellen, sobald der Sicherheitsrat diejenigen Schritte unternommen hat, die notwendig sind, um den internationalen Frieden und die internationale Sicherheit wiederherzustellen und zu erhalten.“
[41] Vgl. Fn. 30.
[42] Vgl. Fn. 30.