Die Omnipräsenz informationstechnischer Systeme in Verwaltung, „kritischer Infrastruktur“ (Strom-, Telefon-, Wassernetze etc.) und in Industrie und Handel macht alle diese Lebensbereiche angreifbar für eine ganze Reihe von AkteurInnen, die Schaden zufügen oder Daten stehlen wollen. Zahlreiche Einrichtungen mit je eigenen Interessen befassen sich in der Bundesrepublik mit der Abwehr digitaler Bedrohungen.
Für die Polizei ist vor allem „Cybercrime“ ein Feld, in dem es um die klassischen Aufgaben geht – um Gefahrenabwehr, vor allem aber um Strafverfolgung. Wie immer bei „Cyber“, ist der Begriff allerdings nicht ganz eindeutig zu fassen – meistens ist die Nutzung informationstechnischer Systeme zur Begehung von Straftaten gemeint, häufig aber auch ihre Nutzung zur Abwicklung strafwürdiger Geschäfte. Zentral ist dafür im Bundeskriminalamt (BKA) seit November 2012 in der Abteilung Schwere und Organisierte Kriminalität die Untergruppe „Cybercrime“ zuständig, die von einem neuen Fachbereich „Forschungs- und Beratungsstelle Cybercrime“ im Kriminalistischen Institut des BKA unterstützt wird. Um auch auf aktuelle Lagen reagieren zu können, wurde im BKA 2016 eine „Quick Reaction Force“ (QRF) eingerichtet.[1] Mit dem Aufbau hatte der frühere BKA-Präsident Jörg Ziercke bereits 2013 begonnen. Sie solle bei Cybercrime-Fällen schnell „mit Unterstützung der Wirtschaft Beweise sichern“, gab die „Welt“ damals den Präsidenten wieder.[2] Der hatte sich dort auch den Aufbau eines „Cyberlabs“ mit 100 ExpertInnen gewünscht, in dem Schadsoftware analysiert und Verschlüsselungen geknackt werden sollten. Dazu ist es nie gekommen; allerdings wurde mit dem „Kompetenzzentrum informationstechnische Überwachung“ (CC-ITÜ) der Abteilung Operative Einsatz- und Ermittlungsunterstützung eine Einheit zum offensiven polizeilichen Einsatz von Schadsoftware geschaffen: Zentrales Projekt war und ist die Entwicklung einer Software für die Quellen-Telekommunikationsüberwachung (TKÜ), der berühmt-berüchtigte Bundestrojaner, der schließlich 2016 fertig gestellt wurde.[3] Das CC-ITÜ übernimmt auch das Monitoring des Einsatzes und die Auswertung der gewonnenen Daten. Vermeintliche Notwendigkeiten aus der Bekämpfung der im oder über das Internet begangenen Straftaten lieferten die Begründung für die Entwicklung eigener „hacking“-Methoden, die im gesamten Feld der Kriminalitätsbekämpfung zur Anwendung kommen.
Geheimdienstliche Strukturen
Auch das Bundesamt für Verfassungsschutz (BfV) erhält derzeit eine „Quick Reaction Force“, um im Notfall ausrücken zu können. Betroffene Einrichtungen sollen bei der Analyse von Angriffen unterstützt werden. Was die QRF des BfV dabei mehr oder anderes können soll als das eigentlich zuständige Bundesamt für Sicherheit in der Informationstechnik (BSI) oder spezialisierte IT-Sicherheitsfirmen, ist offen (s.a. das Interview mit Petra Pau in dieser Ausgabe). Beobachtung und Auswertung von Cyber-Angriffen wird bereits in der Abteilung für Spionageabwehr und den Geheim- und Sabotageschutz durchgeführt, auch in den Fachabteilungen werden anlassbezogen „Cyber-Angriffe“ aus dem jeweiligen Phänomenbereich ausgewertet.
Zentraler Anknüpfungspunkt für BfV-Präsident Hans-Georg Maaßen, seine Behörde zur ersten Garde der „Cyber-Sicherheit“ machen zu wollen, ist dabei nicht der Schutz von Verfassungsorganen, sondern der Wirtschaftsschutz. Die Tätigkeit des BfV in diesem Bereich erschöpft sich bislang darin, Firmen bei der Abwehr von Betriebs- und Wirtschaftsspionage zu beraten, Beschäftigte in sicherheitssensiblen Bereichen zu sensibilisieren sowie Sicherheitsüberprüfungen durchzuführen.[4] Für IT-Sicherheit ist hier aber eher das Bundesamt für Sicherheit in der Informationstechnik (BSI) zuständig. Und auch die Polizeien von Bund und Ländern warten mit einer „Zentralen Ansprechstelle Cybercrime für die Wirtschaft“ auf, die Informationen zur Vermeidung und Strafverfolgung unzulässiger Zugriffe auf IT-Systeme bietet. Dem BfV geht es jedoch nicht nur um Beratung gegen (Wirtschafts-)Spionage und Cyber-Angriffe, sondern in erster Linie um die Entwicklung eigener offensiver Fähigkeiten: massenhafte Auswertung von Meta-Daten der Kommunikation über soziale Medien („Digitale Rasterfahndung“), Anwendung von Quellen-TKÜ und Online-Durchsuchung, „hack-back“ durch Übernahme „feindlicher“ Server im Ausland.[5]
Der Bundesnachrichtendienst (BND) hat 2013 eine neue Abteilung zur Abwehr digitaler Attacken auf deutsche Stellen gegründet, die zunächst 130 MitarbeiterInnen erhalten sollte.[6] Was aus dieser Abteilung angesichts der großen Konkurrenz um die entsprechenden Fachkräfte durch eine Vielzahl von Behörden und (deutlich besser zahlenden) Unternehmen mit entsprechendem Bedarf geworden ist, ist nicht bekannt. Die zu gründende Abteilung ist Teil der 2014 beschlossenen „Strategischen Initiative Technik“: Bis 2020 sollen 300 Millionen Euro in die Fähigkeit des BND zur „technischen Aufklärung“ von Datenströmen, also das Abschnorcheln von Glasfaserkabeln weltweit (SSCD, Sigint Support to Cyber Defense), investiert werden. Glasfasern und Knotenpunkte sollen u.a. nach Schadsoftware, möglichen AngreiferInnen und Angriffswegen durchsucht werden.[7] Um die so gewonnenen Massen von teils verschlüsselten Daten überhaupt auswerten zu können, wurde mit PANOS ein weiteres Projekt mit einem Umfang von insgesamt 185 Millionen Euro aufgelegt.[8]
Militärische Strukturen
Bundesverteidigungsministerin Ursula von der Leyen richtete am 1. Oktober 2016 das Kommando Cyber- und Informationsraum (CIR) als sechsten militärischen Organisationsbereich der Bundeswehr ein. Er soll von zunächst 260 Dienstposten auf 14.500 im Jahre 2021 anwachsen. Laut der Cyber-Sicherheitsstrategie der Bundesregierung von 2016 sollen zu seinen Zuständigkeiten auch die Durchführung von „Netzwerk-operationen“ gehören – sprich der gezielte Angriff auf gegnerische IT-Strukturen. In den Worten des Beauftragten für Strategische Rüstung im Bundesverteidigungsministerium Gundbert Scherf: „Verteidigung, Abschreckung, Vorbereitung.“[9] Die Fähigkeit zur Durchführung von „Netzwerkoperationen“ entwickelt die Bundeswehr allerdings schon seit mindestens acht Jahren. 2009 entstand eine „Abteilung Informations- und Computernetzwerkoperationen“ mit 76 Dienststellen im Kommando Strategische Aufklärung.[10] Ihre erste und zugleich einzige bekannte Operation war ein Hack im afghanischen Mobilfunknetz im September 2016, bei dem es um eine entführte Deutsche ging.[11] Ansonsten dürfte das neue Cyber-Kommando alle Hände voll zu tun haben, die IT der Bundeswehr selbst vor alltäglichen Angriffen zu schützen. 2016 zählte das Bundesverteidigungsministerium 47 Mio. unberechtigte oder schadhafte Zugriffsversuche; davon seien neun Millionen nicht durch herkömmliche Virenschutz- und Firewall-Systeme abwehrbar gewesen. Ein geringer Teil der Angriffe betraf IT-Infrastruktur bei Auslandseinsätzen.[12]
Bei der Abwehr solcher digitalen Angriffe wird die Bundeswehr von einer eigenen Ausgründung unterstützt, der BWI Informationstechnik GmbH (BWI IT). Sie betreibt im Inland einen Großteil der IT der Bundeswehr und verfügt über ein eigenes Computer Emergency Response Team (CERT), welches das der Bundeswehr (CERTBw) bei IT-Sicherheitsvorkommen unterstützen kann. CERTBw wird außerdem von Symantec und Microsoft unterstützt. So kann die Bundeswehr außerhalb der engen Vorgaben der Bundesbesoldungsordnung als konkurrenzfähiger Arbeitgeber auftreten.
Entwickelt werden sollen die Fähigkeiten der Bundeswehr in einem Forschungszentrum an der Bundeswehr-Universität in München. Elf Professuren für IT- und Cyberthemen sollen hier die Expertise sicherstellen, die die Bundeswehr für Abwehr und Angriff im „Cyber-Raum“ benötigt.[13]
Zivile Strukturen
Zentrale zivile Behörde für die Sicherheit der IT in Deutschland ist das Bundesamt für Sicherheit in der Informationstechnik (BSI), das seinen Ursprung in der Zentralstelle für Chiffrierwesen des BND hat und 1991 ausgegründet wurde. Seine Aufgabe bestand zunächst im Schutz der wachsenden EDV-Strukturen der Bundesbehörden, später kamen Aufgaben mit Bezug zum Schutz der IT von Unternehmen in Deutschland hinzu. Hierbei wird bis heute ein „kooperativer Ansatz“ verfolgt: Das BSI entwickelt Schutzstandards, Prüfaudits und Zertifikate für Produkte, die diese Standards erfüllen, gemeinsam mit den betroffenen Branchen. Auch die Zertifizierung erfolgt durch Unternehmen der IT-Branche. Nur gegen großen Widerstand der Branchen, die „kritische Infrastrukturen“ (KRITIS) betreiben, wurde mit der Reform des IT-Sicherheitsgesetzes 2015 eine Meldepflicht für „erhebliche Sicherheitsvorfälle“ eingeführt. Aus diesen Meldungen und eigenen Erkenntnissen (auch solchen der anderen Sicherheitsorgane) erstellt das IT-Lage- und Analysezentrum des BSI wiederum Sicherheitswarnungen. Parallel zur Gründung dieses Zentrums wurde 2001 das Computer Emergency Response Team-Bund (CERT-Bund) eingerichtet, das Behörden bei akuten IT-Vorfällen unterstützen soll. In dringlichen Fällen steht seit diesem Jahr das Mobile Incident Response Team (MIRT) des BSI zur Verfügung, das parallel zu den QRF von BKA und BfV eingerichtet wurde. Gerade hier wollte das BSI seine Kooperation mit der Wirtschaft stärken und Personal für das MIRT gewinnen, indem es die Gründung einer „Cyber-Wehr“ anregte, für die große Unternehmen eigenes Personal abstellen sollten.[14]
Gemeinsame Zentren
Das 2011 in Bonn gegründete und beim BSI angesiedelte „Cyber-Abwehrzentrum“ (Cyber-AZ) soll die Ressourcen und Kenntnisse aller Behörden zusammenbringen, die mit Fragen der Sicherheit vor digitalen Angriffen auf IT-Infrastrukturen zu tun haben. Federführend agieren dabei BSI, BfV und das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK). Weitere Behörden wie das BKA, der BND, die Bundeswehr, das Zollkriminalamt etc. sitzen bei Bedarf mit am Tisch. 2014 hatte der Bundesrechnungshof die Einrichtung geprüft und dabei eklatante Mängel festgestellt: Es sei nicht geeignet, wie vorgesehen die behördlichen Kompetenzen zu bündeln, selbst als Informationsplattform finde die Einrichtung „nur geringe Akzeptanz“.[15] Bei insgesamt nur zehn MitarbeiterInnen (6 BSI, 2 BfV, 2 BBK)[16] vermag diese Einschätzung nicht zu verwundern. Erst zwei Jahre später, mit der Cyber-Sicherheitsstrategie 2016, legte die Bundesregierung zumindest erste Planungen vor, wie das Zentrum weiterzuentwickeln sei: Es sollen eigene Bewertungs- und Auswertungsfähigkeiten geschaffen, ein eigenes Cyber-Lagebild erstellt werden und das Cyber-AZ bei einem IT-Sicherheitsvorfall mit Auswirkungen auf Behörden bundesweit zum Krisenreaktionszentrum „aufwachsen“. Im Cyber-AZ tauschen auch die Dienste ihre Erkenntnisse zu „Cyber-Attacken“ aus.
Außerhalb des Cyber-AZ existieren zwei Verbünde von Computer Emergency Response Teams (CERT): der Deutsche CERT-Verbund, dem Ende 2016 neun CERT aus der Verwaltung, 30 aus der Wirtschaft und zwei aus der Forschung angehörten. Die Verwaltungs-CERT haben seit 2013 mit dem „VerwaltungsCERT-Verbund“ (VCV) noch einen eigenen Zusammenschluss, in dem die CERT der Länderverwaltungen zusammengeschlossen sind, Schwachstelleninformationen austauschen, gemeinsam technische Analysen vornehmen und Sicherheitsmaßnahmen abstimmen.
Im weitesten Sinne ebenfalls mit „Cyber-Abwehr“ befasst sind darüber hinaus das „Gemeinsame Internetzentrum“ (GIZ) von BKA, BfV, BND, Generalbundesanwalt (GBA) und Militärischem Abschirmdienst (MAD). Im Mittelpunkt stehen hier zwar Erkenntnisse zu islamistischen Internetaktivitäten, aber anlassbezogen auch digitale Angriffe aus diesem Spektrum. Ähnlich sieht es in der „Koordinierten Internetauswertung“ (KIA) aus, bei der unter Federführung des BfV gemeinsam mit BKA und MAD im Bereich Rechtsextremismus, mit dem BKA im Bereich Linksextremismus „Internetmonitoring“ betrieben wird – auch dabei fallen angeblich Erkenntnisse zu digitalen Angriffen an.
Um die strategische Entwicklung voranzutreiben, besteht der Nationale Cyber-Sicherheitsrat als gemeinsames Gremium zahlreicher Bundesministerien, der Länder und von WirtschaftsvertreterInnen. Hier sollen weitere Felder der Kooperation von Staat und Wirtschaft erschlossen, die föderale Cyber-Sicherheitsarchitektur debattiert und der Austausch mit vergleichbaren internationalen Gremien gesucht werden. Zum Verwechseln ähnlich heißt der „Cyber-Sicherheitsrat e.V.“, zu dessen Mitgliedschaft etwa 70 Unternehmen im Wesentlichen der IT-Sicherheitswirtschaft gehören. Arne Schönbohm, seit 2015 Präsident des BSI, war zuvor Vorsitzender dieses Vereins.[17]
Die Wirtschaft ist noch weit von der Errichtung gemeinsamer Strukturen entfernt. Immerhin existiert mit der „Allianz für Cyber-Sicherheit“, an der etwa 2.000 Unternehmen und Einrichtungen teilnehmen, eine Struktur, mit der das BSI in Kooperation mit dem Branchenverband Bitkom seit 2012 versucht, entsprechende Kooperationen in der Wirtschaft anzustoßen. Auch hier werden eigene Lagebilder entwickelt und Expertenwissen ausgetauscht. Diese Kooperation erweitert den Kreis der 2007 gegründeten „UP KRITIS“, die im Bereich der Kritischen Infrastrukturen eine institutionalisierte Form der Zusammenarbeit sicherstellt. Hier werden auch die nach dem IT-Sicherheitsgesetz zu erarbeitende „BSI-Kritisverordnung“ sowie branchenspezifische IT-Sicherheitsstandards und -zertifikate entwickelt.
ZiTIS, Biberg
Für einiges Aufsehen sorgte in diesem Jahr zu Recht die Einrichtung der „Zentralen Stelle für Informationstechnik im Sicherheitsbereich“. Sie wurde am 14. September 2017 in der Zarndorfer Str. in München offiziell eröffnet, ihr Leiter ist der ehemalige Abteilungsleiter Technische Aufklärung im BND, Wilfried Karl.[18] Zunächst sind die MitarbeiterInnen allerdings woanders untergekommen – in der etwa sieben Kilometer entfernt liegenden Bundeswehr-Universität. Dort soll die Stelle Berichten zufolge nach fünf Jahren auch wieder hinziehen. Denn sollte der Aufwuchs von zunächst 120 auf insgesamt 400 MitarbeiterInnen bis 2020 funktionieren, ist an der Zarndorfer Str. nicht genug Platz. Inhaltlich ist ZiTIS nach Angaben des Bundesinnenministeriums mit Forschungsaufgaben betraut. Die Forschungsergebnisse sollen je nach Befugnissen von allen Sicherheitsorganen genutzt werden können. Während im öffentlichen Fokus die Entwicklung von Schadprogrammen zur Telekommunikationsüberwachung steht, geht es dabei durchaus auch um andere Fähigkeiten für den polizeilichen Bereich: Bei digitaler Forensik, Dekryptierung und Massendatenauswertung geht es (zumindest auch) um die technischen Fähigkeiten für strafrechtliche Ermittlungen (etwa die Analyse großer, kryptierter Massenspeicher in OK-Verfahren). Auch das Aufgabengebiet „technische Fragen von Kriminalitätsbekämpfung, Gefahrenabwehr und Spionageabwehr“ lässt es zumindest vorstellbar erscheinen, es gehe dabei um Polizeiarbeit. Doch wenn dem so wäre, bräuchte es keine solche Zentralstelle, sondern mehr Personal in den zuständigen Abteilungen des BKA. Auch das unterstreicht den politischen Willen der Bundesregierung, eigene „offensive“ Fähigkeiten im zukünftigen „cyberwar“ gegen staatliche bzw. staatsnahe („hybride“) Akteure entwickeln zu wollen.
Europa im digitalen Raum
Wie in der Bundesrepublik, ist auch in der EU digitale Sicherheit ein zentrales Thema. In ihrer Mitteilung „Abwehrfähigkeit, Abschreckung und Abwehr: die Cybersicherheit in der EU wirksam erhöhen“ skizziert die EU-Kommission, wie sie sich das vorstellt.[19] Wie in Deutschland soll auf Marktregulierung weitgehend verzichtet werden. „Cyberkriminelle“ sollen über wirksamere Strafverfolgung und Mittel zur „Enttarnung, Rückverfolgbarkeit und Verfolgung“ abgeschreckt werden.
Institutionell ist dieser Ansatz im „Europäischen Zentrum zur Bekämpfung der Cyberkriminalität“ (European Cybercrime Centre, EC3) bei Europol angesiedelt. Seine Errichtung wurde am 11. Januar 2013 mit der Kommissionsmitteilung „EU-Strategie der inneren Sicherheit“ 2010[20] angekündigt. Das EC3 ging aus dem schon 2002 bei Europol betriebenen „High Tech Crime Centre“ hervor und hat wie dieses Aufgaben der Koordination und Unterstützung von strafrechtlichen Ermittlungen, „strategischen Analysen“ zur Bedrohungslage im „Cyberspace“ und der Fortbildung der nationalen Strafverfolgungsbehörden. Als größten Erfolg verbuchte das EC3 die u.a. vom BKA mitgetragene Operation Onymous, bei der mehrere Handelsplattformen des „Darknet“ stillgelegt wurden.[21]
Bereits 2012 entstand zum Schutz der Organe und Einrichtungen der EU ein „CERT-EU“. Es arbeitet mit (so sie bestehen) nationalen CERT-Netzwerken und Europol zusammen.
Dritte wesentliche Einrichtung ist die „Europäische Agentur für Netz- und Informationssicherheit“ (ENISA), errichtet 2004.[22] Sie ist mit dem deutschen BSI vergleichbar: Sie soll Behörden und Einrichtungen in der EU fachkundige Ratschläge zur Erhöhung der IT-Sicherheit geben, die Umsetzung der EU-Richtlinie zur Netzwerk- und Informationssicherheit (NIS-Richtlinie)[23] unterstützen, einen Raum für den Austausch über „best practice“ geben und Kontakte zwischen EU-Institutionen, nationalen Einrichtungen und Unternehmen erleichtern. Hierzu führt sie regelmäßig sogenannte Cyber-Übungen durch, zuletzt 2016 mit über 1.000 TeilnehmerInnen aus Institutionen und Unternehmen.
Die Geheimdienste arbeiten zum Thema digitale Sicherheit in der „Middle European Conference“ und dem „Berner Club“ zusammen, letzterer betreibt seit einigen Jahren eine Arbeitsgruppe „Electronic Attacks“.
Cyberabwehr oder Cybersicherheit?
Bemerkenswert ist, dass die EU-Kommission in ihrer Mitteilung explizit darauf hinweist, dass „die Grenzen zwischen Cyberabwehr und Cybersicherheit verwischen, Cyberinstrumente und -technologien einen doppelten Verwendungszweck aufweisen“.[24] „Cyberabwehr“ meint hier die (insbesondere militärische betriebene) Abwehr von digitalen Angriffen, was in militärischer Logik nicht Abwehr, sondern Gegenangriff und Vergeltung bedeutet. Sie ist mittlerweile integraler Bestandteil der „Gemeinsamen Sicherheits- und Verteidigungspolitik“ der EU.[25] Die Logik, durch eine Ausleuchtung des „Cyberraums“ frühzeitig Bedrohungen für die digitale Sicherheit erkennen und eindämmen zu können, bestimmt auch die Ausrichtung von Polizei und Geheimdiensten, die zugleich selbst die Fähigkeit zum Hacken erwerben wollen – der „doppelte Verwendungszweck“.
„Cybersicherheit“ kann als Begriff für die (passive) Sicherung von informationstechnischen Infrastrukturen gegen Fehlfunktionen und Angriffe verstanden werden. Dass die Grenze zur „Cyberabwehr“ verwischt, wie die Kommission behauptet, ist allerdings keineswegs in der Sache selbst begründet und gleichsam naturwüchsig. Es ist eine wirksame Erzählung von GeheimdienstlerInnen wie dem BfV-Präsidenten Maaßen, von Militärs und nicht zuletzt IT-Sicherheitsunternehmen, dass ein wirksamer Schutz von digitaler Infrastruktur nur durch eigene offensive Fähigkeiten sicherzustellen ist. Das Interesse der IT-Branche ist dabei nicht nur die erfolgreiche Vermarktung der eigenen Produkte und die Akquise von Milliardenbeträgen in der Subvention von Forschung und Entwicklung, sondern auch die Abwehr von regulatorischen Maßnahmen, die ihnen die Verantwortung für die Sicherheit, Integrität und Funktionsfähigkeit von informationstechnischen Produkten und Dienstleistungen aufbürdet.