Seit 2005 gibt es in Deutschland ressortübergreifende Versuche zur Formulierung einer Cyber-Abwehrstrategie. Damals stellte Bundesinnenminister Otto Schily (SPD) den so genannten "Nationalen Plan zum Schutz der Infrastrukturen" vor. Als Weiterentwicklung verabschiedete die Bundesregierung am 23. Februar 2011 die erste Nationale Cyber-Sicherheitsstrategie. Kernelement war die Einrichtung eines Nationalen Cyber-Abwehrzentrums unter dem Dach des
Das Nationale Cyber-Abwehrzentrum sollte anfangs eine Informationsplattform für die Gefahrenabwehr im digitalen Raum sein. Dahinter stand der Gedanke, dass Cyberkriminalität ganz unterschiedliche Behördenzuständigkeiten betrifft, und dass schneller Informationsaustausch dazu beitragen kann, Gefahren effektiver einzudämmen. Im Abwehrzentrum kam anfangs drei so genannten Kernbehörden eine zentrale Rolle zu. Das BSI sollte bei einer akuten Sicherheitslage die technische Einschätzung geben, das Bundesamt für
Das Cyber-Abwehrzentrum erstellt auch die tägliche Cyberlage für die Behörden. Seit 2011 waren mehrere Tausend Sicherheitsvorfälle Gegenstand der Lagebesprechungen. Eine weitere Aufgabe ist es, Cybervorfälle so früh wie möglich zu erkennen.
Keine "aktive Cyberverteidigung"
Mit der Cyber-Sicherheitsstrategie von 2011 wurde auch der Nationale Cyber-Sicherheitsrat geschaffen, in dem Vertreter der Bundesregierung und Vertreter der Länder zusammenarbeiten und politische Instrumente zur Cybersicherheit entwickeln. Sowohl der Sicherheitsrat als auch das Abwehrzentrum sind nicht als Instrumente zur aktiven Gegenwehr bei Cyberangriffen gedacht.
Anders als beispielsweise in den USA haben deutsche Behörden bisher keine Befugnis für eine "aktive Cyberverteidigung", auch "Hackback" genannt. Das liegt auch an der speziellen Beschaffenheit des Cyberraums, die anderen Ordnungsprinzipien unterliegt als die im Grundgesetz festgelegte Sicherheitsarchitektur: Oft stehen Server, von denen Systeme in Deutschland angegriffen werden, im Ausland. In diesem Fall dürften Polizeibehörden nicht aktiv werden, da sie nur im Inland tätig sein dürfen. Für die Bundeswehr wiederum wäre die Ausschaltung eines nicht in Deutschland betriebenen Servers ein Auslandseinsatz, der vom Bundestag genehmigt werden müsste.
Die deutsche Cyberabwehr folgt auch deswegen einer dezentralen Logik und ist vor allem auf die Sicherheit der eigenen Systeme fokussiert. Das IT-Sicherheitsgesetz von 2015 regelt unter anderem, dass die Betreiber von Kritischen Infrastrukturen die Pflicht haben, ihre Systeme adäquat abzusichern. Am 16. Dezember 2020 hat das Bundeskabinett einen Entwurf für das Externer Link: IT-Sicherheitsgesetz 2.0 verabschiedet, mit dem das BSI erheblich gestärkt werden soll. Dem Entwurf nach sind zudem weitaus mehr Unternehmen dazu verpflichtet, vergleichsweise strenge Sicherheitsstandards beim Schutz ihrer Systeme einzuhalten.
Erneuerung des Abwehrzentrums
Unter anderem nach Kritik an der personellen Ausstattung und Organisation wurde das Nationale Cyber-Abwehrzentrum zum 1. September 2019 neu geordnet: Alle Kernbehörden entsenden nun Verbindungspersonen, die vor Ort zusammenarbeiten. Das soll die Kooperation bei akuten Sicherheitslagen erleichtern. Aus der Plattform zum Informationsaustausch soll eine Koordinationsstelle werden.
Neben dem BSI, dem BfV und dem BKK gehören mittlerweile auch das
Die Grundlagen für die Erweiterung des Cyber-Abwehrzentrums waren schon in der erneuerten Version der Cybersicherheitsstrategie von 2016 festgelegt worden: Unter anderem solle das Abwehrzentrum im Falle eines großflächigen Cyberangriffs auf Bundesinstitutionen zu einem Krisenreaktionszentrum werden. Für 2021 ist eine weitere Erneuerung der Cybersicherheitsstrategie geplant.
Interner Link: Marcel Dickow / Nawid Bashir: Sicherheit im Cyberraum (APUZ 43-45/2016) Interner Link: Wolff Heintschel von Heinegg: Cyber – Bedrohungen aus dem Netz Interner Link: Thomas Gabriel Rüdiger: Polizei im digitalen Raum (APUZ 21-23/2019) Interner Link: Politik und Kontrollmöglichkeiten von Cyber-Aktvitäten