Der Referent Stefan Steiger, Politologe an der Universität Hildesheim, stellte im Rahmen des Workshops die Cybersicherheitsstrategie Großbritanniens vor.
Als Einstieg präsentierte der Referent mehrere Originalzitate von Politikern, Richtern und Geheimdienstmitarbeitern und diskutierte sie mit den Teilnehmenden. In Großbritannien als Atommacht, mit Geltungsanspruch im Commonwealth und im englischsprachigen "Five Eyes" Geheimdienstverbund bestehe ein großes Interesse an Informationen, gleichzeitig sei man aber auch ein interessantes Angriffsziel und habe bereits konkrete Bedrohungen durch Terror und verschiedene Auseinandersetzungen mit Russland erlebt, so Steiger.
Das National Cyber Security Centre und seine Befugnisse
Aktuell investiere Großbritannien 1,9 Milliarden Pfund in die 2016 geschaffene Behörde National Cyber Security Centre (NCSC). Sie ist eine Tochter des britischen Nachrichtendienstes Government Communications Headquarters (GCHQ). Durch historische Erfahrungen mit der Arbeit von Geheimdiensten (z.B. die Enigma-Entschlüsselung in Bletchley Park) sei das Vertrauen der Bevölkerung in das GCHQ hoch und es bestehe ein sehr positives Selbstbild ("Wir sind die Guten"). Eine Trennung zwischen Geheimdienst-Aktivitäten im In- und Ausland wie es in Deutschland der Fall ist besteht nicht.
Im Zuge der Enthüllungen von Edward Snowden kam es auch in Großbritannien zu leidenschaftlichen Debatten über den intensiven Datenaustausch mit der NSA und das Ausspähen von Verbündeten. Der Referent erläuterte die Praxis der britischen Massenüberwachung. Durch den Investigatory Powers Act aus dem Jahr 2016 wird das Vorgehen des GCHQ als legal betrachtet. Die Praxis der Briten führte zu kritischen Anmerkungen der Workshopteilnehmenden und einer regen Diskussion. Cyberattacken würden international unterhalb einer kinetischen Schwelle als "fair game" betrachtet und meist geduldet, so Steiger. Internationale Regeln für Interaktionen und das Selbstverteidigungsrecht im Cyberraum seien noch nicht fest definiert, ein Prozess auf UN-Ebene laufe, eine Einigung sei aber laut Steiger noch weit entfernt.
Nutzung von Sicherheitslücken
Die Workshopteilnehmenden diskutierten intensiv und durchaus kontrovers, ob Regierungen IT-Sicherheitslücken für eigene Zwecke zurückhalten sollten. In Großbritannien geschieht dies: Das GCHQ ist an entsprechenden Entscheidungen in einem "Vulnerabilities Equities Process" (VEP) beteiligt. Im "Equities Technical Panel" (ETP) erfolgt ein strukturierter Risikobewertungsprozess mit Mehraugenprinzip und unter demokratischer Kontrolle. Der Zweck sei die Wahrung der nationalen Sicherheit, Schattenseiten eines VEP seien jedoch offene Schwachstellen, die massive Schäden verursachen können. So war 2017 das staatliche Gesundheitssystem NHS stark vom Schadprogramm WannaCry betroffen. Die Teilnehmer beurteilen dies unterschiedlich, von "besser als nichts zu haben" bis zu "ein Hochrisikospiel". In Deutschland sei man noch dabei, einen solchen Prozess zu definieren, so Steigert.
Für WannaCry hätten die Briten Nordkorea verantwortlich gemacht, bisher seien aber keine Gegenaktionen bekannt geworden. Grundsätzlich sei die Attribution von Attacken, also die Zurückverfolgung zum Urheber, schwierig. Der "Five Eyes"-Verbund verfolgt dabei eine deutlich offensivere Praxis als Deutschland. So benannten Großbritannien und die USA Ende 2018 ausdrücklich den russischen Militärnachrichtendienst GRU als Urheber von Attacken. Hier stellte sich im Plenum die Frage, ob solche Schuldzuweisungen hilfreich, abschreckend oder gar konflikteskalierend wirkten.
Offensive Kräfte
Großbritannien nimmt für sich in Anspruch, in Übertragung internationalen Rechts, auch offensive Kapazitäten aufzubauen, um seine Souveränität zu verteidigen. 2013 wurden daher die Joint Forces Cyber Group und die Joint Cyber Reserve Unit gegründet, um die Streitkräfte in die Lage zu versetzen, im Cyberraum zu handeln. Sie beinhalten ausdrücklich eine kinetische Option. Erste Operationen gegen Medien- und Propagandanetzwerke des Islamischen Staates wurden 2018 bekannt. Dabei arbeiten das britische Verteidigungsministerium und GCHQ eng zusammen.
Abhängigkeiten von kommerziellen Produkten
Abschließend stellte Stefan Steiger die Frage, wie Staaten mit ihrer Abhängigkeit von kommerziellen IT-Produkten umgehen und ob, angesichts der Dominanz chinesischer und amerikanischer Komponenten, eine technologische Souveränität überhaupt zu erreichen sei. Diesem Problem sieht sich auch die Bundesrepublik bei der Einführung des Mobilfunkstandards 5G mit Blick auf die mögliche Einbindung von Produkten des chinesischen Konzerns Huawei gegenüber. Die Briten zwingen Huawei seit 2010 erfolgreich im Huawei Cyber Security Evaluation Centre (HCSEC) zur Zusammenarbeit und Zertifizierung der Produkte; im HCSEC ist auch das NCSC vertreten. Die Teilnehmenden sahen dies als guten Ansatz, der auch nach Workshopende rege weiterdiskutiert wurde.
Dokumentation: Marco Hermann