In der Podiumsdiskussion wurden Aspekte politischer und juristischer Möglichkeiten zur Kontrolle und Verfolgung von Aktivitäten im Cyberraum thematisiert.
Es wurde deutlich, dass das Internet zwar kein rechtsfreier Raum ist, dass Cyber-Aktivitäten jedoch die Ermittlungsbehörden und Gerichte vor große Herausforderungen stellen. Immer wieder gibt es Forderungen nach neuen Gesetzen und Behörden. Cyberkriminelle sind findig und schnell und manchmal entsteht der Eindruck, dass der Staat stets hinterherhinke.
Juristische Rahmenbedingungen
Der Jurist Christian Marxsen betonte, dass es immer gesellschaftliche und technische Veränderungen gegeben habe, an die der Staat sich anpassen musste. Durch das Internet hätten sich kriminelle Aktivitäten verändert. Die bestehenden juristischen Grundlagen seien hinreichend, nur einige Eingriffsgrundlagen müssten eventuell angepasst werden. Es handele sich um grundrechtssensible Bereiche, in die man nicht so einfach eingreifen dürfe. Es gebe zwar Rufe, die Eingriffsmöglichkeiten der Behörden bei Cyber Crime ähnlich wie beim Terrorismus auszuweiten, so dass mehr Überwachung und Eingriffe in IT-Systeme möglich werden, doch dies müsse gut abgewogen werden.
Cybersicherheit in Deutschland
Die Podiumsteilnehmer stellten dem aktuellen Stand der Cybersicherheit in Deutschland kein gutes Zeugnis aus. "Wir stehen richtig schlecht da", so Sven Herpig von der Stiftung Neue Verantwortung. Das Cyber-Abwehrzentrum als Kooperations- und Austauschplattform wurde als wichtiges Element in der Sicherheitsarchitektur genannt. Hans-Wilhelm Dünn, Präsident des Cyber-Sicherheitsrats Deutschland, bemängelte jedoch, dass das Cyber-Abwehrzentrum mit zu wenig Personal ausgestattet sei und dass es keine Schwerpunkt-Staatsanwaltschaft für Cyberkriminalität gebe. In Deutschland entstünden jährlich 50-60 Milliarden Euro Schaden durch Cyberkriminalität. Es sei wichtig, dass Security by Design verpflichtend für die Hersteller sei. Häufig würden Komponenten von Billigherstellern eingesetzt, die Sicherheitslücken aufwiesen, so Dünn. Herpig bemängelte zudem das fehlende Bewusstsein bei den Bürgerinnen und Bürgern – nicht einmal Basics wie sichere Passwörter und 2-Faktor-Authentifizierung würden umgesetzt. Die wenigsten würden regelmäßig ihre Hardware wie z.B. Router patchen, also die Schwachstellen beheben.
Fachkräftemangel und Bildung
Auch der Fachkräftemangel im IT-Bereich bei Unternehmen und Behörden wurde thematisiert. Man brauche jetzt akut viel Personal, müsse Menschen umschulen und weiterbilden.
Man müsse zudem langfristig denken und digitale Bildung bereits in Schulen implementieren, so der Tenor des Podiums. Der Digitalpakt für die Infrastruktur an Schulen müsse schnell umgesetzt werden und es müsse pädagogische Konzepte geben. In Israel lernten Kinder bereits in der Grundschule, einfache Computer zusammenzubauen und das Thema begleite sie über die gesamte Schulzeit, unterstützt durch Spezialeinheiten der Armee, so Hans-Wilhelm Dünn. In Deutschland könnte hier zum Beispiel das Bundesamt für Sicherheit in der Informationstechnik beratend aktiv werden, so Herpig.
Offensive Cyberaktivitäten?
Die Bundeswehr braucht für Einsätze ein Mandat des Bundestages. Bei Aktivitäten im Cyberraum seien die Grenzen zwischen defensiven und offensiven Tätigkeiten nicht leicht auszumachen. Bei offensiven Handlungen wie Hackbacks müsste das Parlament beteiligt werden – Cyber-Aktivitäten würden allerdings obsolet, wenn man sie öffentlich mache, so Christian Marxsen. Es gebe zwar Möglichkeiten, Entscheidungen in Ausschüssen zu treffen, doch Marxsen warnte vor unabsehbaren Folgen von Cyberangriffen und erinnerte daran, dass die Bundeswehr im exekutiven Bereich nicht tätig werden dürfe bzw. nur in den im Grundgesetz vorgesehenen Fällen. Sven Herpig sieht die Aufgabe der Bundeswehr im Bereich der Cybersicherheit vor allem im Schutz der eigenen IT-Systeme. Hackbacks könnten möglicherweise allenfalls durch den Bundesnachrichtendienst oder das Bundeskriminalamt durchgeführt werden, doch hier seien noch viele Fragen offen. Ein großes Problem stelle die Attribution dar, also dass man in den seltensten Fällen genau herausfinden könne, wo der Angriff herkomme und wer dahinter stünde.
Aus diesem Grund können auch das Völkerrecht und das Kriegsvölkerrecht nur sehr bedingt angewendet werden. Selten werden Cyberangriffe tatsächlich Staaten zugerechnet werden können. Es gab erste Ansätze, auf internationaler Ebene Regelungen für Cyber-Aktivitäten zu formulieren (Tallinn Manual 2017, UN-Expertengremium UNGGE 2017), doch dies gestalte sich schwierig. Marxsen räumte ein, dass es vielleicht möglich sei, sich auf Regelungen zu einigen, dass jedoch unter der Oberfläche Aktivitäten stattfänden, die nur schwer nachweisbar seien. Letztlich müsse man in praktischen Fällen einen konkreten Umgang finden.
Zukunftsaufgaben
Als Aufgaben für die nahe Zukunft sahen die Podiumsteilnehmer unter anderem, dass die Bundesregierung eine Cyber-Abwehr-Strategie brauche. Ein weiterer wichtiger Punkt sei, dass Kritische Infrastrukturen die Basis-Sicherheitsmaßnahmen umsetzten (Cyber-Hygiene) und dass mehr Cyber-Fachkräfte ausgebildet würden. Die IT-Sicherheit bei Hard- und Software müsse insgesamt verbessert werden.
Dokumentation: Katharina Reinhold