conference logo

Playlist "DefensiveCon2020"

Strategieunfähig: Deutschland braucht eine Resilienzstrategie 2020

Sven Herpig

In den letzten Jahren wurde schmerzhaft deutlich was viele bereits vermutet haben: Deutschland hat keine kohärente Strategie wie es die IT-Systeme und Infrastrukturen des Landes wirklich gegen Angriffe auf deren Verfügbarkeit, Integrität und Vertraulichkeit schützen will - Deutschland ist strategieunfähig und das muss geändert werden.

Die erste Cybersicherheitsstrategie Deutschlands stammt aus dem Jahre 2010. Es handelte sich damals um ein Produkt des Innenministeriums was dazu eingelegt war die groben Strukturen für mehr Cybersicherheit in Deutschland zu schaffen. Hierunter fiel unter anderem der Aufbau des Cyber-Abwehrzentrums und des Cyber-Sicherheitsrates. Jedoch war diese Strategie sehr eng gefasst und brachte keine Vision hervor, wie inhaltlich oder mit der Architektur der deutschen Cybersicherheitsbehörden langfristig umgegangen werden soll.

Die Hoffnungen waren groß, als die Bundesregierung ihre ressortübergreifende ("whole-of-government approach") Cybersicherheitsstrategie 2016 angekündigte. Leider wurde aller Optimismus schnell von der Realität eingefangen. Es handelt sich bei der Cybersicherheitsstrategie nicht um eine Strategie, sondern um ein Sammelsurium an Maßnahmen, welche die verschiedenen Behörden seit Jahren in der Schublade hatten. Ohne Analyse oder Evaulierung ob dies überhaupt notwendig oder zeitgemäß war. Hinzu kommt, dass die Strategie wieder keinen Masterplan für die behördliche Struktur hatte, über keinen hinterlegten Haushalt verfügte und die Belange der Industrie, Wissenschaft und Zivilgesellschaft absichtlich ignorierte. Auch ein Nachhalten des Umsetzungsstandes und eine Evaluation der Effektivität waren nicht vorgesehen.

Interessant ist auch, dass beide Strategien als Reaktion auf geopolitische Ereignisse verstanden werden können: die 2010er als Antwort auf Stuxnet und die 2016er als Antwort auf die Snowden-Enthüllungen im Untersuchungsausschuss und den Angriff auf den Bundestag. Jedoch vermieden beide Strategien ein klares Bekenntnis zu IT-Sicherheit und Resilienz statt offensiver Cyberoperationen.

Aktuell gibt es in der Welt zwei dominante strategische Ausrichtungen in der Cybersicherheitspolitik:
1. Die Nutzung von offensiven Cyberoperationen zur Abschreckung besserem Schutz der eigenen Systeme in Ergänzung zu defensiven Maßnahmen (z. B. USA/Israel)
2. Die Nutzung von offensiven Cyberoperationen zum Schaden des Gegners und der Überwachung der eigenen Bevölkerung ohne besonderen Fokus auf defensive Maßnahmen (u. a. China, Russland, VAE)

Was hier fehlt ist eine Strategie die komplett ohne offensive Maßnahmen auskommt, bei defensiven Maßnahmen aber zusätzlich zu IT-Sicherheitsmechanismen verstärkt auf digitale und analoge Resilienz setzt. Auf europäischer Ebene nimmt das Thema Resilienz im Cyberraum gerade wieder Fahrt auf. Deutschland kann und muss eine treibende Kraft hinter dieser Initiative werden und einen dritten Weg anbieten; einen der komplett auf offensive Cyberoperationen verzichtet und diese lediglich für forensische Zwecke und Sicherheitsmaßnahmen wie Penetration Tests zulässt.

Deutschland braucht eine Cybersicherheitsstrategie 2020 mit folgenden Kriterien:
- Fokus auf Resilienz (digital/analog) als Vision
- Evaluation der bisherigen Maßnahmen
- Nachhalten und Beurteilung der Effektivität neuer Maßnahmen
- Hinterlegung mit Finanzmitteln
- Einbeziehung aller relevanten Sektoren ("whole-of-society approach")
- Masterplan zur Architektur der Sicherheitsbehörden

####Aufzeichnung: [**hier**](https://youtu.be/qTRmKHoRSZo)
####Folien: [**hier**](https://www.defensivecon.org/slides/HERPIG-Resilienzstrategie für Deutschland.pdf)