Keine aktive Cyberabwehr, weil Bundesregierung die Zuständigkeit nicht geklärt hat

• IN

Die innere von der äußeren Sicherheit zu unterscheiden wird oftmals falsch verstanden als „Gewaltenteilung“. Dürfen Polizeien, Militär und andere Behörden nun zur Gefahrenabwehr zusammenarbeiten? Die Diskussion über Cybersecurity zeigt das Dilemma auf.

Wie sehr man sich windet, um trotz längst geltender Tatsachen die überkommenen Strukturen der Sicherheitsarchitektur Deutschlands miteinander in Einklang zu bringen zeigt ein Bericht von „heute im Bundestag“ (hib), dem hauseigenen Redaktionsdienst. In der Antwort auf eine Kleine Anfrage der FDP verweist die Bundesregierung demnach darauf, „dass innere und äußere Sicherheit im Cyber-Raum nicht mehr trennscharf voneinander abzugrenzen seien. Die Wahrung der Cyber-Sicherheit und die Verteidigung gegen Cyber-Angriffe seien so zu einer gesamtstaatlichen Aufgabe geworden, die gemeinsam zu bewältigen sei. Deshalb seien in der „Cybersicherheitsstrategie für Deutschland 2016“ die Cyber-Abwehr, die „Cyber-Außen/-Sicherheitspolitik“ sowie die Cyber-Verteidigung als drei sich ergänzende Mittel zum Erreichen von Cyber-Sicherheit festgehalten.“

Wem nun vor lauter künstlicher Differenzierung der Kopf schwirrt darf sich in guter Gesellschaft wähnen. Was ist denn der Unterschied zwischen „Cyberabwehr“ und „Cyberverteidigung“? Wikipedia ist da eindeutig: „Cyberabwehr oder Cyberverteidigung sind (beides) defensive Maßnahmen zum Schutz vor Cyberangriffen und Erhöhung der Cybersicherheit.“ Wie wir sehen: Es gibt eigentlich gar keinen Unterschied. Während wir die angloamerikanische Sprache ob ihrer wohlfeinen (und sinnvollen) Unterscheidung zwischen „safety“ und „security“ beneiden, baut die Bundesregierung in der nötigen Drangsal, zu differenzieren, wo es nichts zu differenzieren gibt, an einer systemtheoretischen Unterscheidung, die zwar Professuren sichert und zahlreiche Cyber-Konferenzen beschäftigt – mehr aber nicht.

hib versucht zu vermitteln: „Cyber-Verteidigung umfasst dabei laut Vorlage die in der Bundeswehr im Rahmen ihres verfassungsgemäßen Auftrages vorhandenen Fähigkeiten und „Cyber-Außen/-Sicherheitspolitik“ das „aktive Einbringen Deutschlands in die europäische und internationale Cyber-Sicherheitspolitik“. Cyber-Abwehr beziehe sich auf die zivile Abwehr aller Formen vorsätzlicher Handlungen, deren Ziel es ist, die „Verfügbarkeit, Integrität und Vertraulichkeit von informationstechnischen Systemen mit informationstechnischen Mitteln zu manipulieren, zu beeinflussen oder zu stören“ und die keinen „bewaffneten Angriff“ im Sinne von Artikel 51 der Charta der Vereinten Nationen darstellen.“

Man lernt also, dass es im Cyberraum wohl einen „bewaffneten“ Cyberangriff geben muss – für dessen Abwehr dann die Bundeswehr ihre vorhandenen Fähigkeiten einsetzt. Im Gegensatz dazu gibt es aber eben auch einen unbewaffneten Angriff, bei dem die „Vertraulichkeit von informationstechnischen Systemen mit informationstechnischen Mitteln“ manipuliert werden und bei dem laut Regierungsmeinung „zivile Abwehr“ zum Tragen kommen soll. Was ist aber ein „bewaffneter“ Cyber-Angriff? Und was unterscheidet ihn von einem „unbewaffneten“?

Man wird wohl in Deutschland noch etwas diskutieren wollen über die kleinen aber feinen Unterschiede. Schließlich steht das in der Verfassung verbürgte Prinzip der Gewaltenteilung auf dem Spiel. Ebenso diskussionswürdig ist offensichtlich die Frage nach dem „Cyber-Gegenangriff“, also die laut Bundesregierung „aktive – Maßnahme der Cyber-Abwehr mit dem Ziel, die zum Angriff genutzten informationstechnischen Systeme mit informationstechnischen Mitteln zu manipulieren oder zu stören.“

Doch diese „Maßnahmen der aktiven Cyber-Abwehr werfen der Antwort zufolge verschiedene rechtliche Fragen auf, die die Bundesregierung derzeit prüft“, so hib. „Diese Prüfungen sind noch nicht abgeschlossen, daher werden bislang keine Maßnahmen der aktiven Cyber-Abwehr durchgeführt“, meldet die Bundesregierung. Mit anderen Worten: Deutschland hackt nicht zurück, weil intern noch nicht geregelt wurde, welche Behörde dafür zuständig sein darf. Die Hacker um uns herum werden es wohlwollend zur Kenntnis nehmen. Eine größere Einladung zum Angriff kann es nicht geben. Es passiert ja nichts – also, dem Angreifer, versteht sich …..