Keine aktive Cyberabwehr, weil Bundesregierung die Zuständigkeit nicht geklärt hat

Die innere von der äußeren Sicherheit zu unterscheiden wird oftmals falsch verstanden als „Gewaltenteilung“. Dürfen Polizeien, Militär und andere Behörden nun zur Gefahrenabwehr zusammenarbeiten? Die Diskussion über Cybersecurity zeigt das Dilemma auf.
Wie sehr man sich windet, um trotz längst geltender Tatsachen die überkommenen Strukturen der Sicherheitsarchitektur Deutschlands miteinander in Einklang zu bringen zeigt ein Bericht von „heute im Bundestag“ (hib), dem hauseigenen Redaktionsdienst. In der Antwort auf eine Kleine Anfrage der FDP verweist die Bundesregierung demnach darauf, „dass innere und äußere Sicherheit im Cyber-Raum nicht mehr trennscharf voneinander abzugrenzen seien. Die Wahrung der Cyber-Sicherheit und die Verteidigung gegen Cyber-Angriffe seien so zu einer gesamtstaatlichen Aufgabe geworden, die gemeinsam zu bewältigen sei. Deshalb seien in der “Cybersicherheitsstrategie für Deutschland 2016” die Cyber-Abwehr, die “Cyber-Außen/-Sicherheitspolitik” sowie die Cyber-Verteidigung als drei sich ergänzende Mittel zum Erreichen von Cyber-Sicherheit festgehalten.“
Wem nun vor lauter künstlicher Differenzierung der Kopf schwirrt darf sich in guter Gesellschaft wähnen. Was ist denn der Unterschied zwischen „Cyberabwehr“ und „Cyberverteidigung“? Wikipedia ist da eindeutig: „Cyberabwehr oder Cyberverteidigung sind (beides) defensive Maßnahmen zum Schutz vor Cyberangriffen und Erhöhung der Cybersicherheit.“ Wie wir sehen: Es gibt eigentlich gar keinen Unterschied. Während wir die angloamerikanische Sprache ob ihrer wohlfeinen (und sinnvollen) Unterscheidung zwischen „safety“ und „security“ beneiden, baut die Bundesregierung in der nötigen Drangsal, zu differenzieren, wo es nichts zu differenzieren gibt, an einer systemtheoretischen Unterscheidung, die zwar Professuren sichert und zahlreiche Cyber-Konferenzen beschäftigt – mehr aber nicht.
hib versucht zu vermitteln: „Cyber-Verteidigung umfasst dabei laut Vorlage die in der Bundeswehr im Rahmen ihres verfassungsgemäßen Auftrages vorhandenen Fähigkeiten und “Cyber-Außen/-Sicherheitspolitik” das “aktive Einbringen Deutschlands in die europäische und internationale Cyber-Sicherheitspolitik”. Cyber-Abwehr beziehe sich auf die zivile Abwehr aller Formen vorsätzlicher Handlungen, deren Ziel es ist, die “Verfügbarkeit, Integrität und Vertraulichkeit von informationstechnischen Systemen mit informationstechnischen Mitteln zu manipulieren, zu beeinflussen oder zu stören” und die keinen “bewaffneten Angriff” im Sinne von Artikel 51 der Charta der Vereinten Nationen darstellen.“
Man lernt also, dass es im Cyberraum wohl einen „bewaffneten“ Cyberangriff geben muss – für dessen Abwehr dann die Bundeswehr ihre vorhandenen Fähigkeiten einsetzt. Im Gegensatz dazu gibt es aber eben auch einen unbewaffneten Angriff, bei dem die „Vertraulichkeit von informationstechnischen Systemen mit informationstechnischen Mitteln“ manipuliert werden und bei dem laut Regierungsmeinung „zivile Abwehr“ zum Tragen kommen soll. Was ist aber ein „bewaffneter“ Cyber-Angriff? Und was unterscheidet ihn von einem „unbewaffneten“?
Man wird wohl in Deutschland noch etwas diskutieren wollen über die kleinen aber feinen Unterschiede. Schließlich steht das in der Verfassung verbürgte Prinzip der Gewaltenteilung auf dem Spiel. Ebenso diskussionswürdig ist offensichtlich die Frage nach dem „Cyber-Gegenangriff“, also die laut Bundesregierung „aktive – Maßnahme der Cyber-Abwehr mit dem Ziel, die zum Angriff genutzten informationstechnischen Systeme mit informationstechnischen Mitteln zu manipulieren oder zu stören.“
Doch diese „Maßnahmen der aktiven Cyber-Abwehr werfen der Antwort zufolge verschiedene rechtliche Fragen auf, die die Bundesregierung derzeit prüft“, so hib. “Diese Prüfungen sind noch nicht abgeschlossen, daher werden bislang keine Maßnahmen der aktiven Cyber-Abwehr durchgeführt”, meldet die Bundesregierung. Mit anderen Worten: Deutschland hackt nicht zurück, weil intern noch nicht geregelt wurde, welche Behörde dafür zuständig sein darf. Die Hacker um uns herum werden es wohlwollend zur Kenntnis nehmen. Eine größere Einladung zum Angriff kann es nicht geben. Es passiert ja nichts – also, dem Angreifer, versteht sich …..

Cookie	Duration	Description
cookielawinfo-checkbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checkbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.

Keine aktive Cyberabwehr, weil Bundesregierung die Zuständigkeit nicht geklärt hat

German Opposition Positions Itself on Defense Policy

Neue Medienservices für Redaktionen und Institute

Eurasia Group Risiken 2024: Europas Herausforderungen und Empfehlungen

German Army’s budget 2024 – Narrow budget in demanding times

Germany’s National Budget for 2024: Investments in Renewables Amidst Growing Cybercrime Threats

Baerbock Resolutely Affirms Germany’s Commitment to Value-Driven and Integrated Security Policy!