Unser überarbeitetes CHW-Konzept (Version 1.2) ist da, also haben wir uns den Koalitionsvertrag zur Brust genommen und analysiert, ob und warum wir ein Cyber-Hilfwerk (CHW) in Deutschland brauchen.
Spoiler: Wir brauchen es dringender denn je!
„Jeder Satz ist Politik pur“
Mit dieser denkwürdigen Aussage startete Markus Söder in seine Vorstellung des Koalitionsvertrags zwischen CDU, CSU und SPD. Wir wollen in einer schnellen Analyse diesen Satz ernst nehmen.
Zunächst fällt auf, dass in Berlin ein neues Buzzword existiert. Alles muss „resilient“ werden oder „Resilienz“ besitzen – natürlich auch unsere Kritische Infrastruktur. Wie genau das allerdings umgesetzt werden soll, ist „Politik pur“. Vermehrt werden Lippenbekenntnisse abgeben, die ein Konzept vermissen lassen. Konkrete Bezugnahmen auf das KRITIS-Dachgesetz, die NIS2-Richtline, oder den Cyber Resilience Act werden wohldosiert eingesetzt und hier und da für Kenner als Wortbrocken hingeworfen. So will man den Unternehmen bei der Umsetzung des Cyber Resilienz Act unter die Arme greifen und nur noch „kritische Komponenten“ von vertrauenswürdigen Staaten verbauen. Außerdem soll die kritische Energieinfrastruktur, insbesondere die erneuerbaren Energien durch die Umsetzung der NIS2-Richtliche „resilient und bestmöglich geschützt werden“. Allgemein soll die IT-Sicherheit bei KRITIS verbessert, die Resilienz erhöht, und in sichere Infrastruktur der Kommunikation- und Forschungslandschaft investiert werden. Im Koalitionsvertrag wird jedoch nicht einmal angedeutet, wie die Steigerung der Resilienz genau aussehen soll. Ein wichtiger Gradmesser bleibt also, wie zügig die NIS2-Richtlinie und das KRITIS-Dachgesetz beschlossen und umgesetzt werden und wie der deutsche Staat sich selbst Resillienzmaßnahmen und Mindesstandards auferlegt.
Unsere Forderung, dass auch der Staat und die Verwaltung sich an diese Standards ohne Ausnahmen zu halten haben, ist weiterhin gültig. In diesem Zusammenhang fällt eine Textstelle auf:
„Die öffentliche IT-Sicherheit wird durch Notfallmanagement und präventive
Beratungsangebote für kleine und mittlere Unternehmen verbessert“ (Z. 2189-2190)
Falls hier angedeutet wird, dass die IT des Staates sowie die öffentliche Verwaltung endlich Standards wie ein BCM oder ISMS einhalten muss, zu denen die privaten BetreiberInnen kritischer Infrastruktur längst verpflichtet wurden, dann begrüßen wir das ausdrücklich! – Bei „Politik pur“ kann man natürlich auch träumen.
Wir jedenfalls werden die postulierte digitale Zeitenwende in Form eines neuen Ministeriums für Digitalisierung und Modernisierung kritisch begleiten. Spannend wird zudem, wie dieses neue Ministerium digitale Souveränität umsetzen will. Unser Sprecher und Gründer Manuel „Honkhase“ Atug hat hierzu ein Op-Ed zusammen mit Matthias Schulze veröffentlicht.
Ein weiteres „Schmanckerl“, um bei unserem bayrischen roten Faden zu bleiben, ist der sogenannte „Pakt für Bevölkerungsschutz“. Hier wird Resilienz groß geschrieben und tritt an gegen „jede Form hybrider und konventioneller Bedrohung“. Das Ziel der KoalitionärInnen ist es, die Fähigkeiten im Bereich Cybersicherheit und des Zivil- und Katastrophenschutzes sowie der zivilen Verteidigung zu stärken. Hier vermengt sich einiges zu einer unheilvollen Melange aus HackBack oder aktiver Cyberabwehr, Befugniszuwachs und strukturellen Veränderungen.
So soll das BSI-Gesetz novelliert an die NIS2-Richtline angepasst und zu einer „Zentralstelle für Fragen der Informations- und Cybersicherheit“ werden. Eine relativ unkonkrete Zielvorgabe, die offen und zu befürchten lässt, dass die Unabhängigkeit des BSI gegenüber dem BMI wieder abnehmen wird. Zusätzlich dazu soll eine nationale Cybersicherheitsstrategie klare Rollen- und Aufgabenverteilung fortentwickeln. Wir verweisen hier gerne auf das Cyber-Wimmelbild der Veranwortungsdiffusion. „Fortentwickeln“ sollten wir hier nichts mehr, sondern „abbauen“ und „konsolidieren“ wäre das richtige Verb gewesen. Immerhin könnte man auch optimistisch interpretieren, dass die Politik hier endlich die Probleme wahrnimmt und den Rotstift ansetzt. Allerdings trübt sich das Bild, wenn der Zivil- und Bevölkerungsschutz angesprochen wird, denn immer wieder wird auf die neuen Finanzierungsinstrumente verwiesen, die Bund und Länder jetzt zur Verfügung haben. Lichtblick ist nur, das auffällig klare Bekenntnis zur besseren Finanzierung des Digitalfunks BOS.
Das Hauptproblem, dass hier eine föderale Fragmentierung herrscht und dadurch keine einheitliche Krisenbewältigung herstellbar ist, wird nicht adressiert bzw. mit der Hoffnung der geöffneten Geldschatulle belegt. Bezeichnend ist in diesem Zusammenhang ist der Einsatz des Operationsplans Deutschland als Rechtfertigungsmittel. Wir erkennen an, dass endlich die (Gesamt-)Verteidigung nicht mehr in Silos gedacht wird und so auch der Bevölkerungs- und Katastrophenschutz in den politischen Fokus gerückt wird. Mehr als Appelle und „Wünsch dir was“ ist das aber nicht. Ein klares eindeutiges Konzept, das zumindest in der Dimension der Cyberkrisenvorsorge freiwillige Kräfte bündeln kann und im künftigen Zivil- und Katastrophenschutz zum Einsatz kommt, gibt es nicht im Koalitionsvertrag, sondern nur bei uns.
Was das Thema Bürgerrechte, Nachrichtendienste und neue Überwachungsbefugnisse angeht verweisen wir auf den CCC, Golem und Netzpolitik.org. Zusammenfassend haben die KollegInnen ein geradezu fatales Fazit für die zukünftige Lage der Bürgerrechte im digitalen Raum in Deutschland abgegeben. Allen zivilgesellschaftlichen Forderungen zum Trotz wird die Merz-Regierung – wenn diese Maßnahmen in Gesetze gegossen und umgesetzt werden – den Präventions- und Überwachungsstaat vorantreiben und Grundgesetze schleifen. In welcher Form das Verfassungsgericht oder der neue Unabhängige Kontrollrat hier eine effektive rechtsstaatliche Kontrolle sicherstellen kann, bleibt abzuwarten. Klar ist, dass eine „öffentliche IT-Sicherheit“ mit immer mehr sicherheitsbehördlichen Befugnissen in keiner Weise gewährleistet wird, wenn diese Verschlüsselung brechen, Hintertüren bekommen, Schwachstellen horten oder die Überwachungsindustrie alimentieren. Nichts davon wird die Bevölkerung vor hybriden Bedrohungen schützen. Was allerdings die Bevölkerung sicherer macht, ist eine IT-Sicherheitsforschung, die rechtssicher unterwegs ist und nicht mit staatlichen Repressionen zu rechnen hat. Hier liefert der Koalitionsvertrag einen Formelkompromiss, der gleich im Nebensatz die Rechtssicherheit der IT-Sicherheitsforschung unter dem Vorbehalt der Missbrauchsmöglichkeiten stellt. Wie das allerdings mit mehr Investition in IT-Sicherheits- und anwendungsorientierte Resilienzforschung zusammenpasst bleibt fraglich. Rechtssicherheit muss sowohl gelten für institutionelle Forschung, als auch für freie IT-Sicherheitsforschende, die aus Neugier, für das Ehrenamt und im Sinne des Gemeinwohls handeln.
Mit Blick auf die Ressortverteilung ist aber zu befürchten, dass sich hier in der kommenden Legislaturperiode nichts verändert, sondern das BMJ vom BMI zu Fragen einer rechtsicheren IT-Sicherheitsforschung weiterhin blockiert wird.
Darüber hinaus soll auch die terrestrische Rundfunkverbreitung (Radio und Fernsehsender) als KRITIS gelten, um diese besser schützen zu können. Eine Maßnahme, die wir begrüßen, allerdings ist eine rechtliche Kategorisierung als KRITIS nicht gleichzusetzen mit tatsächlicher IT-Sicherheit und Resilienz – die Umsetzung bleibt weiterhin das Problem.
„Wir beschließen zeitnah ein gutes KRITIS-Dachgesetz“ (Z.2697-2698)
Wir sind sehr froh, dass die zukünftige Koalition nicht vorhat, ein schlechtes KRITIS-Dachgesetz zu verabschieden. Dafür bieten wir gerne Schützenhilfe mit unserer Stellungnahme an. Es darf gerne abgeschrieben werden, damit es besonders zügig beschlossen werden kann. An dieser Stelle müssen wir aber auch auf unsere Forderung nach einer Harmonisierung des KRITIS-Dachgesetz und des NIS2UmsuCG verweisen. Beide Gesetzes-Entwürfe müssen dringend konsolidiert werden, damit ein einheitliches Rahmenwerk entsteht und kein Cyber-Flickenteppich. Eine Stellungsnahme zum aktuellen Entwurf des NIS2UmsuCG führt, diese Problematik weiter aus.
Was im „Pakt für Bevölkerungsschutz“ fehlt, ist endlich ein Cyber-Hilfswerk, das auch mit Blick auf hybride Bedrohungen konzipiert wurde. Unser Ansatz für ein CHW ist im Bereich des Freiwilligendienstes und des Herzensanliegens unseres Bundeskanzlers Merz, dem Ehrenamt, voll anschlussfähig. Der Freiwilligendienst als neue Wertschätzung des Ehrenamts kann helfen, die künftigen Sicherheitsherausforderungen im Rahmen einer zivilen Gesamtverteidigung zu stärken. Ein neugeschaffenes CHW verbindet Zivilschutz mit Cybersicherheit und bündelt wichtige Kompetenzen, die heute schon für die Daseinsvorsorge essentiell sind. Es ist absehbar, dass dieser Stellenwert wachsen wird und wir in Zukunft kein Chance einer Krisenbewältigung haben, wenn wir nicht alle Kräfte der Gesellschaft nutzen. Unser CHW-Konzept ist in dieser Hinsicht einzigartig, denn es schafft ehrenamtliche Strukturen und Anreize für Freiwillige, die heute im Bevölkerungsschutz nicht adressiert werden.
Es wird Zeit, dass wir jetzt beim Bevölkerungsschutz und bei der Krisenvorsorge den Turbo zünden und Deutschland ein Cyber-Hilfswerk bekommt. Wir sind bereit!
Vielen Dank an unser Mitglied Alessandro Parrino für das Verfassen dieses Artikels
Bildrechte: Martin Rulsch, Wikimedia Commons, CC BY-SA 4.0
_175.jpg){kind=link}