Beiträge

Cybersicherheitsagenda ist alter Wein in neuen Schläuchen: BMI Strukturen von neuer Regierung unbeeindruckt.

/in /von

Bundesinnenministerin Nancy Faeser hat am 12.07.2022 im Rahmen einer Pressekonferenz die Cybersicherheitsagenda vorgestellt. Faeser beschwört dabei die Zeitenwende und die daraus resultierende strategische Neuausrichtung der deutschen Cybersicherheit.

Offensichtlich hat Ministerin Faeser nicht verstanden, dass es zwischen strukturinhärenten Interessenskonflikten keinen Kompromiss geben kann. Viele alte Themen sind nun neu bezeichnet worden. Dabei sind die Bezeichnungen so vage und allgemein gefasst, dass die Zivilgesellschaft misstrauisch werden muss. Die „neue“ Cybersicherheitsagenda versucht den wohlbekannten Wunschzettel der Sicherheitsbehörden neu zu verpacken, scheitert aber daran.

Ministerin Faeser beruft sich in ihrer Pressekonferenz auf Experten, jedoch scheint es so als ob diese Berater primär die Interessen der Sicherheitsbehörden vertreten. Die Forderungen und Vorhaben der vermeintlich neuen Cybersicherheitsagenda gleichen den Vorhaben des BMI unter der Vorgängerregierung mit CSU-Innenminister Horst Seehofer.

Wir empfehlen allen Beteiligten im BMI dringend die Zivilgesellschaft stärker einzubinden, darüber hinaus empfehlen wir dringend die Lektüre des Koalitionsvertrags. Wäre dies geschehen, dann wäre aufgefallen, dass eine neue Regierung gewählt wurde, die in Sachen Cybersicherheit und Digitalisierung, Grundrechtsschutz und Bürgerrechte andere Ziele verfolgte als einst Minister Seehofer.

Aktive Cyberabwehr

Auf der Pressekonferenz zur Veröffentlichung der Agenda sagte Frau Faeser:

„Ein Hackback ist ein angressiver Gegenschlag, das heisst wir würden mit staatlichen Mitteln einen anderen Server – einen möglicherweise ausländischen [Server] aktiv bekämpfen und gegenschlagen, das will niemand. Das was der Staatssekretär Richter angesprochen hat ist, dass ein Angriff so stark sein kann, dass wir irgendwann gezwungen sind auf den Server zuzugreifen und es abzustellen, aber abstellen ist was anderes als aggressiv dagegen zuschlagen und selbst Angriffe vorzunehmen, das möchte niemand.“

Der verbale Tenor ist „wir machen keine Gegenschläge“, dennoch befinden sich erhebliche Widersprüche in der Cybersicherheitsagenda, die eine klare Positionierung vermissen lassen. Ebenso wird weder aus der Pressekonferenz noch aus der Agenda selbst ersichtlich, welche Grenzen zwischen einem „Abschalten“ und einen „aggressiven Gegenschlag“ liegen. Was bleibt ist der fahle Beigeschmack einer begrifflichen Umdeutung oder wie es LOAD e.V. treffend formuliert „Eine bewusste Irreführung der Öffentlichkeit“.

Letztlich wird damit leider deutlich, dass der digitale Gegenschlag politisch noch lange nicht vom Tisch ist. Im Gegenteil – im Rahmen der in der Agenda ebenfalls adressierten Forschungsförderung wird die „Cyberverteidigung“ ausdrücklich adressiert. Generell ist das operieren im Cyberraum aus Sicht der kritischen Infrastrukturen, auch als Abwehrmaßnahme, höchst problematisch wie unser Mitglied Manuel Atug bereits hier umfangreich erklärt hat.

1. Cybersicherheitsarchitektur modernisieren und harmonisieren

Im ersten Kapitel wird weitgehend das Zuständigkeitschaos und der sogenannte Ausbau des BSI zu einer Zentralstelle im Bund-Länder-Verhältnis adressiert. Insbesondere soll die Zuständigkeitsverteilung im Bereich der Gefahrenabwehr angepasst werden. Außerdem soll das BSI unabhängiger werden. Das begrüßen wir ausdrücklich.
Von wem es allerdings unabhängiger werden (darf) bleibt die Agenda schuldig. Zwar haben immer wieder Expert:innen die Abhängigkeit des BSI vom Innenministerium als Dienstherr im Kontext des Interessenskonflikts der Sicherheitsbehörden in der Gefahrenabwehr angemahnt, ob die Innenministerin diesen Schritt tatsächlich geht bleibt fraglich.

2. Cyberfähigkeiten und digitale Souveränität der Sicherheitsbehörden stärken

In Kapitel zwei wird wieder ein Schwachstellenmanagement versprochen. Wir bleiben weiterhin davon überzeugt, dass Schwachstellen nicht „gemanaged“ werden müssen. Wir sind uns relativ sicher, dass das BMI mit einem Schwachstellenmanagement einen Managementprozess, angelehnt an den amerikanischen Vulnerabilities Equities Process, anstrebt, welcher zum Ziel hat, intransparent auszuwählen, welche bekannt gewordenen Sicherheitslücken gemeldet werden sollen und welche geheim bleiben sollen, damit die Sicherheitsbehörden diese ausnutzen können. Dies ist inakzeptabel. Der einzig richtige Weg, der die Cybersicherheit der Bürger:innen, der Behörden und der kritischen Infrastruktur nicht gefährdet, ist Sicherheitslücken unverzüglich und ausnahmslos zu schließen.

Der Abschnitt spricht weiterhin von

„Ermittlungsfähigkeiten und -instrumente des Bundes (…) im Bereich Verschlüsselung“ für das Bundeskriminalamt.

Wir können uns unter dieser Formulierung nur vorstellen, dass die Bundesregierung weiter versucht, Verschlüsselungssysteme unsicher zu machen um diese Unsicherheiten für Ermittlungen auszunutzen.

3. Cybercrime und strafbare Inhalte im Internet bekämpfen

Zu den Problemstellungen die die Agendapunkte in Kapitel drei darstellen, möchten wir hier auf die [Stellungnahme des LOAD e.V.]() verweisen.

4. Cybersicherheit der Behörden des Bundes stärken

Die „Etablierung des Grundsatzes ’security by design and by default‘ in der Bundesverwaltung“ begrüßen wir grundsätzlich. Die Cybersicherheitsagenda ist hier aber inhaltlich zweideutig. So werden nach wie vor an verschiedenen Stellen explizit Türen offen gelassen, um die Cybersicherheit durch Sicherheitsbehörden schwächen zu können. Solange „security by design and by default“ nicht zur rechtsverbindlichen Verpflichtung werden, besteht die Gefahr, dass dieses an sich begrüßenswerte Ziel zu einem bloßen Buzzword verkommt. Die Bundesregierung ist daher aufgerufen, als Follow-up der Agenda konkrete Maßnahmen vorzustellen, wie „security by design“ umgesetzt werden soll. Auch die letzten zwei Bundesregierungen haben diese Formulierung bereits verwendet, ohne dass es zu konkreten Umsetzungsbestrebungen gekommen wäre. Das BMI muss deshalb weiterhin aktiv an dieser Zielsetzung festhalten.

5. Cyber-Resilienz Kritischer Infrastrukturen stärken

Abschnitt 5 wollen wir uns im Detail widmen, betrifft dieser doch den Kernbereich der Aktivitäten der AG KRITIS. Zu den anderen Abschnitten verweisen wir neben der Stellungnahme des LOAD e.V. auch auf die [Stellungnahme unseres Mitglieds Prof. Dr. Dennis-Kenji Kipker bei beck.de].

Prüfung der Etablierung sektorspezifscher CERTs für KRITIS-Betreiber

Wir halten sektorspezifische CERTS nicht für sinnvoll. Wir halten es in diesem Kontext für zielführender, die Länder-CERTS zu stärken und auszubauen, das MIRT sowie das CERT-Bund auszubauen sowie ein Cyberhilfswerk zu schaffen. Gerne beraten wir die prüfende Stelle im Ehrenamt.

Wir sind bestürzt, dass wir die Schaffung eines Cyberhilfswerks leider nicht in dieser Agenda wiederfinden konnten. Wir hoffen weiterhin, dass das BMI die Schaffung eines Cyberhilfswerks auf die Agenda nimmt.

6. Schutz ziviler Strukturen vor Cyberangriffen

Der Schutz ziviler Infrastruktur kommt viel zu wenig Gewicht in der Cybersicherheitsagenda zu. Lediglich zwei kryptische Vorhaben werden aufgeführt um die zivile Infrastruktur besser gegen Cyberbedrohungen abzusichern. Ein wohlklingendes „BSI Information Sharing Portal (BISP) soll aufgebaut und später zu einem zivilen Cyberabwehrsystem (ZCAS) ausgebaut werden.

Das BISP kann unserer vorläufigen Einschätzung nach auch eine gute Idee sein, sofern der Zugang offen gestaltet wird. Die angestrebte Weiterentwicklung zu einem System, das „aktiv und automatisiert auf Cyberangriffe“ reagieren soll klingt jedoch nach einer besonders schlechten Idee. Nicht nur ist die technische Machbarkeit aus unserer Sicht höchst fragwürdig, sondern würde in dieser Formulierung auch automatisierte Hackbacks gleichgestellt sein.

Selbst ein manueller Hackback ist aus Sicht der kritischen Infrastrukturen, der Zivilgesellschaft wie auch aus völkerrechtlichen Betrachtung strikt abzulehnen. Solche Fähigkeiten vollständig oder auch nur teilweise zu automatisieren, ist im besten Falle nicht nur höchst gefährlich, sondern auch verantwortungslos und leichtsinnig und wird daher von uns strikt abgelehnt.

7. Digitale Souveränität in der Cybersicherheit stärken

Nach über dreißig Jahren Internet, werden auch langsam die Bedrohungen im Cyberraum erkannt. Zwar wird von einem „ganzheitliche[n] Ansatz“ gesprochen, dieser aber im weiteren Kontext nicht näher definiert.

Es wird im Kontext jedoch klar, dass es um die Vertrauenswürdigkeit von Technologien geht. Der hier gezeigte Ansatz der Förderung von Produkten und Dienstleistungen mit Schwerpunkt Cybersicherheit ist jedoch nicht gänzlich sinnvoll, da es hier bereits ausreichend Produkte gibt. Eigentlich geht es um die Vertrauenswürdigkeit von Produkten und deren Herstellern und diese lässt sich am einfachsten über die Förderung oder auch Vorgaben von Open Source für Hard- und Software umsetzen. Forschungsgelder sind aber in jedem Fall sinnvoll.

Außerdem soll das BSI Prüfungmöglichkeiten bekommen um „kritische Komponenten“ und die Vertrauenswürdigkeit der Herrsteller zu prüfen. Dass „kritische Komponenten“ ein gänzlich falscher Begriff ist, haben wir bereits in unser Stellungnahme zum IT-Sicherheitsgesetz 2.0 erklärt (Seite 12).
Außerdem suggiert eine solche Prüfung der „kritischen Komponenten“ eine trügerische Sicherheit, denn um kritische Systeme sicher zu betreiben, müssen diese im Ganzen betrachtet werden und nicht komponentenweise. Das Zusammenspiel aller relevanten Komponenten in der Architektur ist wesentlich für die Versorgung.

8. Krisenfeste Kommunikationsfähigkeit schaffen und Sicherheit der Netze ausbauen

Die Digitalisierung der öffentlichen Verwaltung benötigt noch vor einer Kommunikationsplattform den Willen und die Akzeptanz, dass sich Digitalisierung nicht über das Copy & Paste analoger Verfahren in die digitale Welt lösen lässt.

Für die Nutzung und den Ausbau digitaler Angebote der öffentlichen Verwaltung wäre vor allem ein flächendeckender Netzausbau von Vorteil, in dessen Rahmen am Besten auch eine resiliente Fallback-Infrastruktur für Katastrophenfälle etabliert werden sollte. Diese Infrastruktur scheint diesem Kapitel nach noch nicht zu existieren, obwohl sie das sogar nach Vorgabe auf Europäischer Ebene sollte.

Vom flächendeckenden Netzausbau würden neben der Verwaltung auch die Nutzer:innen und nicht-KRITIS Institutionen wie z.B. Schulen profitieren.

Es besteht der dringende Bedarf, den Digitalfunk BOS erst einmal bundesweit einzusetzen.
Denn heute noch nutzen Rettungsdienst und Feuerwehr in weiten Teilen einiger Bundesländern immer noch den nicht abhörsicheren Analogfunk auf dem technischen Stand der 1970er Jahre.
Hier ist eine bundesweite Migrationpflicht aller BOS ins Digitalfunknetz unabdingbar.

Die Sicherheit und Hochverfügbarkeit des Digitalfunks BOS liegt aktuell im Verantwortungsbereich der Bundesländer.
Diese entscheiden selber, wie resilient das Digitalfunknetz in ihrem Bundesland hinsichtlich Stromausfällen und Ausfällen von Übertragungsleitungen (angemietete Erdkabel, eigener Richtfunk) implementiert wird oder eben nicht.
Ein bundesweit einheitlicher Resilienzstandard für den Digitalfunk BOS muss zwingend definiert und konsequent umgesetzt werden.

Unser Fazit

Das abschließende Fazit zur „neuen“ Cybersicherheitsagenda der SPD-Innenministerin Faeser fällt bestenfalls ernüchternd und schlechtestensfalls grob fahrlässig aus. Wieder einmal werden große Vorhaben (Zentralstelle BSI, BISP oder ZCAS) formuliert, die aber an der inhaltlichen, fachlichen und rechtlichen Substanz scheitern. Anstatt auf vorhandene Konzepte zu setzen und Versäumnisse der Vorgängerregierung abzustellen, legte uns die Ministerin Faeser und ihr Haus eine Agenda vor mit der eine Zeitenwende in der deutschen Cybersicherheitspolitik nicht gelingen kann.

 

Strategielose Cybersicherheit für Deutschland

/in , /von

Matthias Schulze geht in seinem äußerst gelungen Perceptic0n Podcast Folge 28 [Deutschlands Cybersicherheitsstrategie 2021, Kommentar zum Entwurf] Schritt für Schritt den Entwurf der Cybersicherheitsstrategie 2021 durch und weist fundiert und mit vielen Hintergrundinformationen auf die Probleme dieser und weiterer Strategien in der deutschen Digitalpolitik hin. Die Inhalte aus dieser Folge greifen wir hier auf und ergänzen sie.

Das Bundesministerium für Inneres, Bau und Heimat (BMI) hat vor Ende der Legislaturperiode einen Entwurf für die dritte Cybersicherheitsstrategie in Deutschland vorgelegt. Die erste Version stammt aus dem Jahr 2011. Operatives Abwehren von Angriffen war damals noch nicht enthalten. Im Jahr 2016 erschien die zweite Version, die die Wende von einer defensiven hin zu einer offensiven Cybersicherheitsstrategie markierte und unter anderem eine Liste von Kompetenzwünschen der Behörden enthielt. Der Entwurf von 2021 setzt dieses Vorgehen weiter fort.

In der deutschen Digitalpolitik gibt es z.B. auch eine KI-Strategie und eine Blockchain-Strategie – der Strategie-Begriff wird inflationär und falsch verwendet.

Der Strategie Begriff

Laut Richard Rummelts Buch „Good Strategy. Bad Strategy“ ist eine Strategie im Wesentlichen eine kohärente Reaktion auf ein wichtiges Problem.

Eine gute Strategie besteht laut Rummels dabei aus drei Dingen

  1. Einer umfassenden Diagnose des Problems welches es zu lösen gilt
  2. Einer „Guiding Policy“ welche die grobe Marschrichtung zur Lösung des Problems vorgibt und die am besten nur aus einem Schlagwort besteht, das man sich gut merken kann
  3. Eine Reihe von kohärenten Maßnahmen und „Ressource Commitments“ um die Guiding Policy zu befolgen

Es geht um Maßnahmen, das Bereitstellen von Mitteln (Geld) und um eine Priorisierung der Maßnahmen.

Wichtig ist, dass diese Dinge logisch aufeinander aufbauen und sich nicht widersprechen. Zielkonflikte sind immer ein Zeichen für eine schlechte Strategie. Ein weiterer klassischer Fehler, der in Strategien häufig zu finden ist, ist eine Strategie mit dem Definieren von Zielen zu verwechseln. Eine schlechte Strategie hat viele Ziele aber wenig handfeste definierte Aktionen und Handlungen die nötig sind, um diese Ziele zu erreichen. Eine gute Strategie hingegen hat klar erreichbare Ziele und definiert auch unter welchen Bedingungen die Ziele erreicht sind. Man spricht hier auch von „Smarten Zielen“, wenn klar definiert ist welches die Indikatoren sind, um die Erreichbarkeit der Ziele zu messen.

Die Cybersicherheitsstrategie 2021

Die Diagnose des Problems sollte in Kapitel 5 des Entwurfs der Cybersicherheitsstrategie 2021 zu finden sein. Hier stand aber nur „Noch in Bearbeitung“. Da man doch vom Problem kommen sollte, wenn man es lösen will, ist das kein gutes Zeichen, auch wenn es sich nur um den Entwurf handelt. Im Rückblick auf das Vorgehen bei der Erstellung der letzten Cybersicherheitsstrategie 2016 und bei der bisherigen falschen Verwendung des Strategiebegriffs sowie den Inhalten dieses Entwurfs ist davon auszugehen, das dieses Kapitel 5 in der finalen Version mit Inhalten gefüllt wurde, die zu den bestehenden Zielen und Lösungen passen. Es werden also Probleme zu einer Lösung gesucht oder konstruiert.

Die Strategie hat nicht eine Guiding Policy, sondern vier. Und zwar:

  1. Cybersicherheit als eine gemeinsame Aufgabe von Staat, Wirtschaft, Wissenschaft und Gesellschaft etablieren
  2. Digitale Souveränität von Staat, Wirtschaft, Wissenschaft und Gesellschaft stärken
  3. Digitalisierung sicher gestalten
  4. Ziele messbar und transparent ausgestalten

Eine klare Marschrichtung ist hier nur bedingt erkennbar, es handelt sich bei diesen Leitlinien eher um offensichtliche Ziele und Erläuterungen. Schön ist, dass auf Kritik aus der Vergangenheit eingegangen wird und man versucht, die Cybersicherheitsstrategie messbar zu gestalten. Dennoch liegt hier eine Verwechselung vor, denn diese Leitlinien sind eben keine Guiding Policy zum Cybersicherheits-Problem.

Abgeleitete Maßnahmen

Die aus diesen Leitlinien abgeleiteten Maßnahmen sind in vier Handlungsfelder unterteilt:

  1. Sicheres und selbstbestimmtes Handeln in einer digitalisierten Umgebung
  2. Gemeinsamer Auftrag von Staat und Wirtschaft
  3. Leistungsfähige und nachhaltige gesamtstaatliche Cybersicherheitsarchitektur und
  4. Aktive Positionierung Deutschlands in der europäischen und internationalen Cybersicherheitspolitik

Handlungsfeld 1 – Sicheres und selbstbestimmtes Handeln in einer digitalisierten Umgebung

Ein Beispiel aus dem ersten Handlungsfeld ist „Die digitale Kompetenz bei allen Anwenderinnen und Anwendern fördern.“ Hierbei wird digitale Kompetenz jedoch nicht definiert. Daher wird nicht klar, was gemeint ist und wie die digitale Kompetenz erreicht werden soll. Es steht dort zwar, dass die Maßnahme Forschungsförderung ist. Aber auch wenn das natürlich sinnvoll klingt, handelt es sich eben nicht um eine Maßnahme die auf Anwender:innen fokussiert. Ein Fach „Digitale Bildung“ an Schulen wäre hier sinnvoller weil zielgerichteter. Fachkräftemangel als Teil der Problemdiagnose wird nicht genannt – da die ja auch noch in Bearbeitung ist.

In diesem Zusammenhang ist selbst ohne Problemdiagnose unverständlich, warum das in der Cybersicherheitsstrategie 2016 enthaltene Ziel „Personal gewinnen und entwickeln“ gestrichen wurde. Stattdessen wurde in den Entwurf 2021 nur ein Ziel zur Personal-Kapazität des BSI aufgenommen. Der für resiliente Infrastruktur erforderliche Personalbedarf der Länder und Kommunen wird ignoriert. Ebensowenig wird die Frage berücksichtigt, wie sich ausreichend qualifizierte Cybersecurity-Experten für Behörden-Tätigkeiten gewinnen und halten lassen können.

Die Maßnahmen „Verantwortungsvoller Umgang mit Schwachstellen – Coordinated Vulnerability Disclosure fördern“ und „Verschlüsselung als Voraussetzung eines souveränen und selbstbestimmten Handelns flächendeckend einsetzen“ sind grundsätzlich sinnvoll.

Handlungsfeld 2 – Gemeinsamer Auftrag von Staat und Wirtschaft

Im zweiten Handlungsfeld „Gemeinsamer Auftrag von Staat und Wirtschaft“ sind besonders viele Buzzwords enthalten, es fehlen konkrete Ziele und Maßnahmen.

Handlungsfeld 3 – Leistungsfähige und nachhaltige gesamtstaatliche Cybersicherheitsarchitektur

Und im dritten Handlungsfeld „Leistungsfähige und nachhaltige gesamtstaatliche Cybersicherheitsarchitektur“ wird es besonders spannend: Hier wird systematisch IT-Sicherheit mit Nationaler Sicherheit verwechselt. Nachrichtendienste und nationale Sicherheitsbehörden haben hier offensichtlich ihre Wunschlisten nach neuen Fähigkeiten platziert. Und das steht zum Teil im Wiederspruch zu den vorherigen Maßnahmen. Es ist nicht klar, inwiefern die hier geforderten Maßnahmen der IT-Sicherheit dienlich sind.

Die erste Maßnahme aus dem dritten Handlungsfeld „Die Möglichkeiten des Bundes zur Gefahrenabwehr bei Cyberangriffen verbessern“ beinhaltet eine Grundgesetz-Änderung. Gefahrenabwehr ist das aktive Reagieren auf Cyberangriffe, damit der Bund bei besonders schweren Cyberangriffen zurückschlagen darf. Nicht nur Cyberangriffe sondern auch deren Rückschläge benötigen offene Schwachstellen, womit die vorherige Maßnahme „Verantwortungsvoller Umgang mit Schwachstellen – Coordinated Vulnerability Disclosure fördern“ konterkariert wird. Hier ist auch in Frage zu stellen, warum die Cybersicherheits-Strategie in vielen Aspekten sehr vage bleibt, während Maßnahmen wie eine Grundgesetz-Änderung sehr detailliert formuliert werden.

Dann folgen einer Reihe grundsätzlich guter Maßnahmen bevor es mit „Strafverfolgung im Cyberraum intensivieren“ wieder zu einem Griff in den Giftschrank kommt. Hier geht es um die Erweiterung der Befugnisse für Sicherheitsbehörden und die Kriminalisierung von Hackern. Bei „Den verantwortungsvollen Umgang mit 0-day-Schwachstellen und Exploits fördern“ wollen Nachrichtendienste IT-Sicherheitslücken ausnutzen um fremde Systeme zu hacken. Hierfür möchte die Regierung einen Abwägungsprozess etablieren, der das Vertrauen in das Bundesamt für Sicherheit in der Informationstechnik (BSI) schwächen könnte.

Eine weitere Maßnahme aus dem dritten Handlungsfeld ist „Sicherheit durch Verschlüsselung und Sicherheit trotz Verschlüsselung gewährleisten“. Es ist Konsens bei Kryptographie-Experten, dass diese Maßnahme in direktem Konflikt zur Maßnahme „Verschlüsselung als Voraussetzung eines souveränen und selbstbestimmten Handelns flächendeckend einsetzen“ steht.

Die Exploit entwickelnde Hackerbehörde Zentrale Stelle für Informationstechnik im Sicherheitsbereich (ZITiS) soll weiter ausgebaut werden, was alleine schon aufgrund der unklaren Rechtsgrundlage der Behörde zu kritisieren ist. Unklar ist darüber hinaus, woran bzw. wie die Exploits der ZITiS getestet werden. Auch der Bundesnachrichtendienst (BND) soll gestärkt werden, ohne das hierzu genaue Angaben gemacht werden.

Bei der Maßnahme „Das Telekommunikations- und Telemedienrecht und die Fachgesetze an den technologischen Fortschritt anpassen“ soll der Bundestrojaner und die Rechtsgrundlagen für dieses Instrument erweitern werden.

Handlungsfeld 4 – Aktive Positionierung Deutschlands in der europäischen und internationalen Cybersicherheitspolitik

Das vierte und letzte Handlungsfeld beinhaltet die Ziele für eine aktive europäische und internationale Cybersicherheitspolitik und bleibt dabei sehr vage. Was hier fehlt, ist die kohärente Cybersicherheits-Innen- und Außen-Politik. Wie die Cybersicherheitsstrategie evaluiert werden soll, steht ebenso wenig im Entwurf wie die umfassende Diagnose des Problems.

Fazit

Eine gute Strategie zu erstellen ist sehr schwer, daher kommt es vielfach zu eben diesen Listen von Zielen. In diesem Entwurf ist sehr deutlich zu erkennen, dass die verschiedenen Ministerien Texte hinzugeliefert und im Wesentlichen aufgeschrieben haben, was sie gerne haben wollen. Da wo das Bundesamt für Sicherheit in der Informationstechnik (BSI) verantwortlich war, geht es am ehesten um IT-Sicherheit und da wo die Sicherheitsbehörden Inhalte geliefert haben, geht es fast nur um neue Befugnisse. Die Problemdiagnose fehlt, die Guiding Policy ist nicht griffig und es gibt widersprüchliche Ziele.

Nicht in der Strategie enthaltene, aber erwartete Ziele, sind zum Beispiel das Beheben von Schwachstellen an der Quelle, also „Herstellerhaftung für Software“ sowie „Einheitliches Vorgehen gegen Ransomware-Angriffe“ und die „Verfolgung von Finanzströmen“. Wie gewährleisten wir die Funktion von Wirtschaft und der Regierung bei einem Angriff, der die Energieversorgung terminiert? Wo ist die OpenSource-Policy die uns helfen könnte Digital Souverän zu werden?

Die auf dieser Basis veröffentlichte Cybersicherheitsstrategie für Deutschland 2021 lässt erahnen, welche Digitalkompetenzen bei der Erstellung vorhanden waren, worum es den Erstellern ging und welche Prioritäten dabei an den Tag gelegt wurden.