Sorgfaltsverantwortung im Cyberraum - Annegret Bendiek SWP-Studie - Stiftung Wissenschaft ...
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
SWP-Studie
Stiftung Wissenschaft und Politik
Deutsches Institut für Internationale
Politik und Sicherheit
Annegret Bendiek
Sorgfaltsverantwortung
im Cyberraum
Leitlinien für eine deutsche Cyber-Außen- und
Sicherheitspolitik
S3
März 2016
BerlinAlle Rechte vorbehalten. Abdruck oder vergleichbare Verwendung von Arbeiten der Stiftung Wissenschaft und Politik ist auch in Aus- zügen nur mit vorheriger schriftlicher Genehmigung gestattet. SWP-Studien unterliegen einem Begutachtungsverfah- ren durch Fachkolleginnen und -kollegen und durch die Institutsleitung (peer review). Sie geben die Auffassung der Autoren und Autorinnen wieder. © Stiftung Wissenschaft und Politik, Berlin, 2016 SWP Stiftung Wissenschaft und Politik Deutsches Institut für Internationale Politik und Sicherheit Ludwigkirchplatz 34 10719 Berlin Telefon +49 30 880 07-0 Fax +49 30 880 07-100 www.swp-berlin.org swp@swp-berlin.org ISSN 1611-6372
Inhalt
5 Problemstellung und Empfehlungen
7 Sorgfaltsverantwortung als Leitidee
11 Sorgfaltsverantwortung in der
institutionellen Praxis
11 Institutionelle Strukturen
15 Digitale Industriepolitik und die Bedeutung
privater Akteure
19 Cyberpolitiken im Zeichen der
Sorgfaltsverantwortung
19 Menschenrechte und Datenschutz
23 Internet Governance
24 Cyberkriminalitätsbekämpfung
27 Cyberverteidigung
29 Internationale Normenentwicklung
32 Sorgfaltsverantwortung (noch besser)
implementieren
34 AbkürzungsverzeichnisDr. Annegret Bendiek ist Wissenschaftlerin in der Forschungsgruppe EU/Europa Diese Studie ist aus dem Projekt »Die Herausforderung der Digitalisierung für die deutsche Außen- und Sicherheitspolitik« hervorgegangen, das aus Mitteln des Planungsstabes des Auswärtigen Amtes unterstützt wurde.
Problemstellung und Empfehlungen
Sorgfaltsverantwortung im Cyberraum
Leitlinien für eine deutsche Cyber-Außen- und
Sicherheitspolitik
Der globale Cyberraum ist in fundamentalem Wandel
begriffen. Von einer »Fragmentierung des Internets« ist
inzwischen häufig die Rede, doch in vielen europäi-
schen und internationalen Arbeitsgruppen wächst das
Bewusstsein dafür, dass »ein freies, offenes und gleich-
zeitig sicheres Internet« ein globales öffentliches Gut
ist. Um dieses zu schaffen und zu bewahren, bedarf es
global konzertierten Handelns auf Basis einer gemein-
samen Norm, die wechselseitige Verantwortung für
einen sorgfältigen Umgang mit einzelstaatlichen Regel-
setzungsprozessen verlangt. Dies entspricht der noch
gültigen deutschen Cybersicherheitsstrategie von
2011 sowie der EU-Cybersicherheitsstrategie von 2013,
die zivile, polizeiliche und militärisch-defensive An-
sätze vorsehen, um Systeme und Infrastrukturen der
Informationstechnik (IT) zu schützen.
Allerdings plädieren auch immer mehr politische
Stimmen für eine Renationalisierung politischer Regel-
setzung und digitale Souveränität. Die Politik muss
sich der Realität stellen, dass der Cyberraum vermehrt
zum Operationsfeld des Militärs wird. Das wird auch im
neuen Weißbuch der Bundesregierung sowie der künf-
tigen Cyberverteidigung von Nato und EU zum Aus-
druck kommen, also in den sicherheitspolitischen Leit-
linien Deutschlands und Europas sowie im Verteidi-
gungsauftrag und in der Rüstungsbeschaffungspolitik.
Deutsche und europäische Politik sollte sich ressort-
übergreifend stärker an der Norm der »Sorgfaltsverant-
wortung« im Cyberraum orientieren, um ihr inter-
national mehr Geltung zu verschaffen. Sorgfaltsverant-
wortung baut auf der internationalen Rechtsnorm von
Due-Diligence-Pflichten auf. Das bedeutet, alles Not-
wendige dafür zu tun, dass von eigenem Territorium
aus keine Rechte von Dritten beeinträchtigt werden.
In der Organisation für wirtschaftliche Zusammen-
arbeit und Entwicklung (OECD) etwa stößt Due Dili-
gence auf weitgehende Zustimmung und bietet sich
als normative Basis einer globalen Cyberordnung an.
Die politische Regelsetzung der Cyber-Außen- und
Sicherheitspolitik wird den technologischen Entwick-
lungen immer hinterherhinken. Umso wichtiger ist
es, dass diese einer übergeordneten Norm unterworfen
werden. Daraus ergeben sich drei unabdingbare An-
forderungen an die Politik:
SWP Berlin
Sorgfaltsverantwortung im Cyberraum
März 2016
5Problemstellung und Empfehlungen
Europäische Zusammenarbeit: Einbindung natio- die Idee eines weltweit freien und offenen Internets
naler Politiken in den europäischen Rahmen, nicht den zunehmenden Sicherheitserwägungen von
Inklusivität: breite, offen zugängliche Repräsenta- Regierungen zum Opfer fällt. In der Internet Gover-
tion unterschiedlicher Interessengruppen in der nance kommt es deshalb wesentlich darauf an, einen
Politikformulierung, inklusiv verstandenen Multistakeholder-Ansatz zu
Zivilität: Vorrang der zivilen gegenüber der militä- verstetigen und das intergouvernementale Prinzip
rischen Komponente. zurückzuweisen. Die Erfahrung mit dem WSIS-Prozess
Europäische Zusammenarbeit: Sorgfaltsverantwortung der letzten zehn Jahre hat die Grenzen einer inter-
verlangt, dass Staaten sich nicht nur untereinander, gouvernementalen Entscheidungsfindung sichtbar
sondern auch bei der innerstaatlichen Regulierung gemacht. Zudem wäre es wichtig, die Norm der Sorg-
verantwortungsvoll verhalten. Das sieht schon die faltsverantwortung für alle Stakeholder verbindlich
Cybersicherheitsstrategie der EU von 2013 vor. In der zu machen, also für die privaten Nutzer, die Zugangs-
Umsetzung der Richtlinie für Netzwerk- und Informa- netzbetreiber und die Transportnetz- und Internet-
tionssicherheit (NIS) müssen alle EU-Staaten Mindest- knotenbetreiber. Langfristig sollten schiedsgericht-
standards und Meldepflichten in der IT-Sicherheit liche Institutionen darüber wachen, dass die Sorgfalts-
einführen; Betreiber kritischer Infrastruktur müssen verantwortung hinreichend beachtet wird.
bei der Cyberkriminalitätsbekämpfung mitwirken. Zivilität: Initiativen wie eine nationale Strategie zum
Beim Aufbau des digitalen Binnenmarkts sind natio- Wirtschaftsschutz setzen auf defensive Cyberabwehr.
nale Regelungen in Privatrecht (Datenschutz), Wirt- Die Strategische Leitlinie der Bundesregierung deutet
schaftsrecht (Internet Governance) und Wettbewerbs- aber darauf hin, dass diese zusätzliche Verteidigungs-
recht (Binnenmarkt) so zu fassen, dass zwischenstaat- kapazitäten zur Reaktion auf Cyberangriffe aufbauen
lichen Verantwortungspflichten Genüge getan wird. will. Von einer Entwicklung hin zur offensiven Cyber-
Um diesen Prozess zu beschleunigen, empfiehlt es verteidigung wäre jedoch abzuraten. Nicht nur stünde
sich, die angekündigte globale EU-Strategie für den sie in offenem Kontrast zur Idee der Sorgfaltsverant-
Cyberraum rasch zu verabschieden. Nato- und EU- wortung der Cyberdiplomatie. Weil Cyberangriffe nur
Staaten sind sich weitgehend einig, dass Staaten für schlecht eindeutig zuzuordnen sind und Vergeltungs-
ihr Verhalten im Cyberraum verantwortlich sind. Bei angriffe schwerwiegende unbeabsichtigte Schäden
all diesen Fragen gibt es eine enge Absprache unter verursachen können, besteht überdies die Gefahr der
den »Großen Drei« Europas sowie mit der Gruppe Konfliktverschärfung und der Proliferation von Cyber-
westlicher Gleichgesinnter. Für die kommende fünfte waffen. Die Attacke auf den Bundestag im Juni 2015
Runde der Verhandlungen in der Gruppe der Regie- hat vor Augen geführt, wie wichtig es ist, unbeirrt auf
rungsexperten (Group of Governmental Experts, GGE) den Aufbau resilienter Strukturen zu setzen. Die Erklä-
auf Ebene der Vereinten Nationen (VN) spricht vieles rung von Souveränitätsverletzungen, der Rückgriff
dafür, dass die darin vertretenen europäischen und auf die Bündnissolidarität der Nato sowie die Cyber-
westlichen Staaten mittelfristig die Cyberkriminalitäts- Kriegserklärung der USA an den »Islamischen Staat«
bekämpfung stark machen, indem sie ihr materielles können nur als letzte Mittel der Politik verstanden
Strafrecht anpassen und zur Abschreckung nutzen. werden. Um eine resilienzbasierte Strategie abzustüt-
Minimalbedingungen für die globale Cybersicherheit zen, sind zusätzliche Mittel nötig: für die Hochsicher-
sind die Anerkennung der Budapester Konvention zur heitstechnologie, für die Entwicklung digitaler Foren-
Cyberkriminalitätsbekämpfung sowie kontinuierliche sik und für umfangreiche Maßnahmen zur Schärfung
vertrauens- und sicherheitsbildende Maßnahmen des Problembewusstseins (Awareness) in der Fort-
(VSBM). bildung des öffentlichen Dienstes, der Wirtschaft
Inklusivität: Beim VN-Gipfel im Dezember 2015, sowie in Bildung und Forschung. Zu intensivieren sind
Bestandteil des WSIS-Folgeprozesses (World Summit vertrauensbildende Maßnahmen in der Organisation
on the Information Society), stellte sich heraus, dass für Sicherheit und Zusammenarbeit in Europa (OSZE)
eine kurzfristige globale Einigung auf eine verbind- und der GGE. Nur auf dieser Basis ist es realistisch,
liche Interpretation der Sorgfaltsverantwortung un- bilaterale Abstimmungen wie zuletzt zwischen den
wahrscheinlich ist. Daher bietet die im Dezember 2015 USA und China zur Cyberkriminalitätsbekämpfung zu
beschlossene Fortsetzung des Internet Governance erzielen, um die Kooperation bei Aufklärung und
Forum, also die Weiterverfolgung des Multistakeholder- Verfolgung grenzüberschreitender digitaler Straftaten
Ansatzes, weiterhin noch am ehesten die Gewähr, dass zu verbessern und rechtsfreie Räume zu beseitigen.
SWP Berlin
Sorgfaltsverantwortung im Cyberraum
März 2016
6Sorgfaltsverantwortung als Leitidee
Sorgfaltsverantwortung als Leitidee
»Die Außen- und Sicherheitspolitik eines Staates dann zu verhindern sein, wenn die Staatengemein-
kann nur in dem Maße erfolgreich sein, in dem es schaft einschließlich aller Stakeholder im Internet 5
gelingt, mit ›einer Stimme zu sprechen‹ und das, sich auf gemeinsame Verhaltensmaßstäbe einigt und
was man ›nationale Interessen‹ nennt, klar zu kom- Regelungen akzeptiert, die diese Maßstäbe verbindlich
munizieren und konsequent zu vertreten. Das heißt, machen. Cybersicherheit ist demnach »der anzustre-
dass einmal getroffene Entscheidungen innerhalb bende Zustand der IT-Sicherheitslage, in welchem die
der Exekutive in gleicher Weise verstanden und Risiken des globalen Cyber-Raums auf ein tragbares
umgesetzt werden müssen. Es heißt aber auch, dass Maß reduziert sind«. 6
überhaupt Entscheidungen getroffen werden und Die Bundesregierung, die Mitgliedstaaten der EU
dass sich Stellen der Regierung verantwortlich füh- und die Union selbst folgen prinzipiell der Idee von
len, ein bestimmtes Problem anzugehen. Wo keine »Due Diligence« 7 bei der Umsetzung ihrer Cybersicher-
klaren Zuständigkeiten herrschen, werden Probleme heitsstrategien. 8 Diese Norm verpflichtet Staaten, in
oft weitergereicht und es findet eine Art ›Verantwor- Friedenszeiten dafür zu sorgen, dass von ihrem Territo-
tungsdiffusion‹ statt. Die Folge ist, dass Probleme
nicht oder zu spät erkannt werden und hohe –
heißt es: »Der Cyber-Raum ist der virtuelle Raum aller auf
finanzielle und politische – Kosten entstehen.« 1 Datenebene vernetzten IT-Systeme im globalen Maßstab.
Dem Cyber-Raum liegt als universelles und öffentlich zugäng-
Die europäische und die deutsche Cyberdiplomatie liches Verbindungs- und Transportnetz das Internet zugrun-
zielen darauf ab, ein »offenes, freies und sicheres, glo- de, welches durch beliebige andere Datennetze ergänzt und
erweitert werden kann. IT-Systeme in einem isolierten virtu-
bales Internet als Raum der Meinungsvielfalt, Teilhabe,
ellen Raum sind kein Teil des Cyber-Raums.« Bundesministe-
Innovation und als Motor für Wirtschaftswachstum rium des Innern (Hg.), Cyber-Sicherheitsstrategie für Deutschland,
und Arbeit [zu] schützen und weiter aus[zu]bauen«. 2 Berlin 2011, S. 14, .
aller wichtigen Staaten, Unternehmen, Wissenschafts- 5 »Das Internet ist ein weltweiter Verbund öffentlich erreich-
barer Netze. Die Netze werden unabhängig voneinander
vertreter und der Zivilgesellschaft nötig ist. 3 Regionale
betrieben, nutzen aber einen gemeinsamen Adressraum und
Fragmentierung, Gefährdungen durch Kriminalität standardisierte gemeinsame ›Sprachen‹, sogenannte Über-
und eine Militarisierung des Cyberraums 4 werden nur tragungsprotokolle, um die gegenseitige Erreichbarkeit
sicherzustellen. Insbesondere das Internet Protocol (Internet-
1 Christopher Daase, Innenpolitische Voraussetzungen erfolgreicher protokoll, kurz IP) hat eine zentrale Rolle. Das Internet
Cyber-Außen- und Sicherheitspolitik, Vortrag beim CyberLab der ermöglicht den Transport beliebiger Daten.« Jens Tiemann/
Stiftung Wissenschaft und Politik (SWP), Berlin, 8.9.2015. Gabriele Goldacker, Vernetzung als Infrastruktur – Ein Internet-
2 Die Bundesregierung, Europäische und internationale Dimension Modell, Berlin: Kompetenzzentrum Öffentliche Informations-
der Digitalen Agenda, (Zugriff am 5.2.2016).
3 Wesentliche Anregungen für diese Pilotstudie beruhen 6 Bundesministerium des Innern (Hg.), Cyber-Sicherheitsstrategie
auf Arbeitsgruppenergebnissen zweier Veranstaltungen, den für Deutschland [wie Fn. 4], S. 15; Hans-Jürgen Lange/ Astrid
SWP-CyberLabs mit rund 60 Teilnehmern in den Räumen der Bötticher (Hg.), Cyber-Sicherheit, Wiesbaden: Springer VS, 2015.
Stiftung Wissenschaft und Politik in Berlin (8.9.2015) und der 7 Das Due-Diligence-Prinzip geht auf ein Urteil des Internatio-
Ständigen Vertretung der Bundesrepublik Deutschland bei nalen Gerichtshofs zurück: International Court of Justice,
der Europäischen Union in Brüssel (18.11.2015). Besonderer United Kingdom of Great Britain and Northern Ireland v. Albania, The
Dank gilt Prof. Dr. Christopher Daase (Goethe-Universität, Corfu Channel Case (Merits), Judgment of April 9th, 1949, S. 4–38.
Frankfurt/Main) sowie Prof. Scott Shackelford (Indiana Uni- 8 Siehe zur Übertragung des Konzepts auf die Cybersicher-
versity, Bloomington, USA) und allen Teilnehmern der Exe- heit Scott Shackelford/Scott Russell/Andreas Kuehn, Unpacking
kutive und Legislative und anderen Stakeholdern für ihre the International Law on Cybersecurity Due Diligence: Lessons From
konstruktive Mitarbeit. the Public and Private Sectors, Bloomington: Indiana University,
4 In der Cybersicherheitsstrategie der Bundesregierung 27.8.2015 (Kelley School of Business Research Paper No. 15-64).
SWP Berlin
Sorgfaltsverantwortung im Cyberraum
März 2016
7Sorgfaltsverantwortung als Leitidee
rium keine Handlungen ausgehen, welche die Rechte »Due Diligence« wird in völkerrechtlichen Abhand-
anderer Staaten verletzen. 9 Die Bundesregierung stellt lungen meist mit dem nicht unproblematischen Be-
in ihrer Cyber-Sicherheitsstrategie den präventiven griff Sorgfaltspflicht übersetzt. 14 Dieser verweist aller-
und reaktiven Schutz der IT-Systeme und Infrastruk- dings lediglich auf Restriktionen, denen das eigene
turen sowie zivile, polizeiliche und militärisch-defen- Handeln unterliegt. Sinnvoller ist es, Due Diligence als
sive Ansätze in den Vordergrund. Zudem führt der »Sorgfaltsverantwortung« zu fassen. Der Due-Diligence-
Internationale Gerichtshof in einem Urteil aus, »dass Grundsatz gewinnt nämlich seine besondere normati-
die Verpflichtung zur Prävention eine Pflicht zur Sorg- ve Kraft aus der Idee, dass Staaten nicht nur für die
falt« ist. 10 Due-Diligence-Pflichten ermöglichen es der Einhaltung von Recht und Ordnung auf ihrem eigenen
internationalen Gemeinschaft, »Staaten für Versäum- Territorium zuständig sind, sondern auch Verantwor-
nisse bei der Absicherung ihrer Infrastruktur, für tung für die externen Auswirkungen innerstaatlicher Regelun-
pflichtwidrig unterlassenes Einschreiten oder für gen tragen. Einzelstaatliche Entscheidungen greifen
mangelnde Kooperation bei der Abwehr und Aufklä- immer häufiger über den innerstaatlichen Raum
rung von Cyberattacken völkerrechtlich zur Verant- hinaus. Deshalb müssen Staaten Sorgfalt bei solchen
wortung zu ziehen«. 11 Im Jahr 2000 hat die General- Entscheidungen walten lassen und sich gegenseitig
versammlung der Vereinten Nationen Staaten dazu Rechenschaft darüber ablegen. Was den Schutz des
aufgefordert, »[to] ensure that their laws and practice Cyberraums anbelangt, wird in dieser Studie ange-
eliminate safe havens for those who criminally misuse nommen, dass Staaten sich nicht darauf beschränken
information technologies«. 12 Diese Idee hat die Gruppe dürfen, keine unverantwortlichen Entscheidungen zu
der Regierungsexperten auf VN-Ebene (GGE), in der treffen. Zudem wird unterstellt, dass dieser Schutz
auch Deutschland vertreten ist, in ihren Abschluss- auch eine aktivierende und damit auf zwischenstaat-
bericht vom Juni 2015 aufgenommen. Alle Staaten liche Kooperation verweisende Dimension besitzt. 15
sollen demnach sicherstellen, dass ihr Hoheitsgebiet, Demnach sind Staaten verpflichtet, zusammen mit
insbesondere dort befindliche oder sonst unter ihrer anderen Staaten alles von ihnen vernünftigerweise
Kontrolle stehende Computersysteme und Infrastruk- Erwartbare zu tun, um ihren Beitrag zu einem »offe-
tur, nicht zu Angriffen auf die Infrastruktur anderer nen, freien und sicheren Internet« zu leisten.
Staaten missbraucht werden. 13 Diese Erwartung schließt ein, dass die Verfahren
der Entscheidungsfindung hohen Standards genügen.
Das heißt, verfügbare Kompetenzen sollen so weit wie
9 Michael N. Schmitt (Hg.), Tallinn Manual on the International möglich einbezogen und einseitige Interessenpolitik
Law Applicable to Cyber Warfare, New York: Cambridge Univer- soll verhindert werden. 16 Cyber-Außen- und Sicher-
sity Press, 2013; Bundesministerium des Innern (Hg.), Cyber-
heitspolitik im Sinne der Sorgfaltsverantwortung
Sicherheitsstrategie für Deutschland [wie Fn. 4], S. 12.
10 International Court of Justice, »Case Concerning Pulp schließt also die Art und Weise politischer Regulation
Mills on the River Uruguay (Argentina v. Uruguay), Judgment, notwendig ein. Die deutsche Cyber-Außen- und Sicher-
20.4.2010«, in: ICJ Reports, 79 (2010), S. 14–107. [Absatz 197]:
»[...] the obligation [...] to prevent [...] is an obligation to act 14 Zum Völkerrecht des Netzes siehe Christian Schaller,
with due diligence in respect of all activities which take place Internationale Sicherheit und Völkerrecht im Cyberspace, Berlin:
under the jurisdiction and control of each party«. Stiftung Wissenschaft und Politik, Oktober 2014 (SWP-Studie
11 Artikel 28ff der Artikelentwürfe der Völkerrechtskommis- 18/2014).
sion der Vereinten Nationen zur Staatenverantwortlichkeit: 15 Als Vorbild kann die Kooperation von IT-Notfallteams
International Law Commission, »Responsibility of States for (Computer Emergency Response Team, CERT) im Projekt
Internationally Wrongful Acts«, in: Yearbook of the International CyberGreen (www.cybergreen.net) dienen. Hier arbeiten
Law Commission, Bd. II, Teil 2, New York/Genf 2001, S. 26–143; CERTs aus Staaten der Pazifikregion, auch aus Japan und
veröffentlicht auch als Anhang zu United Nations General China, zusammen, um für einen »grünen Cyberraum« zu
Assembly, Responsibility of States for Internationally Wrongful Acts, sorgen. Ihr Selbstverständnis ist zwar strikt technisch, aber
Resolution 56/83, New York, 12.12.2001. mit der Idee, gemeinsam Schwachstellen wie Schadsoftware
12 United Nations General Assembly, Combating the Criminal oder anfällige Netzwerke zu identifizieren und zu bereinigen.
Misuse of Information Technologies, Resolution 55/63, New York, 16 Ein Beispiel hierfür ist die Debatte um die Verschlüsse-
4.12.2000, (Zugriff am 30.11.2015). Sicherheitsbehörden auf der einen und Wirtschaftsvertretern
13 United Nations General Assembly, Report of the Group of auf der anderen Seite. Siehe hierzu auch Berklett Cybersecu-
Governmental Experts on Developments in the Field of Information rity Project (Hg.), Don’t Panic: Making Progress on the »Going Dark«
and Telecommunications in the Context of International Security, Debate, Cambridge: Berkman Center for Internet and Society
A/70/174, New York, Juni 2015. at Harvard, Februar 2016.
SWP Berlin
Sorgfaltsverantwortung im Cyberraum
März 2016
8Sorgfaltsverantwortung als Leitidee
heitspolitik ist demzufolge europäisch zu koordinie- dass Beratungen vertraulich zu bleiben haben.
ren, zu militärischer Zurückhaltung verpflichtet sowie Zudem dominiert hier fast zwangsläufig das Exper-
in inklusive und transparente Regelsetzungsprozesse tenwissen großer Konzerne, so dass zivilgesell-
einzubinden. 17 schaftliche Interessenvertreter und Parlamentarier
Zur Sorgfaltsverantwortung gehört, dass Regel-
18 es außerordentlich schwer haben, als kompetente
setzungsprozesse ein hohes Maß an Repräsentativi- Gesprächspartner anerkannt zu werden. Darum
tät und Inklusivität sowie Transparenz aufweisen sind besondere Anstrengungen nötig, um einseitige
müssen, denn »auf Dauer lässt sich in Demokratien Interessenrepräsentanz und Instrumentalisierung
keine Politik gegen den Willen der Mehrheit und der Politik durch die Wirtschaft zu verhindern. 21
nicht einmal gegen den Widerstand substantieller Eine Maxime des deutschen außenpolitischen
Teile der Minderheit durchsetzen. Gerade in Krisen- Selbstverständnisses lautet, Regelsetzungen möglichst
zeiten ist der so genannte rally-effect ein unver- präzise mit den wichtigsten europäischen Partnern
zichtbares Element demokratischer Resilienz.« 19 abzustimmen. 22 Wie die Außen- und Sicherheitspolitik
Die Inklusivität von Rechtsetzungsprozessen sollte ist auch der europäische Wirtschaftsraum durch digi-
aber dort enden, wo privatwirtschaftliche Akteure tale Technologien derart stark vernetzt, dass einzel-
beginnen, maßgeblichen Einfluss auf gesetzgebende staatliche Maßnahmen wenig Sinn ergeben.
Organe auszuüben. Gegensteuern lässt sich nur
20 Mit seiner Cyberaußenpolitik möchte Deutschland
mit transparenten und repräsentativen Verfahren, ein effektives Zusammenwirken für Cybersicherheit
die auch anderen Staaten ein Mindestmaß an in Europa und weltweit erreichen. Deutsche Maß-
Gewissheit geben, dass ihre legitimen Interessen nahmen zur Förderung eines freien und sicheren
berücksichtigt werden. Die Offenheit eines politi- Internets sollten daher immer europäisch oder trans-
schen Systems ist wiederum eine wesentliche atlantisch eingebunden sein. Kein Staat kann ernst-
Bedingung dafür, dass Staaten einander vertrauen haft beanspruchen, den globalen Cyberraum allein
können, um in OSZE oder GGE ihren individuellen zu regulieren. Deutschland wird nur dann genügend
Beitrag zur Produktion des öffentlichen Gutes Verhandlungsmacht auf der globalen Bühne gewin-
»sicherer Cyberraum« zu leisten. Diese Bedingungen nen können, wenn es sich intensiv mit führenden
sind alles andere als leicht zu erfüllen. In einem Cybernationen in Europa (Frankreich, Großbritan-
technisch anspruchsvollen Bereich wie der Cyber- nien, Niederlande, Schweden, Italien, Spanien und
Außen- und Sicherheitspolitik wird häufig verlangt, Polen) abspricht und EU-Strukturen nutzt, etwa die
Gruppe der Freunde der Präsidentschaft (Friends of
17 Diese notwendigen Anforderungen beruhen auf den the Presidency Group on Cyber Issues, FoP Cyber). 23
Ergebnissen der SWP-CyberLabs 2015 (siehe Fn. 3).
Nur mit europäisch abgestimmten Regelsetzungs-
18 Zum Begriff der Verantwortung in den internationalen
Beziehungen siehe die Ergebnisse der Tagung »Politik und prozessen lässt sich verhindern, dass sich die Krisen-
Verantwortung« (Frankfurt/Main, 10.–12.2.2016), die 2017 in symptome der Integration im Zuge von Globalisie-
einem Sonderheft der Politischen Vierteljahresschrift (PVS) rung und Digitalisierung verschärfen.
erscheinen sollen. Siehe auch Christopher Daase/Julian Junk Für Deutschland ist es aus historischen Gründen
(Hg.), Internationale Schutzverantwortung – Normative Erwartungen
selbstverständlich, jeglicher Militarisierung und Ver-
und politische Praxis, Sonderheft der Friedens-Warte, 88 (2013)
1–2; Hanns W. Maull, »What German Responsibility Means«,
sicherheitlichung des Cyberraums 24 entgegenzuwirken.
in: Security and Human Rights, 26 (2015), S. 11–24.
19 Daase, Innenpolitische Voraussetzungen erfolgreicher Cyber- 21 Liz Alderman, »Terror Threats Thaw Budgets Across
Außen- und Sicherheitspolitik [wie Fn. 1]. Unter »rally-effect« ver- Europe«, in: New York Times, 31.1.2016.
steht man eine kurzfristige und weitgehende breite öffent- 22 Eine empfehlenswerte Lektüre zum außenpolitischen
liche Zustimmung zu bzw. Duldung von außergewöhnlichen Selbstverständnis Deutschland bietet Gunther Hellmann,
Maßnahmen, vor allem in Krisenzeiten. »Germany’s World. Power and Followship in a Crisis-Ridden
20 So gipfelte das Lobbying der Wirtschaftsunternehmen Europa«, in: Global Affairs, 2016 (im Erscheinen).
beim Entwurf der neuen EU-Datenschutzgrundverordnung 23 Im Jahr 2013 wurde die FoP Cyber als ständige Einrichtung
(DSGVO) darin, dass ganze Textpassagen aus Positionspapieren für drei Jahre geschaffen, um die Realisierung der europäi-
von Wirtschaftsverbänden in den Änderungsvorschlägen zum schen Cybersicherheitsstrategie zu überwachen. Die Gruppe
Legislativakt wiederzufinden waren. Patrick Beuth, »Bundes- ist innerhalb der EU zum wichtigsten Forum dafür avanciert,
regierung hofiert Lobbyisten«, in: Zeit Online, 10.3.2015, alle Cyberthemen zu diskutieren und weiterzuverfolgen.
Battle for Cyberspace, Toronto: McClelland & Stewart, 2013;
(Zugriff am 30.11.2015). Myriam Dunn Cavelty, Cyber-Security and Threat Politics. US
SWP Berlin
Sorgfaltsverantwortung im Cyberraum
März 2016
9Sorgfaltsverantwortung als Leitidee
Sorgfaltsverantwortung heißt auch, sich nicht nur an Persistent Threats, APTs 27) heraufbeschwören, mit
nationalen Interessen zu orientieren, sondern in den unkalkulierbaren Konsequenzen für verwundbare
Kategorien globaler öffentlicher Güter zu denken. kritische Infrastrukturen. Deshalb ist im Sinne der
Deshalb ist es unerlässlich, die deutsche Tradition der Sorgfaltsverantwortung eine Strategie der »Ab-
Zivilmacht 25 auch in der Cyber-Außen- und Sicher- schreckung durch Resilienz« 28 zu bevorzugen. Mit
heitspolitik fortzusetzen. dem neuen IT-Sicherheitsgesetz und der Richtlinie
Seit jeher folgt die Bundesrepublik dem Prinzip, zur Netz- und Informationssicherheit (Network and
ihre Interessen in der Regel mit ökonomischen und Information Security, NIS) gehen Deutschland und
politischen statt mit militärischen Mitteln zu ver- die EU mit gutem Beispiel voran, indem sie resilien-
folgen. Angesichts dieser Tradition wäre allenfalls te Informations- und Kommunikationsstrukturen
eine Cyber-Außen- und Sicherheitspolitik zu ver- in der kritischen Infrastruktur und Mindeststan-
antworten, die versucht, internationale Politik im dards in der IT-Sicherheit schaffen. Im Sinne der
Cyberraum zu zivilisieren. Das hieße, sozial akzep- Zivilisierung von Politik kommt der Resilienz-, der
tierte Normen möglichst zu internationalisieren, Präventions- sowie der Friedens- und Konfliktfor-
etwa in der GGE, der OSZE und anderen Regierungs- schung eine Schlüsselrolle in der Cybersicherheit zu.
organisationen und Foren, und auf diese Weise die In der Sorgfaltsverantwortung verschmelzen mate-
gewaltsame Durchsetzung von Regeln zurückzu- rielle und prozedurale Inhalte zu einer übergreifen-
drängen. Militärische Gewalt – also auch eine offen- den Norm. Cybersicherheit im Sinne der Sorgfalts-
sive Cyberverteidigung 26, die auf Abschreckung baut verantwortung schließt auch eine bestimmte Form
– wäre national nur zur Selbstverteidigung sowie politischer Regulation ein. Es gilt, »der Versicherheit-
lediglich europäisch und parlamentarisch abge- lichung des Internets und der Netzpolitik zu wider-
stimmt zu vertreten. Äußerst heikel wäre es, Cyber- stehen. Ziel sollte nicht so sehr Sicherheit in abstracto
attacken mit automatischen Gegenangriffen und sein, sondern eher Resilienz, d.h. Widerstandsfähig-
digitalen Vergeltungsschlägen zu beantworten. keit gegen Schocks, und die ist nur durch komplexe
Zum einen nämlich wirft der Versuch, Cyberangrif- gesamtgesellschaftliche Strukturen erreichbar«. 29 Der
fe eindeutig zuzuordnen, allerlei technische, recht- Cyber-Außen- und Sicherheitspolitik ist daher auch
liche und politische Fragen auf, zum anderen ver- ein weites Sicherheitsverständnis zugrunde zu legen.
ursachen Gegenangriffe gravierende Nebenfolgen. Das wiederum heißt, dass alle Beteiligten in Staat,
Offensive Cyberverteidigung würde die Gefahr eines Wissenschaft, Wirtschaft und Gesellschaft gemeinsam
digitalen Rüstungswettlaufs (etwa durch Advanced ihre Verantwortung wahrnehmen müssen, was als
Multistakeholder-Ansatz bezeichnet wird. 30
Efforts to Secure the Information Age, London: Routledge, 2008;
Myriam Dunn Cavelty, Cyber-Security and the Negative Conse- 27 APTs finden in Wellen statt. Nach der ersten Infiltrierung
quences of State Action, Vortrag anlässlich der Konferenz »The bleibt die Schadsoftware versteckt und greift in Etappen auf
Future of International Order«, in der Stiftung Wissenschaft Daten zu. Ohne effektive Abwehrtools kann es Wochen oder
und Politik, Berlin, 29.11.–1.12.2015. gar Monate dauern, bis Sicherheitslücken und Angriffe über-
25 Knut Kirste/Hanns W. Maull, »Zivilmacht und Rollen- haupt entdeckt werden. Siehe Bundesamt für Sicherheit in
theorie«, in: Zeitschrift für Internationale Beziehungen, 3 (1996) 2, der Informationstechnik, Die Lage der IT-Sicherheit in Deutschland
S. 283–312; Hanns W. Maull, »What German Responsibility 2015, Bonn, November 2015, S. 26f.
Means«, in: Security and Human Rights, 26 (2015) 1, S. 11–24. 28 Michael Rühle, »Das Prinzip Abschreckung«, in: Frankfurter
26 Offensive Strategien zielen darauf ab, »die Systeme ande- Allgemeine Zeitung, 31.3.2015. Siehe auch Annegret Bendiek/
rer Staaten anzugreifen, sie zu sabotieren, die Kontrolle über Tobias Metzger, Deterrence Theory in the Cyber-Century, Berlin:
sie zu erlangen, sie außer Kraft zu setzen oder Fehlfunktionen Stiftung Wissenschaft und Politik, Mai 2015 (SWP EU/Europe
hervorzurufen [...]«. Es kommt aber darauf an, »durch soge- Division Working Paper 2/2015).
nannte defensive Ansätze die eigenen IT-Strukturen, Kommu- 29 Daase, Innenpolitische Voraussetzungen erfolgreicher Cyber-
nikations- und Waffensysteme zu sichern und aufrechtzuer- Außen- und Sicherheitspolitik [wie Fn. 1].
halten und sie vor Einwirkungen und Angriffen zu schützen.« 30 Das Multistakeholder-Modell wurde auf der Weltkonferenz
Deutscher Bundestag, Kleine Anfrage der Abgeordneten Dr. Alexan- zur Informationsgesellschaft (WSIS II) in Tunis 2005 als Basis
der Neu u.a.: Krieg im »Cyber-Raum« – offensive und defensive Cyber- der Internet Governance festgelegt. Während des VN-Gipfels,
strategie des Bundesministeriums der Verteidigung, Drucksache der im Dezember 2015 im Zuge des WSIS-Folgeprozesses
18/6496, Berlin, 16.10.2015. Zur Klassifizierung siehe auch stattfand, wurde darüber gestritten, inwiefern das beim Inter-
Robert S. Dewar, The »Triptych of Cyber Security«. A Classification of net Governance Forum (IGF) und bei der Internet Corporation
Active Cyber Defence, Beitrag zur 6th International Conference for Assigned Names and Numbers (ICANN) erfolgreich prakti-
on Cyber Conflict, Tallinn, 3.–6.6.2014. zierte Modell weiter ausgestaltet werden kann.
SWP Berlin
Sorgfaltsverantwortung im Cyberraum
März 2016
10Institutionelle Strukturen
Sorgfaltsverantwortung in der institutionellen Praxis
Die deutsche Politik trägt der Norm der Sorgfaltsver- nachgeordnet. Auch ist das BSI für die operative
antwortung ansatzweise schon heute Rechnung, doch Abwehr von Angriffen auf die IT-Infrastruktur des
diese ist institutionell noch nicht ausreichend ver- Bundes verantwortlich. Dafür steht ihm ein IT-
ankert. Aus diesem Blickwinkel sind Kohärenz und Notfallteam (CERT-Bund) zur Verfügung. Das Bundes-
inhaltliche Konsistenz der deutschen Cyber-Außen- amt erfüllt den gesetzlichen Auftrag als »zentrale
und Sicherheitspolitik auf den Prüfstand zu stellen. Meldestelle für die Sicherheit in der Informations-
Deren aktuelle institutionelle Struktur spiegelt wider, technik des Bundes«, zuständig für die »Abwehr von
dass bereits ein weiter Weg bei der Umsetzung der Schadprogrammen und Gefahren für die Kommu-
Sorgfaltsverantwortung gegangen wurde. Die zustän- nikationstechnik des Bundes«, für die »Vorgabe von
digen Behörden sind mittlerweile eng verflochten, Sicherheitsstandards« sowie für Zertifizierungen. 34
aber klar ist auch, dass im Hinblick auf europäische Wegen der hohen Qualität des BSI-Standards (ISO
Zusammenarbeit, Inklusivität und Zivilität noch eini- 27001) zur Förderung zertifizierter Basisfunktionen
ges verbessert werden muss. und aufgrund anderer Empfehlungen genießt das
Bundesamt große europäische und internationale
Anerkennung. Seit Jahren betreibt es einen intensiven
Institutionelle Strukturen internationalen Erfahrungs- und Informationsaus-
tausch auf Leitungs- und Fachebene. Auf der operati-
Die Bundesregierung hat sich verpflichtet, ein mit ven Ebene ist vor allem die Kooperation mit anderen
den zuständigen staatlichen Stellen abgestimmtes IT-Notfallteams wichtig. CERT-Bund ist Teil des inter-
und vollständiges Instrumentarium für die Abwehr disziplinär ausgerichteten Warn- und Alarmierungs-
von Angriffen aus dem Cyberraum zu schaffen. 31 Es verbunds (International Watch and Warning Network,
soll dazu beitragen, die gesamtstaatliche Sicherheits- IWWN). 35 Auf innerstaatlicher Ebene hat das BSI die
vorsorge zu gewährleisten. Die Entwicklung ausdiffe- Gründung der Allianz für Cybersicherheit angestoßen,
renzierter Zuständigkeiten ist politisch gewollt. 32 In die mittlerweile das Know-how zur Cybersicherheit in
der deutschen Cyber-Außen- und Sicherheitspolitik Deutschland bündelt und zur Hauptanlaufstelle für
findet sich eine ganze Reihe von Kooperationen, die Unternehmen und Bürger geworden ist. 36 Das Bundes-
sich im Wesentlichen auf fünf Pfeiler stützen. amt für Ausrüstung, Informationstechnik und Nut-
zung der Bundeswehr (BAAINBw) und das IT-Notfall-
Erster Pfeiler: Bundesamt für Sicherheit in der team der Bundeswehr (CERTBw) arbeiten eng mit
Informationstechnik dem BSI zusammen, speziell mit dessen IT-Lage- und
Die ministerielle Federführung in Deutschland in Analysezentrum und dem CERT-Bund.
Fragen der Cybersicherheit liegt beim Bundesministe-
rium des Innern (BMI). 33 Das Bundesamt für Sicherheit
in der Informationstechnik (BSI) ist der wichtigste IT-
Sicherheitsdienstleister des Bundes und dem BMI
34 Bundesministerium der Justiz und für Verbraucherschutz
31 Bundesministerium des Innern (Hg.), Cyber-Sicherheits- (Hg.), Gesetz über das Bundesamt für Sicherheit in der Informations-
strategie für Deutschland [wie Fn. 4]. technik (BSI-Gesetz – BSIG), zuletzt geändert am 17.7.2015,
32 In Norwegen beispielsweise liegt die nationale Cybersicher-
heitsstrategie im Geschäftsbereich des Justizministeriums. (Zugriff am 30.11.2015).
Das norwegische Außenministerium erarbeitet zurzeit eine 35 IT Law Wiki, International Watch and Warning Network,
globale Strategie für den Cyberraum. (Zugriff am 30.11.2015).
Allianz für Cyber-Sicherheit, (Zugriff am 30.11.2015).
SWP Berlin
Sorgfaltsverantwortung im Cyberraum
März 2016
11Sorgfaltsverantwortung in der institutionellen Praxis
Zweiter Pfeiler: Nationales Cyber-Abwehrzentrum sammeln sich im Nationalen Cyber-Sicherheitsrat
Ein wichtiger Schritt auf dem Weg zur Umsetzung der ressortübergreifend die Staatssekretäre unter dem
Sorgfaltsverantwortung bestand darin, 2011 ein natio- Vorsitz des Beauftragten der Bundesregierung für
nales Cyber-Abwehrzentrum ins Leben zu rufen. 37 Informationstechnik. 40 IT-Sicherheit ist in der Bundes-
Die Informationsplattform soll die Zusammenarbeit republik zudem eine föderale Aufgabe. Gebildet wird
zwischen den Behörden vereinfachen sowie Schutz- der Cyber-Sicherheitsrat aus zwei Ländervertretern,
und Abwehrmaßnahmen gegen IT-Angriffe verbessern. Repräsentanten mehrerer Bundesbehörden – Bundes-
Darüber hinaus ist das Abwehrzentrum Bestandteil ministerium des Innern, BKA, Auswärtiges Amt (AA),
der projektbasierten Zusammenarbeit mit Firmen und Bundesministerium für Bildung und Forschung,
Dienstleistern sowie mit Sicherheitsbehörden im Aus- Bundesministerium der Verteidigung (BMVg), Bundes-
land. Das Trennungsgebot, ein Grundsatz bundes- ministerium für Wirtschaft und Energie (BMWi),
deutschen Rechts, sieht vor, dass Aufgaben der Polizei Bundesministerium der Justiz und für Verbraucher-
und der Nachrichtendienste durch unterschiedliche, schutz sowie Bundesministerium der Finanzen – und
organisatorisch voneinander getrennte Behörden vier assoziierten Vertretern der Wirtschaft (Bundes-
wahrgenommen werden müssen. Für die Spionage- verband Informationswirtschaft, Telekommunikation
abwehr ist das BfV zuständig, während dem BKA die und neue Medien, Bundesverband der Deutschen
polizeiliche Verfolgung kriminell motivierter IT-An- Industrie, Deutscher Industrie- und Handelskammer-
griffe obliegt. Die Abteilung Technische Aufklärung tag, Übertragungsnetzbetreiber Amprion GmbH). Der
(TA) des Bundesnachrichtendienstes betreibt Infor- Cyber-Sicherheitsrat tagt seit 2011 dreimal jährlich.
mationsgewinnung mit technischen Mitteln (Signals Grundsätzliche Fragen der IT-Steuerung und -Sicher-
Intelligence, SIGINT), beschafft gemäß ihrem gesetz- heit des Bundes werden außerdem im ressortübergrei-
lichen Auftrag Informationen von außen- und sicher- fenden Rat der IT-Beauftragten (auch IT-Rat) behandelt.
heitspolitischer Bedeutung und wertet diese aus. 38
Mit diesen Informationen unterstützt der BND auch Vierter Pfeiler: Cyber-Außenpolitik
die Bundeswehr bei der Cyberverteidigung. Die deutsche Cybersicherheitsstrategie von 2011 sieht
vor, eine zielgerichtete und koordinierte Cyber-Außen-
Dritter Pfeiler: Nationaler Cyber-Sicherheitsrat politik zu entwickeln, um präventive Maßnahmen für
Beim Umgang mit den Herausforderungen der Cyber- die IT-Sicherheit in Deutschland ergreifen zu können,
sicherheit soll eine starke gesamtstaatliche Koordina- insbesondere zum Schutz kritischer Infrastrukturen
tion gewährleistet bleiben. 39 Zu diesem Zweck ver- und in der internationalen Zusammenarbeit. 41 Die
Cyber-Außenpolitik schließt ein, dass deutsche Inter-
essen in der EU, internationalen Organisationen und
37 Darin vertreten sind das BSI, das Bundesamt für Bevölke-
rungsschutz und Katastrophenhilfe (BBK), das Bundesamt für Gremien sowie bilateralen Dialogen vertreten werden.
Verfassungsschutz (BfV), der Bundesnachrichtendienst (BND), Das Auswärtige Amt hat 2011 einen Koordinierungs-
das Bundeskriminalamt (BKA), das Zollkriminalamt (ZKA), die stab für Cyber-Außenpolitik geschaffen. 42 Er soll als
Bundespolizei (BPol) und die Bundeswehr. Bundesministerium Schnittstelle zwischen nationalen Ressortpolitiken
des Innern, Nationales Cyber-Abwehrzentrum, (Zugriff am 22.2.2016).
Einflussnahme auf der anderen Seite dienen, um ein
38 Zur Umsetzung der sogenannten Strategischen Initiative Klima der Sicherheit und des Vertrauens zu schaffen,
Technik (SIT), einem technischen Modernisierungsprogramm, denn dieses ist für eine defensive Cybersicherheits-
hat der Haushaltsausschuss des Bundestages dem Bundes- strategie unverzichtbar.
nachrichtendienst 2014 laut Medienberichten insgesamt 300
Millionen Euro zur Verfügung gestellt. Durch die Auszahlung
jährlicher Tranchen sollen so bis 2020 die Fähigkeiten der
technischen Aufklärung des BND ausgebaut werden. John 40 Bundesministerium des Innern, Cyber-Sicherheitsrat,
Goetz/Hans Leyendecker, »Aufrüsten für den Cyberkampf«, (Zugriff am 5.2.2016). 41 Bundesministerium des Innern (Hg.), Cyber-Sicherheits-
39 Carsten Köppl, IT-Sicherheit föderalisiert sich, Fazit zum strategie für Deutschland [wie Fn. 4].
Kongress »Public IT-Security« (PITS), Berlin, 25./26.9.2013, 42 Auswärtiges Amt, Cyber-Außenpolitik, (Zugriff am 5.2.2016).
SWP Berlin
Sorgfaltsverantwortung im Cyberraum
März 2016
12Institutionelle Strukturen
Fünfter Pfeiler: Bundeswehr Auf parlamentarischer Ebene werden wesentliche
Die Maßnahmen der Bundeswehr sollen sich auf den Bereiche der Cyber-Sicherheitsstrategie, welche die
Schutz ihrer eigenen Handlungsfähigkeit gemäß der geheimdienstlichen Tätigkeiten der Bundesregierung
zugrunde liegenden Mandatierung beschränken, betreffen, von zwei maßgeblichen Gremien kontrol-
»um auf diese Weise Cybersicherheit als Teil gesamt- liert: dem Parlamentarischen Kontrollgremium (PKGr)
staatlicher Sicherheitsvorsorge zu verankern«. 43 Hier- und dem NSA-Untersuchungsausschuss. In den Fach-
für sind die CNO-Kräfte 44 der Bundeswehr zuständig, ausschüssen – Ausschuss Digitale Agenda, Innen-
die weiter ausgebaut und künftig zur aktiven Cyber- ausschuss, Auswärtiger Ausschuss, Verteidigungs-
verteidigung eingesetzt werden sollen. 45 Das deutet ausschuss – werden weitere Themen einer Cyber-
auf einen möglichen Paradigmenwechsel von der Außen- und Sicherheitspolitik behandelt. Der Cyber-
defensiven hin zur offensiven Cyberverteidigung hin. raum kennt keine Trennung zwischen Innen- und
So bekräftigte Verteidigungsministerin Ursula von Außenpolitik. Dieser Erkenntnis sollte die für die
der Leyen im September 2015, es werde »ein neues Demokratie und Rechtsstaatlichkeit notwendige
Zielbild für die Bereiche Cyber-Raum und IT im nach- begleitende parlamentarische Arbeit konzeptionell
geordneten Bereich und im Ministerium entwickelt«. 46 und institutionell Rechnung tragen. Innenpolitische
Für präzise militärische Cyberoperationen ist derzeit Anpassungen wären im Sinne der Sorgfaltsverant-
der Aufbau eines Pools von IT-Reservisten in Planung. wortung umzusetzen. Nur so lässt sich das Vertrauen
Außerdem soll der Militärische Abschirmdienst (MAD) wiederherstellen, das bei Bürgern, Verbündeten
im Auslandseinsatz einen erweiterten Abschirmauf- und EU-Partnern im Zuge der Enthüllungen Edward
trag erhalten, der sich auf alle Personen erstrecken Snowdens verloren gegangen ist. Vertrauen ist unab-
soll, die Sicherheit und Einsatzbereitschaft der Truppe dingbare Voraussetzung für europäische Kooperation
gefährden können. 47 Laut dem Ständigen Vertreter und Politik. Die Erfüllung der drei wichtigen Anforde-
des Präsidenten des MAD, Oberst Joachim Smola, sei rungen an eine Cyber-Außen- und Sicherheitspolitik –
der MAD »weit mehr [...] als ein rein abwehrender nämlich europäische Zusammenarbeit, Inklusivität,
Nachrichtendienst«, sondern ein »umfassender Service- Zivilität – lässt allerdings noch zu wünschen übrig:
leister in Belangen der Sicherheit und begleite die
Bundeswehr [...] sowohl an den Standorten in Deutsch-
land als auch im Auslandseinsatz«. 48 Europäische Zusammenarbeit
Unbefriedigend sind die Verfahren auf Bundes- und
EU-Ebene, mit denen ein Lagebild zu den Bedrohun-
43 Bundesministerium des Innern (Hg.), Cyber-Sicherheits-
gen im Cyberraum erstellt werden soll. Um die Straf-
strategie für Deutschland [wie Fn. 4].
44 Computernetzwerkoperationen (CNO) sind nicht-kineti-
verfolgung zu verbessern, wird vorgeschlagen, das
sche Angriffsmittel, die ihre Wirkung durch den Einsatz von Nationale Cyber-Abwehrzentrum in ein übergeord-
Computercodes oder Computerprogrammen im Cyberraum netes Gremium für IT-Sicherheit zu verwandeln (ver-
entfalten. Sie dienen der Manipulation, Störung oder gar gleichbar mit dem Gemeinsamen Terrorismusabwehr-
Zerstörung gegnerischer Informations- und Kommunikati- zentrum), denn bisher vereint es nicht alle Bundes-
onssysteme ebenso wie dem Schutz eigener Systeme oder der
und Landesbehörden. Auch im Hinblick auf einen
gezielten Informationsgewinnung aus nicht öffentlich
verfügbaren Datenquellen. CNO werden daher unterschieden europäischen Informationsaustausch wird mehr
in Computer Network Attacks (CNA), Computer Network Kooperation zwischen Behörden auf nationaler und
Defense (CND) und Computer Network Exploitation (CNE). auf EU-Ebene verlangt. 49 Wichtige Partner Deutsch-
45 Bundesministerium der Verteidigung, Tagesbefehl der lands wie Frankreich oder die Niederlande bemängeln,
Ministerin: Bundeswehr wird im Cyber-Raum zukunftsfähig, Berlin,
oft sei nicht nur unklar, was »die deutsche Position«
17.9.2015.
46 Ebd.
47 Andre Meister, »Geheime Cyber-Leitlinie: Verteidigungs- 49 Im Geschäftsbereich des Europäischen Auswärtigen
ministerium erlaubt Bundeswehr ›Cyberwar‹ und offensive Dienstes besteht seit 2011 das EU Intelligence Analysis Centre
digitale Angriffe«, netzpolitik.org, 30.7.2015, Entscheidungsträger erstellt. European External Action
(Zugriff am 30.11.2015). Service, EUINTCEN Fact Sheet, Brüssel, 5.2.2015, (Zugriff am 5.2.2016.)
SWP Berlin
Sorgfaltsverantwortung im Cyberraum
März 2016
13Sorgfaltsverantwortung in der institutionellen Praxis
eigentlich vorsehe, sondern auch, mit welchem zurück, so Susanne Dehmel, Mitglied der Geschäfts-
Ministerium in der europäischen Abstimmung zu ver- leitung des Bundesverbandes Informationswirtschaft,
handeln sei. Zudem ist die notwendige europäische Telekommunikation und neue Medien (Bitkom). 54
Koordinierung schwerfällig, was auch an der äußerst Ferner würden sich Unternehmen, die Opfer von
komplizierten Ressortzuständigkeit liegt. Seit der Bun- Cyberangriffen geworden seien, eher an die Verfas-
destagswahl 2013 diskutieren die Koalitionspartner, sungsschutzämter als an die Polizei wenden, da diese
ob Deutschland ein Internetministerium oder eine verpflichtet sei, bei einer möglichen Straftat ein
sogenannte Digitalagentur 50 brauche. Sie konnten Ermittlungsverfahren einzuleiten. Eine Reform der
sich aber nur auf ein Amt ohne Macht und Ressourcen Nachrichtendienste sowie eine verbesserte parlamen-
einigen, den Posten der Internetbotschafterin der tarische Kontrolle der Dienste durch das PKGr befin-
Bundesregierung, derzeit besetzt mit Gesche Joost. den sich zwar in der Beratung, doch ist noch nicht
abzusehen, ob der NSA-Untersuchungsausschusses
seine Arbeit überhaupt erfolgreich abschließen kann. 55
Inklusivität Die von der Bundesregierung eingesetzte Sachverstän-
dige Vertrauensperson, Kurt Graulich, prüfte zwar
Nachgelagerte Behörden wie BSI, BKA und BND haben die sogenannten Selektorenlisten der NSA, die an den
bereits grundlegende institutionelle Anpassungen zur BND weitergegeben worden waren. Die Ergebnisse
Abwehr von Cyberangriffen vorgenommen. Teilweise lassen aber weiterhin viele Fragen offen. Hansjörg
sind diese Reformen nur durch die unautorisierte Ver- Geiger, ehemaliger BfV- und BND-Präsident, hat sich
öffentlichung von Dokumenten bekannt geworden. 51 2015 dafür ausgesprochen, einen Kodex für den nach-
Die vieldiskutierte starke institutionelle Abhängigkeit richtendienstlichen Informationsaustausch zu for-
des BSI bleibt indes bestehen. 52 So hat das Bundeskabi- mulieren und den Posten eines Nachrichtendienst-
nett den Vorsitzenden des Cybersicherheitsrats e.V., beauftragten nach dem Vorbild des Wehrbeauftragten
Arne Schönbohm, im Februar 2016 zum BSI-Präsiden- zu schaffen. 56
ten ernannt. In der Öffentlichkeit werden seine Ver-
bindungen zur IT- und Rüstungswirtschaft argwöh-
nisch beäugt. Auch weisen kritische Stimmen darauf Zivilität
hin, »dass der ›Angreiferseite‹ im Vergleich zu den
›Verteidigern‹ der IT-Sicherheit die sechs- bis zehn- Der Staatssekretär im Bundesinnenministerium und
fachen Ressourcen für Cyberattacken und für die IT-Beauftragte der Bundesregierung, Hans-Georg
Kompromittierung der IT-Sicherheit zur Verfügung Engelke, hat zwar betont, eine behördliche Zusam-
stehen«. 53 Außerdem greife nur jedes fünfte Unter- menarbeit bei der IT-Sicherheit sei notwendig, aber
nehmen auf IT-Beratung durch staatliche Stellen die ministerielle Federführung in Fragen der Cyber-
sicherheit liege beim BMI. Dieser Anspruch wird
50 Bundesministerium für Wirtschaft und Energie, Digitale jedoch im Zuge der Weißbuchdiskussion 2016 bereits
Strategie 2025, Berlin, März 2016. in Frage gestellt. Das Problem der zuweilen ineffizien-
51 Daraufhin eröffnete Generalbundesanwalt Harald Range
ten Ressortzuständigkeit konnte auch der Nationale
wegen Verdachts auf Landesverrat ein Ermittlungsverfahren
gegen das Internetportal netzpolitik.org. Das Verfahren wurde
Cyber-Sicherheitsrat noch nicht beseitigen. Im Zuge
indes nach politischer Intervention eingestellt. Siehe »Maas der Aufklärung der NSA-Affäre hat die Bundesregie-
zweifelt an Verfahren gegen ›netzpolitik.org‹«, in: Zeit Online, rung zwar im Juli 2013 ein Acht-Punkte-Programm
31.7.2015, 54 Bundesministerium der Verteidigung, Weißbuchprozess:
(Zugriff am 30.11.2015). Bundeswehr sucht Dialog mit Cyber-Community, Berlin, 18.9.2015.
52 Trotz anderslautender Medienberichte – siehe etwa 55 Thomas Oppermann/Christian Flisek/Burkhard Lischka,
»Bundesamt für Sicherheit in der Informationstechnik (BSI) Rechtsstaat wahren – Sicherheit gewährleisten!, Berlin: SPD-Bundes-
soll neue Bundesbehörde werden«, in: Der Spiegel, 10.8.2014 – tagsfraktion, 16.6.2015,
Bundesamt für Sicherheit in der Informationstechnik (BSI-Gesetz – (Zugriff am 30.11.2015).
BSIG), § 1 Bundesamt für Sicherheit in der Informationstechnik. 56 Rudi Wais, »So könnte eine bessere Kontrolle der Nach-
53 Ingo Ruhmann, »Aufrüstung im Cyberspace. Staatliche richtendienste aussehen«, in: Augsburger Allgemeine, 3.5.2015,
Hacker und zivile IT-Sicherheit im Ungleichgewicht«, in: (Zugriff am 30.11.2015).
SWP Berlin
Sorgfaltsverantwortung im Cyberraum
März 2016
14Digitale Industriepolitik und die Bedeutung privater Akteure
zum besseren Schutz der Privatsphäre veröffentlicht. 57 eine außerordentlich wichtige Rolle. Industriestand-
Zu fragwürdigen Praktiken der Geheimdienste, etwa orte gewinnen an strategischer Bedeutung. Die dort
zur Industriespionage 58 und dem Führen sogenannter ansässigen Unternehmen schaffen nicht nur Arbeits-
Selektorenlisten mit Ausspähzielen 59, bezog der Cyber- plätze und Mehrwert, sondern setzen Maßstäbe für
Sicherheitsrat aber öffentlich nicht Stellung und die Wettbewerbsfähigkeit ganzer Volkswirtschaften. 61
schwieg auch zur Cyberattacke auf den Bundestag. Die Bundesregierung ist der Auffassung, dass noch
Gerade zum Angriff auf das höchste Verfassungsorgan reichlich ungenutzte Potentiale in der deutschen IKT
Deutschlands hätten viele Beobachter eine angemes- liegen, denn laut einer Studie des Fraunhofer-Instituts
sene Reaktion erwartet. für System- und Innovationsforschung können intelli-
gente Netze einen gesellschaftlichen Gesamtnutzen
von 56 Milliarden Euro pro Jahr erzeugen. 62
Digitale Industriepolitik und die Bedeutung Bei der Digitalisierung sind jedoch andere Länder
privater Akteure erfolgreicher. Vorreiter sind überwiegend amerikani-
sche, südkoreanische und chinesische Firmen. Die
Sorgfaltsverantwortung erfordert nicht nur den Bundesregierung hat 2014 die Programme Digitale
Aufbau institutioneller Strukturen, sondern auch Agenda und Digitale Verwaltung aufgelegt, mit denen
anspruchsvolle Kapazitäten in der Informations- sie global Anschluss zu finden hofft. Dafür sind sie
und Kommunikationstechnologie (IKT) und deren allerdings recht mager ausgestattet, verglichen mit
»intelligente Vernetzung«. 60 Während der letzten Programmen der US-Regierung zur Förderung von
Jahrzehnte hat sich die deutsche Wirtschaft in der Forschungsprojekten, etwa zur Entwicklung von
Automatisierung unter dem globalen Wettbewerbs- Quantencomputern oder Big-Data-Analysefähigkeiten.
und Innovationsdruck gut behauptet. Überdies will Das Zukunftsprojekt Industrie 4.0 wird auf Bundes-
das Bundeswirtschaftsministerium mit der Digitalen ebene mit rund 200 Millionen Euro aus Mitteln von
Strategie 2025 die kleinen und mittleren Unter- BMBF und BMWI finanziert. Das reicht jedoch bei
nehmen fördern. In der Cyber-Außen- und Sicherheits- weitem nicht aus, um konkurrenzfähig zu werden.
politik der Bundesregierung spielen private Akteure Festzuhalten ist, dass in der sich entwickelnden
digitalen Industriepolitik öffentlich-private Koopera-
57 Bundesministerium des Innern/Bundesministerium für tion, eine Einbindung in die europäische Harmoni-
Wirtschaft und Technologie, Maßnahmen für einen besseren sierung sowie die Ausrichtung auf defensive Cyber-
Schutz der Privatsphäre, Fortschrittsbericht, Berlin, 14.8.2013, Sicherheitspolitik nötig sind, um der Sorgfaltsverant-
.
58 Deutscher Bundestag, Antwort der Bundesregierung auf die
Kleine Anfrage der Abgeordneten Jan Korte, Dr. André Hahn, Ulla Europäische Zusammenarbeit
Jelpke, weiterer Abgeordneter und der Fraktion Die Linke. Geheim-
dienstliche Angriffe und Spionage bei deutschen Unternehmen, Aus der Wissenschaft wurde Kritik laut, »der Diskurs
Drucksache 18/2281, Berlin, 5.8.2014.
zu Industrie 4.0 [verlaufe] häufig zu technisch und
59 Deutscher Bundestag, Antwort der Bundesregierung auf die
Kleine Anfrage der Fraktion der SPD. Abhörprogramme der USA und
national«. 63 Daher sei dieser Diskurs stärker als bisher
Umfang der Kooperation der deutschen Nachrichtendienste mit den mit der EU-Ebene zu verzahnen, denn bei (kritischen)
US-Nachrichtendiensten, Drucksache 17/14560, Berlin, 14.8.2013; Infrastrukturen würden Lösungen zu Datensicherheit,
Deutscher Bundestag, Antwort der Bundesregierung auf die Kleine Betriebssicherheit und Datenschutz nicht zusammen-
Anfrage der Abgeordneten Jan Korte, Christine Buchholz, Ulla Jelpke, geführt. 64 Das spiegelt sich auch im Programm Digitale
weiterer Abgeordneter und der Fraktion Die Linke. Aktivitäten der
Bundesregierung zur Aufklärung der NSA-Ausspähmaßnahmen und
zum Schutz der Grundrechte, Drucksache 18/159, Berlin, 61 Initiative D21 (Hg.), D21-Digital-Index 2015. Die Gesellschaft in
12.12.2013; Deutscher Bundestag, Hitzige Debatte über die BND- der digitalen Transformation, Berlin 2015.
NSA-Kooperation, Berlin, 21.5.2015, (Zugriff am 30.11.2015).
60 Deutscher Bundestag, Unterrichtung durch die Bundesregie- 63 Sabine Pfeiffer, »Industrie 4.0 und die Digitalisierung der
rung. Strategie Intelligente Vernetzung, Drucksache 18/6022, Produktion – Hype oder Megatrend?«, in: Aus Politik und Zeit-
Berlin, 18.9.2015, (Zugriff am 30.11.2015). 64 So Peter Liggesmeyer, Leiter des Fraunhofer-Instituts für
SWP Berlin
Sorgfaltsverantwortung im Cyberraum
März 2016
15Sie können auch lesen
