Staatliches Wirken im Cyberraum

Page 1

POSITION | CYBERSICHERHEIT | DIGITALE GEGENANGRIFFE

Staatliches Wirken im Cyberraum 7 Grundsätze der Deutschen Industrie für verantwortungsbewusstes staatliches Handeln im Cyberraum

November 2019 Executive Summary Eine effiziente staatliche Cyberabwehr ist ein elementarer Bestandteil zur Wahrung von Cybersicherheit und damit der öffentlichen Sicherheit in der modernen Informations- und Kommunikationsgesellschaft. Zugleich ist eine Diskussion über die Weiterentwicklung staatlicher Instrumentarien notwendig, um der Dynamik der Gefährdungslage im Cyberraum sowie deren Auswirkungen auf die Sicherheitslage Deutschlands Rechnung zu tragen. Eine Eskalationsspirale zwischen Staat und nationalen wie internationalen Cyberkriminellen ist dabei unter allen Umständen zu vermeiden. Der Entwicklung internationaler Regeln für verantwortungsvolles staatliches Handeln im Cyberraum sollte daher Vorrang vor der Entwicklung rein nationaler Ansätze gegeben werden. Der BDI fordert, dass folgende sieben Prinzipien staatliches Handeln im Cyberraum leiten: 1. Staatliche Cyberabwehr, sowohl im militärischen als auch zivilen Bereich auf den Festen des Grundgesetzes und internationaler Verträge rechtssicher einführen 2. Staatliches Gewaltmonopol auch im Cyberraum wahren 3. Eskalationsspirale im Cyberraum mit negativen Implikationen für die Industrie vermeiden 4. Ausschluss der Verpflichtung zum Einbau von Schwachstellen und identifizierte Schwachstellen und Backdoors dem Hersteller unverzüglich melden 5. Deutschlandweit einheitlichen Cyber-Ordnungsrahmen basierend auf internationalen Ansätzen einführen, Polizei sowie Bundes- und Landeskriminalämter aber auch Gerichte und Staatsanwaltschaften stärken 6. Haftungsfragen eindeutig klären 7. Internationalen Ansätzen Vorrang vor nationalen Alleingängen geben

Steven Heckler | Digitalisierung und Innovation | T: +49 30 2028-1523 | s.heckler@bdi.eu | www.bdi.eu

Staatliches Wirken im Cyberraum

Die steigende Bedrohungslage aus dem Cyberraum – Betroffenheit der Industrie Cybersicherheit ist entscheidend für den Erfolg digitaler Geschäftsmodelle, dem Vertrauen in die digitale Transformation zahlreicher Lebensbereiche und damit der digitalen Gesellschaft als Ganzes. Gleichzeitig ist ein stetiger Anstieg an kriminellen Handlungen im Cyberraum festzustellen, der sich durch immer wirkungsmächtigere DDoS-Angriffe, Botnetze und weitere Angriffsvektoren kennzeichnet. Cyberkriminelle greifen heutzutage keineswegs ausschließlich staatliche Einrichtungen, Betreiber kritischer Infrastrukturen oder Einzelpersonen an. Vielmehr ist die deutsche Industrie tagtäglich sowohl direkt (in Werken, entlang der gesamten Lieferkette sowie über Angriffe auf ihre Mitarbeiterinnen und Mitarbeiter) als auch indirekt (über Angriffe auf die von ihr gefertigten Produkte) zigtausenden Angriffen durch Cyberkriminelle sowie staatliche Stellen aus aller Welt konfrontiert. Drei Viertel der Unternehmen der deutschen Wirtschaft sind in den letzten zwei Jahren Opfer von Datendiebstahl, Spionage oder Sabotage geworden. Der Schaden für die deutsche Wirtschaft beläuft sich laut einer Bitkom-Studie für diesen Zeitraum auf fast 206 Milliarden Euro. Digitale Angriffe verursachten bei sieben von zehn Unternehmen einen Schaden.1 Zudem registrierte allein die Deutsche Telekom AG im April 2019 bis zu 46 Millionen Cyberangriffe auf ihre Honeypots – im Monatsdurchschnitt waren es 31 Millionen Angriffe pro Tag. Zum Vergleich: Im April 2017 verzeichnete die Telekom lediglich vier Millionen Angriffe pro Tag. Dabei zielten im April 2019 51 Prozent der Angriffe auf die Netzsicherheit ab. Weitere 26 Prozent hatten zum Ziel, die Kontrolle über Rechner Dritter zu erlangen. 2 Die steigende Bedrohungslage aus dem Cyberraum hat zunehmend Auswirkungen auf die Beurteilung der bedeutendsten Geschäftsrisiken durch Unternehmen. So stufen laut dem ALLIANZ RISK BAROMETER 2019 Experten in Unternehmen Cyberangriffe als zweitbedeutendste Bedrohung für unternehmerisches Handeln in Deutschland ein. Damit werden 2019 Cyber Incidents und Geschäftsunterbrechungen (inkl. Unterbrechungen in globalen Lieferketten) als gleichsam bedeutungsschwer für Unternehmensprozesse eingestuft.3 Angesichts der Quantität an bereits heute existierenden Schadprogrammen4, der zunehmenden Kommerzialisierung von Cyberkriminalität sowie dem zu erwartenden Anstieg an vernetzbaren Produkten 5 stellt sich die Frage, welche Kompetenzen ein wehrhafter Staat zukünftig im Cyberraum – im Zivilen wie Militärischen – bedarf, um die Sicherheit von Leib und Leben (engl. safety) sowie die Wahrung der öffentlichen Sicherheit (engl. security) gewährleisten zu können. Sollten staatliche Stellen in der Bundesrepublik Deutschland mit Kompetenzen der „aktiven Cyberabwehr“ sowie der „Cyberverteidigung“ ausgestattet werden und wenn ja, auf welchen Prinzipien sollten diese Kompetenzen basieren? Während Cyberkriminelle global agieren, ist Deutschlands innenpolitische Antwort fragmentiert. Sechzehn Ordnungsrechte der Länder sowie zahlreiche Bundesgesetze bilden die rechtliche Grundlage für rechtsstaatliches Agieren im Cyberraum. Angesichts der stetig steigenden Bedrohungslage für Unternehmen, Bürger und den Staat als Ganzes, spricht sich der Bundesverband der Deutschen Industrie e.V. für die Einführung eines einheitlichen nationalen Ordnungsrahmens sowie für eine eng umgrenzte Stärkung von Bundeskompetenzen im Bereich der „aktiven Cyberabwehr“ aus.

1

Bitkom. 2019. Wirtschaftsschutz in der digitalen Welt. Online verfügbar: https://www.bitkom.org/sites/default/files/2019-11/bitkom_wirtschaftsschutz_2019_0.pdf 2 Deutsche Telekom AG. 2019. Telekom legt aktuelle Zahlen zur Cybersicherheit vor. Online verfügbar: https://www.telekom.com/de/medien/medieninformationen/detail/telekom-legt-aktuelle-zahlen-zur-cybersicherheit-vor-573046 3 Allianz. 2019. ALLIANZ RISK BAROMETER 2019. Online verfügbar: https://www.agcs.allianz.com/content/dam/onemarketing/agcs/agcs/reports/Allianz-Risk-Barometer-2019-Appendix.pdf 4 Laut dem BSI-Lagebericht 2018 existierten zum Zeitpunkt der Erhebung mehr als 800 Millionen Schadprogramme weltweit, zu denen jeden Tag 390.000 Varianten hinzukommen. Vgl. BSI 2018. Die Lage der IT-Sicherheit in Deutschland 2018. URL: https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/Lageberichte/Lagebericht2018.pdf?__blob=publicationFile&v=5 5 Vgl. IHS Markit. 2017. The Internet of Things: A movement not a market. URL: https://cdn.ihs.com/www/pdf/IoT_ebook.pdf

2

Staatliches Wirken im Cyberraum

Digitale Gegenangriffe: Eine definitorische Einordnung aus Sicht der deutschen Industrie In der öffentlichen Debatte wird als Reaktion auf die steigende Gefahrenlage aus dem Cyberraum zur Erhöhung der Wehrhaftigkeit des Staates die Einführung des Instruments des reaktiven staatlichen Gegenangriffs – der sogenannte „Hackback“ – vorgeschlagen und kritisch diskutiert. Die Debatte über Hackbacks wird dabei vielfach hochemotional geführt. Es gilt, Grabenkämpfe über Begrifflichkeiten zu überwinden und vielmehr in einen konstruktiven Dialog über legitime und notwendige staatliche Handlungskompetenzen im Cyberraum zu treten. Um eine differenzierte Debatte über die rechtlichen Voraussetzungen für einen „Hackback“, also eine reaktive staatliche Gegenwehr gegen Cyberangriffe führen zu können, bedarf es einer definitorischen Einordnung der verschiedenen Abwehrmechanismen. Grundsätzlich versteht die deutsche Industrie nur Maßnahmen unter dem Begriff der staatlichen Cyberabwehr, die oberhalb der Schwelle der Prävention liegen. Davon ausgehend fallen folgende bereits heute verfassungskonform eingesetzte Methoden der sogenannten Passiven Cyber-Abwehr nicht unter den Begriff des Hackbacks: Diese umfassen den Schutz der eigenen Systeme beispielsweise durch den Einsatz von Firewalls und Anti-Viren-Programmen. Hinzu kommen verfassungskonforme Maßnahmen der Aktiven Abwehr. Hierzu zählen Maßnahmen zur Angriffsabwehr wie z.B. das Blockieren eines Distributed Denial-of-Service-(DDoS)-Angriffs. In der Diskussion zur staatlichen Cyberabwehr werden folgende Maßnahmen unter dem Begriff des „Hackbacks“ subsumiert: (1) Deaktivierung von Bot-Netzen, (2) Identifikation und Deaktivierung von sogenannten Schläfern in deutschen Systemen, (3) Übernahme externer Infrastrukturen, wie z.B. die Übernahme vermeintlicher Angreifer-Infrastruktur, (4) Infiltration der angreifenden Infrastruktur, und (5) Gegenangriffe auf angreifende Strukturen mit dem Ziel, diese zu deaktivieren/unschädlich zu machen. Ziel dieser Maßnahmen ist es, das Angreifer-System zu deaktivieren, respektive zu zerstören, um so die bereits eingetretene und noch anhaltende Cyberattacke zu beenden. Zudem verfolgen staatliche Gegenmaßnahmen das Ziel, etwaige gestohlene Daten vom System des Angreifers zu löschen. Im Idealfall kann durch die aktive Cybergegenmaßnahme auch der Täter identifiziert und anschließend strafrechtlich verfolgt werden. Die Einführung der staatlichen aktiven Cyberabwehr, also jenen Handlungen oberhalb der Prävention, jedoch unterhalb der Schwelle militärischer Handlungen, können einen Beitrag zur Wahrung von Cybersicherheit in Deutschland leisten. Gleiches gilt für die Cyberverteidigung durch die Bundeswehr, respektive durch den Bundesnachrichtendienst. Aktive Hackbacks im Sinne der Ziffern (3) bis (5) dürfen nur die ultima ratio sein. Gleichzeitig fordert der BDI die Bundesregierung auf, die völkerrechtliche Vereinbarkeit eines Hackbacks im Sinne der Ziffern (3), (4) und (5) u.a. mit Blick auf das Tallin Manuel von einer unabhängigen Stelle analysieren zu lassen. Staatliche Handlungen, wie das Monitoring krimineller Aktivitäten im Cyberraum, die Identifikation von sogenannten Schläfern in kritischen Infrastrukturen sowie das Abschalten von Botnetzen müssen jedoch zeitnah basierend auf einer sachlichen Debatte diskutiert und eruiert werden, um Gefahren für Leib und Leben sowie die öffentliche Sicherheit soweit als möglich zu miniminieren. Mit den folgenden sieben Prinzipien will der BDI zu dieser sachlichen Debatte beitragen. Gleichzeitig will es der BDI nicht versäumen, auf die erheblichen rechtlichen Hürden bei der Erweiterung staatlicher Kompetenzen im Bereich der staatlichen Cyberabwehr hin. Hierfür wäre eine Änderung des Grundgesetzes notwendig, da staatliche Cyber-Gegenmaßnahmen durch Einrichtungen des Bundes einen Eingriff in die Länderkompetenz der Gefahrenabwehr zu verorten sind.

3

Staatliches Wirken im Cyberraum

Staatliche Gegenmaßnahmen: Proportionalität wahren, Eskalationsspiralen vermeiden Der Bundesverband der Deutschen Industrie e.V. erkennt die Notwendigkeit eines effektiven und schlagfertigen staatlichen Maßnahmenkatalogs gegen Handlungen von Cyberkriminellen in militärischen wie zivilen Bereichen an. Um nicht-intendierte Konsequenzen zu verhindern, ein deutschlandweit einheitliches Sicherheitsniveau zu ermöglichen und die Cybersicherheit in und für Deutschland nachhaltig zu stärken, spricht sich der BDI für die Orientierung aller Legislativvorhaben an folgenden sieben Prinzipien aus: Staatliche Cyberabwehr, sowohl im militärischen als auch zivilen Bereich auf den Festen des Grundgesetzes und internationaler Verträge rechtssicher einführen Jedwede staatliche Handlung im Cyberraum – unabhängig davon, ob im militärischen oder zivilen Bereich – muss sich innerhalb des bundesdeutschen Rechtsrahmens, allen voran des Grundgesetzes, sowie internationaler Verträge bewegen. So ist nach geltender Rechtslage der Einsatz des sogenannten Hackbacks nur bei Vorliegen eines militärischen Verteidigungsfalls zulässig. 6 Ein Gutachten des wissenschaftlichen Dienstes des deutschen Bundestages im Auftrag der Fraktion Die Linke führt aus: „Auch Cyberangriffe müssen grundsätzlich im Einklang mit dem in Art. 26 Abs. 1 GG verankerten Verbot friedensstörender Handlungen stehen.“ 7 Die Verfassungsmäßigkeit eines Hackbacks muss folglich in jedem Einzelfall festgestellt werden. Zudem wird in dem Gutachten darauf verwiesen, dass „Cyberangriffe eine Verletzung des völkerrechtlichen Gewaltverbots darstellen können, wenn eine bestimmte Erheblichkeitsschwelle überschritten wird“. 8 Eine Rechtfertigung für einen Hackback können beispielsweise das in Artikel 51 der UN-Charta verankerte Recht auf Selbstverteidigung sowie die in Artikel 39 und 42 der UN-Charta genannten Möglichkeiten der Zwangsmaßnahmen des Sicherheitsrates der Vereinten Nationen sein. Vor dem Hintergrund eines immer stärkeren Ineinandergreifens von konventionellen Angriffen und Cyberangriffen bedarf es einer eindeutigen und unmissverständlichen völkerrechtlichen Regelung, ob und wenn ja in welchem Umfang Staaten aktive digitale Gegenmaßnahmen im Sinne der oben genannten Ziffern (3) bis (5) anwenden dürfen. Eine unwidersprochene Hinnahme derartiger Maßnahmen gilt es, zu verhindern. Zudem gilt es zu klären, inwieweit Cyberangriffe und entsprechende Gegenangriffe den Bündnisfall nach Artikel 5 NATO-Vertrag auslösen können. Ein Problem bei der Anwendung legitimer staatlicher Hackbacks stellt eine zeitnah nach dem Angriff erfolgende Attribution des Verursachers dar. So weisen Reinhold und Schulze in ihrer Analyse darauf hin, dass Cyber-Gegenangriffe umgehend erfolgen müssten, um über das in Artikel 51 der UN Charta niedergeschriebene Recht auf Selbstverteidigung abgedeckt zu sein. Sollte ein Gegenangriff erst Monate oder gar Jahre später stattfinden, weil erst dann eine stichhaltige Attribution des Angriffs erfolgt ist, könnte der Gegenangriff als „eigenständiger aggressiver Akt und nicht als legitime Selbstverteidigung interpretiert werden.“ 9 Anerkennend, dass Cyberangriffe meist über einen längeren Zeitraum ausgeübt werden, spricht sich der BDI für eine personelle und finanzielle Stärkung der für die Attribution zuständigen zivilen und militärischen Stellen aus, damit jedwedes staatliches Wirken im Cyberraum den Anforderungen des Grundgesetzes und internationaler Verträge genüge trägt. Auch im Cyberraum müssen die Grundprinzipien demokratischer, das heißt rechtstaatlicher, Verfahrensweisen Anwendungen finden.

6

Mügge, Kersten. 2017. Bundesregierung plant digitalen Rettungsschuss. URL: http://www.deutschlandfunk.de/hacker-gefahr-aus-dem-internetbundesregierung-plant.1773.de.html?dram:article_id=384167 7 https://www.bundestag.de/blob/560900/baf0bfb8f00a6814e125c8fce5e89009/wd-3-159-18-pdf-data.pdf 8 Ebenda. 9 Reinhold, Thomas und Schulze, Matthias. 2017. Digitale Gegenangriffe. Berlin. SWP Arbeitspapiere, S. 10.

4

Staatliches Wirken im Cyberraum

Staatliches Gewaltmonopol auch im Cyberraum wahren Staatliches Wirken im Cyberraum, ungeachtet ob hierin das Abschalten eines Botnetzes oder ein digitaler Gegenangriff verstanden wird, darf nur von staatlichen Stellen durchgeführt werden dürfen. Da bei der Ausweitung krimineller Aktivitäten im Cyberraum auch der Zugang zu sensiblen personen- und nicht-personenbezogenen Daten erfolgt, müssen diese Handlungen durch staatliche Stellen, wie Bundespolizei, Landespolizei, BKA, BSI, den Bundesnachrichtendienst sowie im Militärischen die Bundeswehr / den Militärischen Abschirmdiensterfolgen. Es gilt, das staatliche Gewaltmonopol uneingeschränkt auch im Cyberspace zu wahren. Entsprechende Maßnahmen, die unter die oben genannte Definition für Hackbacks fallen, dürfen nicht an Dritte outgesourct werden. Hackbacks dürfen somit kein Instrument der Privatwirtschaft oder von privaten Personen und Einrichtungen sein. Es kann sich vielmehr nur um eine zivile oder militärische Verteidigungsmaßnahme eines Staates im Rahmen seines Gewaltmonopols handeln. Auch Mitwirkungspflichten von Providern sowie weiteren Unternehmen werden durch die deutsche Industrie strikt abgelehnt. Eskalationsspirale im Cyberraum mit negativen Implikationen für die Industrie vermeiden Die Stärke der deutschen Wirtschaft basiert nicht zuletzt auf ihrer Exportorientierung. Bevor jedwede Form des Hackbacks durch staatliche Stellen gegen Ziele in Drittstaaten zum Einsatz kommt, bedarf es einer eindeutigen Attribution des Erstangreifers sowie einer Beurteilung der Verhältnismäßigkeit eines Gegenangriffs. Militärische Aktivitäten der Bundeswehr, respektive geheimdienstliche Aktivitäten des Bundesnachrichtendienstes, sowie zivile Maßnahmen weiterer staatlicher Stellen im Cyberraum dürfen den freien Welthandel nicht negativ beeinflussen. Es gilt, eine Eskalationsspierale im Cyberraum unbedingt zu vermeiden. Ebenso sollten second-order Effekte für Menschen sowie für die deutsche Industrie vorab bewertet und soweit als möglich vermieden werden. Mit Blick auf Industrieprozesse ist festzustellen, dass durch die zunehmende Vernetzung und die Verwendung von Cloud-Diensten in der IT und OT starke Abhängigkeiten entstehen. Diese werden häufig nicht vollständig in der Nutzerkette verstanden. Werden diese Abhängigkeiten bei Hackbacks nicht vorab analysiert, drohen erhebliche Kollateralschäden. Jeglichem Hackback sollte eine detaillierte Bewertung dieser second-order Effekte vorausgehen. Daher bedarf es des Aufbaus von Fähigkeiten zur Evaluierung und Vermeidung etwaiger Sekundäreffekte bei den mit staatlichen Gegenmaßnahmen im Cyberraum betrauten Stellen. Da Cyberkriminelle auf Gegenmaßnahmen aus Deutschland mit erneuten Gegenmaßnahmen reagieren können, gilt es zu prüfen, ob potenziell von etwaigen neuerlichen Gegenmaßnahmen Dritter betroffene Unternehmen frühzeitig gewarnt werden könnten. Die deutsche Industrie sollte befähigt werden, notwendige Schutzmaßnahmen treffen zu können. Ausschluss der Verpflichtung zum Einbau von Schwachstellen und identifizierte Schwachstellen und Backdoors dem Hersteller unverzüglich melden Die deutsche Industrie fertigt hochqualitative und hochgradig innovative Produkte sowohl für B2B- als auch B2C-Kundinnen und Kunden. Damit ein höchstmögliches Niveau an Cybersicherheit bei Produkten gewährleistet werden kann, werden Cybersicherheitsanforderungen konsequent im Produktionsprozess berücksichtigt (security-by-design). Um ein hohes Cybersicherheitsniveau auch zukünftig ermöglichen zu können, muss der Gesetzgeber von jedweden Verpflichtungstatbeständen der Industrie gegenüber zum Einbau von sogenannten Schwachstellen und Backdoors absehen. Jede Form von Zugriffsmöglichkeiten Dritter bedeuten automatisch auch eine Schwächung der Cyberresilienz von Produkten im Sinne von Hard- und Software sowie von Dienstleistungen. Dadurch könnten die betroffenen Produkte und Dienste die an sie gestellten Cybersicherheitsanforderungen nicht mehr

5

Staatliches Wirken im Cyberraum

hinreichend erfüllen und würden ein potenzielles zusätzliches Risiko darstellen. Dies gilt es unbedingt zu vermeiden. In diesem Zusammenhang lehnt die deutsche Industrie die bereits häufig geäußerte Forderung zahlreicher staatlicher Stellen – insbesondere der Geheim- und Nachrichtendienste – Kenntnisse über Schwachstellen in Produkten (Hard- und Software) für entsprechende polizeiliche, nachrichtendienstliche und geheimdienstliche Aktivitäten zurückhalten zu dürfen, entschieden ab. Die deutsche Industrie spricht sich konsequent für eine direkte Information betroffener Hersteller und Betreiber durch staatliche Stellen aus, sobald diese Kenntnis von möglichen Schwachstellen und Backdoors erlangen. Es gilt, den Schutz der Allgemeinheit vor den potenziellen Gefahren bei Ausnutzung der Schwachstelle durch kriminelle Dritte vor die möglichen Vorteile für polizeiliche, nachrichtendienstliche und geheimdienstliche Aktivitäten, die sich aus der Kenntnisse über entsprechende Schwachstellen ergeben, zu stellen. Denn sollten auch Kriminelle Kenntnis über entsprechende Schwachstellen erlangen, könnte dies weitreichende negative Auswirkungen auf die Cyberresilienz Deutschlands haben. Konkrete Auswirkungen auf die Sicherheit von Leib und Leben ebenso wie die öffentliche Sicherheit könnten andernfalls – je nach Tragweite der Schwachstelle und dem Verbreitungsgrad des Produktes – die Folge sein. Weiterhin gilt es zu prüfen, ob vorsätzliche Backdoors und Schwachstellen in anderen Ländern nicht als Mängel bewertet werden könnten, woraus erhebliche Haftungsansprüche gegen die deutsche Industrie entstehen könnten. Zudem sind auch etwaige strafrechtliche Konsequenzen in Drittstaaten zu berücksichtigen.10 Außerdem könnten Vulnerabilities, Backdoors und weitere absichtlich eingebaute Fehler in deutschen Produkten und Dienstleistungen zu einem Verlust des Ansehens und des Vertrauens in Produkte und Services „Made in Germany“ führen. Es gilt, eine Schädigung des Rufs deutscher Qualitätsprodukte unbedingt zu vermeiden. Deutschlandweit einheitlichen Cyber-Ordnungsrahmen basierend auf internationalen Ansätzen einführen, Polizei sowie Bundes- und Landeskriminalämter aber auch Gerichte und Staatsanwaltschaften stärken Ein Hacker sitzt in Land X, nutzt eine Sicherheitsschwachstelle in der Software eines Herstellers aus Land Y, der Hardware aus Land Z verbaut, in Deutschland aus. Die so infizierten Geräte bilden in Deutschland ein Botnetz, dessen kriminelle Verwendung deutschlandweit zu Stromausfällen führen kann. Dieses fiktive Beispiel zeigt: Cyberkriminelle handeln länderübergreifend und nutzen globale Wertschöpfungsketten aus. Folglich bedarf es mindestens eines einheitlichen Cyber-Ordnungsrahmens mit identischen Kompetenzen und Kapazitäten in allen 16 deutschen Ländern, um grenzübergreifend agierenden Tätern wirkungsmächtig begegnen zu können. Neben der Vereinheitlichung des entsprechenden Rechtsrahmens in den Bundesländern, spricht sich der BDI für eine Stärkung der Bundespolizei und des Bundesamts für Sicherheit in der Informationstechnologie im Bereich der zivilen Cyberabwehr aus. Auch gilt es, die Polizeien, 16 Landeskriminalämter sowie das Bundeskriminalamt personell und finanziell so auszustatten, dass diese wirksam gegen Cyberkriminalität vorgehen können. Neben der polizeilichen Strafverfolgung und Gefahrenabwehr, gilt es zudem, die Schwerpunkt-Strafanwaltschaften für Cyberkriminalität zu etablieren sowie die zuständigen Gerichte zu stärken. Wichtig ist: Ungeachtet der föderalen Struktur Deutschlands empfiehlt die deutsche Industrie, Kompetenzen sowie personelle und finanzielle Ressourcen zu bündeln, um möglichst wirksam gegen Cyberkriminalität vorgehen zu können. Sechzehn IT-Experten, die eng in ein oder zwei Teams zusammenarbeiten, sind wirksamer als sechzehn IT-Experten, die jeweils losgelöst

10

An dieser Stelle sei unter anderem auf die in der Erarbeitung befindlichen chinesischen Provisions for Cybersecurity Vulnerabilities Management verwiesen.

6

Staatliches Wirken im Cyberraum

voneinander die gleichen Fälle betreuen. Statt föderaler Silos ist enge länderübergreifende Kooperation das Gebot der Stunde. Der Staat muss auch im Cyberraum deutlich machen, dass geltendes Recht wirksam und vor allem zeitnah durchgesetzt wird. Abschreckung und Prävention sind das Gebot der Stunde. Der digitale „Gegenschlag“ muss, dem finalen Rettungsschuss im Zivilen sowie eines Angriffs der Bundeswehr im Militärischen gleich, das letzte Mittel sein. Erkenntnisse über Cybersicherheitsvorfälle müssen zentral gesammelt und analysiert werden – nur so lassen sich Muster, Trends und Gefahren ganzheitlich abschätzen und frühzeitig Warnungen aussprechen. Meldepflichten dürfen jedoch weder Selbstzweck noch eine Einbahnstraße sein. Wer Cybersicherheitsvorfälle meldet, muss von den zuständigen Behörden auch passgenaue Handlungsvorschläge sowie ein konkretes inhaltliches Feedback erhalten. Die Meldung sicherheitsrelevanter Vorfälle sollte nicht nur für Betreiber kritischer Infrastrukturen verpflichtend sein, sondern auch für staatliche Einrichtungen. Darüber hinaus ist es unerlässlich, dass die von staatlicher Stelle gesammelten und analysierten Cyber-Bedrohungen den potenziellen Zielgruppen von Angreifern zur Kenntnis gebracht werden, um eine Anpassung der deutschen Wirtschaft auf neue Angriffsmuster zu ermöglichen. In diesem Zusammenhang erachtet es die deutsche Industrie als unabdingbar, dass die gesammelten Informationen in einem Lagebild zusammengeführt und regelmäßig (in anonymisierter Form) publiziert werden. Haftungsfragen eindeutig klären Die Gefahr durch Botnetze ist in den vergangenen Jahren signifikant gestiegen. Ein Beispiel: Während im April 2018 noch 330 Milliarden Datenpakete von Botnetzen auf die Netze der Telekom gesendet wurden, waren es im April 2019 bereits 5,3 Billionen. 11 Folglich muss klar geregelt werden, welche Kompetenzen staatliche Stellen haben, um die Gefahr von Botnetzen zu minimieren. Um Gefahren für die Allgemeinheit sowie kritische Infrastrukturen zu minimieren, kann das Abschalten eines Botnetzes durch die relevanten Sicherheitsbehörden notwendig sein. Wenn durch diesen Zugriff staatlicher Stellen Schäden an zu einem Botnetz gehörenden vernetzbaren Produkten entstehen, darf dies nicht zu Haftungsansprüchen seitens der Kunden gegenüber den Herstellern oder Verkäufern dieser Produkte führen. Auch sonstige in diesem Zusammenhang auftretende Schäden dürfen nicht dem Hersteller eines vernetzbaren Produktes angelastet werden. Internationalen Ansätzen Vorrang vor nationalen Alleingängen geben Cyberkriminelle agieren länderübergreifend. Somit bedarf es auch internationaler Ansätze, um den Gefahren aus dem Cyberspace zu begegnen. Der BDI spricht sich daher für: ▪

die Etablierung international anerkannter, einheitlicher Regeln für staatliches Handeln im Cyberraum aus. Die Bundesregierung sollte auf die Erarbeitung entsprechender Regeln im Rahmen der United Nations Group of Governmental Experts on Developments in the field of information and telecommunications in the context of international security hinwirken. Grundlegende verbindliche Anforderungen der internationalen Staatengemeinschaft müssen die Basis für jedwede Form staatlichen Handelns im Cyberraum werden. Zu deren Ausarbeitung erachtet die deutsche Industrie die UN GGE als das geeignete Forum.

11

Deutsche Telekom AG. 2019. Telekom legt aktuelle Zahlen zur Cybersicherheit vor. Online verfügbar: https://www.telekom.com/de/medien/medieninformationen/detail/telekom-legt-aktuelle-zahlen-zur-cybersicherheit-vor-573046

7

Staatliches Wirken im Cyberraum

eine engere Kooperation bundesdeutscher Stellen, wie Polizei, Landeskriminalämtern und Bundeskriminalamt, mit Europol und Interpol.

die Erarbeitung eines europaweit abgestimmten Vorgehens zu staatlichen Maßnahmen der aktiven Cyberabwehr. Hierzu sollte die Europäische Kommission zeitnah Vorschläge vorlegen, damit die EU-Mitgliedsstaaten in internationalen Foren mit einer Stimme sprechen und zudem es keinen Flickenteppich der Antworten europäischer Staaten auf Cyberangriffe gibt.

die stärkere internationale staatliche Kooperation zu Cybersicherheitsthemen aus. Hierfür gilt es in der UN eine arbeitsfähige Group of Governmental Experts zu Cybersicherheitsfragen zu etablieren. Nur im Dialog können unterschiedliche Vorstellungen von legitimem staatlichem Handeln im Cyberraum erörtert und bewertet werden.

8

Staatliches Wirken im Cyberraum

Impressum Bundesverband der Deutschen Industrie e.V. (BDI) Breite StraĂ&#x;e 29, 10178 Berlin www.bdi.eu T: +49 30 2028-0 Redaktion Steven Heckler T: +49 30 2028-1523 M: S.Heckler@bdi.eu Dokumentennummer: D 1038

9

Turn static files into dynamic content formats.

Create a flipbook
Issuu converts static files into: digital portfolios, online yearbooks, online catalogs, digital photo albums and more. Sign up and create your flipbook.