Die Medien zur Eröffnung des Nationalen Cyber-Abwehrzentrums

Share

Bild vom BSI in Bonn Bad Godesberg

Oder: Die Folgen der Unkenntnis zur Frage, „Was ist Intelligence?“

In diesem Beitrag kommt ein Experte für Informationssicherheit und Unternehmensberater zu Wort, der die mediale Berichterstattung zur Eröffnung des Nationalen Cyber-Abwehrzentrums in Bonn kritisch beleuchtet und dabei auf relevante Defizite in der deutschen Debatte über Informationssicherheit hinweist.

Von Richard Stein


 

Vorbemerkung

Wenn man die politikwissenschaftlichen Forschungen aus dem deutschen und angelsächsischen Raum vergleicht, dann wird der unterschiedliche Fokus auf (und Erkenntnisstand zu) Nachrichtendiensten augenfällig. Während „Intelligence Studies“ im angelsächsischen Raum ein etabliertes Forschungsfeld sind und es mit Fachzeitschriften wie dem „International Journal of Intelligence and Counterintelligence“ oder dem „Intelligence and National Security“ zwei seit Jahrzehnten etablierte Fachjournale zum Thema gibt, fehlt im deutschen Sprachraum selbst eine adäquate Übersetzung des Begriffs „Intelligence“. Die Begriffe „Lageeinschätzung“ oder „Lagebeurteilung“ sind ein nicht ungeeigneter Versuch, dürften aber außerhalb des nachrichtendienstlichen Milieus eher militärisch konnotiert erscheinen und das Wort „Analyse“ klingt doch eher nach einem chemischen Laborversuch. Am passendsten erscheint dem Autor der Begriff „Lagebilderstellung“, wenn es um Intelligence geht.

Wir wollen hier keineswegs Schwarz-Weiß-Malerei betreiben, denn auch die angelsächsische Intelligence-Forschung hat ihre Schwächen, da ein Teil der Arbeitsergebnisse in diesem Forschungsbereich im Zusammenhang mit den Outsourcing-Maßnahmen der staatlichen Nachrichtendienste gesehen werden müssen. Es findet also vornehmlich eine Forschung für die Nachrichtendienste statt über sie und ihre Methoden. Mit diesen knappen Hinweisen soll auf ein Problemfeld aufmerksam gemacht werden, in dem dringender Klärungsbedarf besteht.

Wie über das Cyber-AZ berichtet wurde

Nun mag der nicht-politikwissenschaftliche Leserkreis hier mit den Schultern zucken und nach der Relevanz dieses Problems in Bezug auf die Eröffnung des nationalen Cyber-Abwehrzentrums fragen. Dazu gilt es, sich zu vergegenwärtigen, dass man nicht über Dinge nachdenken (geschweige denn sie verstehen) kann, für die man keine Worte – und Begriffe – besitzt. Bei der Berichterstattung über das Cyber-AZ war dieses Problem mehr als deutlich. Die Berichterstattung kann man grob wie folgt einteilen:

Erstens gab es Kommentare, die sich von journalistischer Seite durch eine gewisse Häme und Polemik auszeichneten (s. „Hackstück“ in der Frankfurter Allgemeine Zeitung vom 17.6. 2011) Dort wurde die vermeintliche Einfalt der Bundesregierung kritisiert, mit einer Gruppe von zehn Mitarbeitern des Bundesamtes für Sicherheit in der Informationstechnik (BSI) plus sieben Verbindungsbeamten aus weiteren Behörden, den Cyberspace Deutschlands mit seinen Millionen von Viren, täglichen gezielten Attacken und Millionen-Euro-Schäden zu verteidigen und Angriffe aus dem Netz abwehren zu wollen.

Ebenfalls zu den Kommentaren zählen die Reaktionen von Industrieverbänden wie etwa dem Branchenverband für Informations- und Telekommunikationstechnik BITKOM. Dort freute man sich sehr über die Eröffnung des Cyber-Abwehrzentrums, da nun Informationsaustausch über Cybersicherheitslage von Sicherheitsbehörden mit der Industrie statt finden würde. Der Leser (indes nicht die kommentierenden Journalisten) mag hier bereits stutzig werden ob des merkwürdigen Zusammenhangs von „Schutz vor Viren“ und „Informationsaustausch über die Cybersicherheitslage“, der nicht nur nicht einleuchtet, sondern schlicht nicht existiert. Ein erster Hinweis auf offensichtliche Unkenntnis der Berichterstatter.

Die zweite Art der Berichterstattung klebte förmlich an den Aussagen von Innenminister Hans-Peter Friedrich und Michael Hange, Sprecher des Cyber-Abwehrzentrums und Präsident des BSI. In der Schülerzeitung meines Sohnes habe ich schon bessere berichtende Artikel gelesen. Diese Journalisten haben dann wohl gespürt, dass ein reiner Traktanden-Bericht ohne weitere Hintergrundinformationen doch zu wenig her gibt. Dazu gab es zwei Auswege, nämlich erstens Oppositionspolitiker zu Wort kommen zu lassen, welche die Veranstaltung als „politisches Tam-Tam“ einordneten, oder zweitens, indem man das Cyber-Abwehrzentrum mit den vermeintlich entsprechenden Einrichtungen aus den USA oder der NATO verglich. Auch hier wurde die „viel zu kleine“ personelle Ausstattung des deutschen Cyber-Abwehrzentrums moniert und die amerikanische Position, dass Cybersicherheit eine militärische Aufgabe sei, kritiklos übernommen. Das ganze endete dann im ARD-Fernsehen damit, dass der Nachrichtensprecher ob der gerade aufgezeigten deutschen Einfalt beim Thema Cybersicherheit abschätzig die Mundwinkel verzog. (s. Tagesthemen vom 16.6. 2011)

In den nachfolgenden Tagen konnte man noch in Online-Journalen einige Artikel über das Trennungsgebot polizeilicher und nachrichtendienstlicher Aktivitäten lesen, da ja im Cyber-Abwehrzentrum Mitarbeiter von Bundeskriminalamt, Bundesverfassungsschutz und Bundesnachrichtendienst mitarbeiten werden. Das war es dann auch schon – bei einem Thema, das in den letzten Jahren so große Aufmerksamkeit erhalten hat und von verschiedenen Staaten – so Großbritannien – in ihrer Sicherheitsstrategie auf Platz 1 gesetzt wurde. Genau diese offensichtliche Diskrepanz hat mich veranlasst, diesen Artikel zu schreiben.

Informationssicherheit in Deutschland

Für den Anfang ist es angemessen, nüchtern die Fakten zu klären. Die Bundesregierung hat unter dem vorherigen Innenminister de Maizière die Cybersicherheitsstrategie beschlossen, die als Teil der inneren Sicherheit Deutschlands aufgefasst wird. In Deutschland, und das sollte jeder ernsthafte Journalist (auch ohne spezielle Kontakte in den Sicherheitsbereich) wissen, gibt es mehrere Behörden auf Bundes- und Landesebene, die für die innere Sicherheit zuständig sind.

Mittels Informationstechnik werden Verbrechen begangen, wie etwa das Stehlen von Bankdaten, um damit Konten auszurauben, Urheberrechtsverletzungen, Verleumdungen, Überlastangriffe auf Webserver und vieles mehr. Diesbezüglich wird, wie bei den Straftatenpendants in der physischen Welt, von den Landeskriminalämtern bzw. vom Bundeskriminalamt ermittelt, entsprechende Täternetze werden ausgeforscht und zum Thema Cyberkriminalität entsprechende Lageberichte erstellt.

Mittels Informationstechnik wird von ausländischen Gruppen und Nachrichtendiensten Spionage betrieben, sei es nun Wirtschaftsspionage, Industriespionage oder die gezielte Spionage gegen staatliche und politische Institutionen. Für die Abwehr dieser Spionageversuche sind in Deutschland die Verfassungsschutzämter der Länder bzw. des Bundes zuständig, die über ihre Erkenntnisse – so darf man vermuten – häufiger dem Innenministerium ausführliche Lageberichte geben (übrigens enthalten die öffentlichen Jahresberichte dieser Behörden Lageberichte über Spionageaktivitäten). Ein gewisse Überlappung existiert zum deutschen Auslandsnachrichtendienst BND, der selbst mittels Informationstechnik, Informationen beschafft und dabei wahrscheinlich auch ausländische Gruppen der organisierten Cyberkriminalität sowie Terroristen im Auge hat und ebenfalls darüber Lageberichte (für das Bundeskanzleramt) erstellt.

Zu diesem Behörden kommt nun noch das Bundesamt für Sicherheit in der Informationstechnik (BSI), das für die Informationssicherheit des Bundes verantwortlich ist. Das betrifft die kritischen Infrastrukturen im Allgemeinen (z.B. Strom- und Gasnetze) und die kritischen Informationsinfrastrukturen im Besonderen. Das BSI betreibt dazu noch das Computer Emergency Response Team (CERT) des Bundes und wehrt mit ganzen Abteilungen mit Experten gezielte Spam- und Überlastangriffe auf Behörden des Bundes ab, betreibt ebenso ein CERT für Bürger und erstellt in jedem Quartal sowie einmal jährlich einen „Bericht zur Lage der IT-Sicherheit“.

Wie aus diesem skizzenhaften Anriss ersichtlich werden an vielen Stellen in Deutschland Informationen erhoben, analysiert und Schlüsse daraus gezogen, die dann in einen Lagebericht mit einer entsprechenden Lageinschätzung münden.

Hier kann der komplexe Prozess der „Lageeinschätzung“, der zu einem Lagebericht führt, nicht ausführlicher thematisiert werden. Es sei nur angemerkt, dass dabei keinesfalls „aus dem Bauch heraus“ Einschätzungen gemacht werden, sondern mit wissenschaftlichen Methoden und Kriterien gearbeitet wird. Der Leser sei auf das Buch „Strategic Intelligence“ verwiesen, das der Amerikaner Sherman Kent bereits vor 60 Jahren veröffentlichte, das aber bezüglich der Methodik der Lageeinschätzung zurecht den Status eines „Klassikers“ hat.

Nun zurück zum Cyber-Abwehrzentrum. Dieses besteht aus acht Mitarbeitern des BSI, des Bundesamt für Verfassungsschutz BfV und des für Katastrophenschutz zuständigen BKK. Das Cyber-AZ und soll eine „Informationsdrehscheibe“ für die Erkenntnisse der oben erwähnten Behörden sein. Auch hier fehlt das richtige Wort, bestehen die Lageberichte und -einschätzungen der einzelnen Behörden doch eben nicht aus „nackten“ oder „rohen“ Informationen. Aber ein Wort wie „Lageeinschätzungsdrehscheibe“ ist nicht nur unhandlicher, sondern im deutschen Sprachraum noch unverständlicher. Das ist es aber, was laut Cybersicherheitsstrategie im Cyber-AZ passieren soll. Es sollen die Lageeinschätzungen der Einzelbehörden gebündelt und gezielt ausgetauscht werden.

Daraus sollen Handlungsempfehlungen hervor gehen, die an den neuen Cyber-Sicherheitsrat gegeben werden (s. Cybersicherheitsstrategie S. 8). Es ist dort ebenfalls von „Frühwarnungen und präventives Handeln“ die Rede. Dies ist ein definierendes Ziel von Intelligence, nämlich zukünftige Entwicklungen abzusehen und entsprechende Handlungsoptionen inklusive ihrer Auswirkungen zu analysieren. Zudem soll im Cyber-AZ auch die Industrie mit einbezogen werden, wobei der Modus Operandi dem Vernehmen nach noch nicht abschließend geklärt ist. Das Cyber-AZ soll also gar nicht „Angriffe aus dem Internet“ abwehren oder gar Schadsoftware analysieren. Vielmehr findet dort geradezu klassische Intelligence-Arbeit statt – „Cyber-Intelligence“, wenn man ein sexy Wort hierfür wählen will. Kennt man diese methodische Herangehensweise nicht, so mag man das Cyber-AZ herablassend verunglimpfen, obgleich sich damit lediglich die Unwissenheit der Journalisten offenbart. Und genau dies zeigte sich bei der Berichterstattung zum Cyber-Abwehrzentrum.

Ob für die gesetzte Aufgabe 10 Personen ausreichend ist, mag man kritikwürdig finden (oder auch nicht), aber die Personenstärke des Cyber-Abwehrzentrums mit dem „Cyber Command“ der US-Streitkräfte zu vergleichen, ist in etwa so sinnvoll wie der Vergleich einer nachrichtendienstlichen Stabsabteilung mit einer Panzerdivision. Beide haben völlig andere Aufgaben und Einsatzmittel und sind daher personell völlig unterschiedlich ausgestattet. Gerne jedoch kann man den Namen „Cyber-Abwehrzentrum“ kritisieren. Es wehrt ja eben nicht operativ Angriffe ab, sondern bündelt die Erkenntnisse unterschiedlicher Behörden, die Abwehr betreiben bzw. Opfer solcher Angriffe geworden sind. Ein entsprechendes Gebilde hätte man in den USA vielleicht „Cyber Intelligence Center“ genannt und direkt beim Sicherheitsberater des Präsidenten aufgehängt. „Abwehrzentrum“ klingt vielleicht wirklich etwas martialisch. Immerhin die offizielle englische Übersetzung „National Cyber Response Centre“ klingt schon ziviler.

Nichtwissen und Konfusion

Kommen wir zurück zum Ausgangsproblem, nämlich der politikwissenschaftlich nur sehr dünn vorhandenen Forschung zu nachrichtendienstlichen Lageeinschätzung in Deutschland. Hinzu kommt, dass es in Deutschland wegen der Rolle der Geheimdienste in der Nazi-Zeit ein sehr ambivalentes Verhältnis zu Nachrichtendiensten gibt. Aus guten Grund haben daher die deutschen Nachrichtendienste keine polizeilichen, exekutiven Befugnisse. Das ist aber vielen Bürgern Deutschlands nicht klar, was dazu führt, dass die öffentliche Wahrnehmung der Nachrichtendienste zwischen „depperten Schlapphüten“ oder James Bond bzw. Jason Bourne-artigen Vertretern schwankt.

Die Aufgabe der Nachrichtendienste ist die Versorgung der politischen Entscheidungsträger mit umfassenden und möglichst wenig ideologisch beeinflussten Lageberichten. Viele Bürger wissen nicht, dass den Lageberichten und -einschätzungen nicht nur mit nachrichtendienstlichen Mitteln beschaffte Informationen zugrunde liegen: klassische Spionage mit Agenten (Human Intelligence HUMINT) sowie Abhören und Funkaufklärung (Signal Intelligence SIGINT). Dafür haben die die staatlichen Nachrichtendienste vom Gesetzgeber die rechtlichen Befugnisse erhalten. Die meisten Informationen kommen aus offenen Quellen – Medien, Fachpublikationen oder Datenbanken. Das wird im Fachjargon Open-Source-Intelligence OSINT genannt.

Auch in der Wirtschaft wird mit OSINT betrieben – nur eben auf privater Basis. Große Unternehmen verfügen über „Business Intelligence“-Abteilungen, die Lageeinschätzungen zur aktuellen Situation und voraussichtlichen Entwicklung des Marktes für das Management bereitstellen. Vielfach werden diese Abteilungen von der „Competitive Intelligence“ ergänzt, die aus offenen Quellen Erkundungen über andere Marktteilnehmer einholen und deren strategische Position am Markt einschätzen, die eigenen Potentiale damit vergleichen und entsprechende Analysen für das Management erstellen. Und es gibt private Unternehmen, deren Geschäftszweck das Sammeln und Auswerten von Informationen ist, die sie an (meist) private Bedarfsträger verkaufen.

Diese nachrichtendienstliche Landschaft sollte man vor Augen haben, wenn man sich journalistisch mit Cyber-Abwehrzentrum beschäftigt. Das BSI und sein Lagezentrum erarbeiten Lageeinschätzungen zur Informationssicherheit. Und das Cyber-Abwehrzentrum ist nun eine Drehscheibe für Lageeinschätzungen aus anderen Behörden – ohne selbst ein Nachrichtendienst zu sein.

USA: Militarisierung der Informationssicherheit

Hätten wir es bei der Informationssicherheit nicht mit einem sehr, sehr wichtigen Thema zu tun, könnten wir es bei dieser Feststellung belassen. Hingegen ist die oben dargestellte Fehlwahrnehmung der Ausgangspunkt für eine falsch laufende Cyber-Debatte, was an den bereits genannten unkritischen Vergleichen mit Amerika augenscheinlich wird. In den USA wird Cybersicherheit als eine militärische Aufgabe gesehen, was an dem Begriff „Cyber-Krieg“ deutlich wird. Ferner ist dies am militärischen „U.S. Cyber Command“ zu sehen, welches „Information-Operations“ durchführt und abwehrt. Von militärischer Seite ist man in den USA der Auffassung, dass ein Cyberangriff, also zum Beispiel ein Überlastangriff auf die Börse oder ein Virenangriff mit anschließendem Ausfall eines Kraftwerks, ein bewaffneter Angriff im Sinne des Völkerrechts darstellt, der mit konventioneller Waffengewalt beantwortet werden darf.

Das wird wahrscheinlich in Kürze in einem Strategiedokument der amerikanischen Regierung festgeschrieben, wovon man sich eine „Abschreckung“ des Cyber-Feindes verspricht. Die am 1. Mai 2011 erschienene „International Strategy for Cyberspace“ gibt davon bereits Zeugnis ab. Diese Kalte-Kriegs-Logik besitzt nur einen entscheidenden Haken: Man kann den Urheber eines Cyberangriffs nicht mit Sicherheit feststellen. Genauer gesagt ist es nirgends so schwierig, den Urheber eines Angriffs festzustellen, wie im Cyberspace. Dies begünstigt „False-Flag“-Aktionen, also dem Vortäuschen der Urheberschaft eines Angriffs. Der Iran beispielsweise dürfte sich von den USA und Israel bedroht fühlen. Machen wir also ein hypothetisches Gedankenspiel: Was wäre, wenn der Iran einen „chinesischen“ Cyberangriff auf die USA vortäuschen würde – und so beide Länder in einen Krieg verwickelte?

Ein solches Horrorszenario könnte helfen, deutlich zu machen, warum die militärische Sichtweise auf Informationssicherheit brandgefährlich ist. Die Fähigkeit zur Verteidigung gegen und Abwehr von Cyberangriffen ist zwingend erforderlich – aber sie ist ohne militärische Intervention möglich. Die Verhütung solcher Gefahren geschieht in wichtigen Schritten auf zivilem Wege, sei es durch flächendeckende Einführung von DNSSEC und BGPSec oder durch Konventionen der UNO. Mit DNSSEC wird verhindert, dass in den Telefonbüchern des Internets, wo jede IP-Adresse einer Webseite zugeordnet wird, willkürlich Einträge verändert werden und so z.B. Bankkunden auf gefälschte Seiten gelenkt werden; ein wirksames Mittel gegen Cyberkriminelle. Mit dem zukünftigen BGPSec wird das Routing, also wie die Daten im weltweiten Netz von A nach B laufen, abgesichert, so dass es nicht mehr, wie schon mehrfach passiert, plötzlich große Teile des weltweiten Datenverkehrs aus Versehen über ein Land (z.B. China) läuft. Zudem werden auf internationaler Ebene Konventionen zur Harmonisierung von Straftatbeständen erstellt. Das sind alles zivile Vorhaben und bringen mehr Sicherheit als einseitig den physischen Gegenschlag auf einen virtuellen Angriff zu verkünden. Die Gefahr der Eskalation eines virtuellen Angriffs zu einem realen Krieg ist bei rein militärischer Behandlung zu groß und wird durch keinerlei Sicherheitsgewinn erkauft.

Zugleich ist es durchaus nachvollziehbar, wenn das Militär die Möglichkeiten der Unterstützung militärischer Operationen mithilfe von Cyberangriffen auslotet. Diese Flankierung von Militäroperationen aus dem Cyberraum wird in Zukunft größere Bedeutung bekommen. Und plausibel ist es auch, wenn militärische Cyber-Experten die Verteidigung der militärischen Netze sicherstellen.

Die Gründe für die amerikanische Militarisierung der Informationssicherheit sind ziemlich durchsichtig. Die USA sind so hoch verschuldet, dass es massive Budgetkürzungen auch im Militärbereich geben muss. Und das Land ist nach 10 Jahren „Krieg gegen den Terror“ kriegsmüde. Nun muss man nicht den „militärisch-industriellen Komplex“ zitieren und damit Verschwörungstheoretikern das Wort reden. Es genügt, auf die simple Tatsache hinzuweisen, dass die amerikanischen Rüstungsindustrie nach neuen Bedrohungen sucht, auf die sie mit neuen Produkten und Dienstleistungen antworten kann. Und die neue Bedrohung hat sie im „Cyberspace“ gefunden. Dort lauern von überall her Feinde, die Amerika auf eigenem Boden angreifen könnten. Pearl Habor 1941 und der 11. September 2001 sind die großen Traumata Amerikas. Die Angst vor einem Cyberangriff mit kriegsähnlichen Auswirkungen auf amerikanischem Boden ist darum psychologisch besonders wirksam. Das Militär hat im Bereich Cybersicherheit die Wortführerschaft, kommt doch zu diesem Thema in den Medien immer nur ein Militärvertreter zu Wort.

Fazit

Die deutsche Öffentlichkeit hätte es verdient, von den Mainstream-Medien über die amerikanische Militarisierung der Informationssicherheit angemessen informiert zu werden. Diesbezügliche Berichte findet man aber fast nur in eher links-gerichteten Medien, die sich durch eine rigorose Zurückweisung jeglicher staatlicher Gewalt und eine geradezu groteske Ablehnung aller nachrichtendienstlichen Aktivitäten auszeichnen. Darum wird in diesen linken Kreisen ein großer Punkt aus der Tatsache gemacht, dass das BSI aus einer Abteilung des Bundesnachrichtendienstes hervorgegangen ist (was auch schon über 20 Jahre her ist) und sich in Bonn-Mehlem, dem Standort des Cyber-Abwehrzentrums, den vorhandenen Platz mit dem „Amt für Militärkunde“ teilt, der laut Wikipedia eine Abteilung des BND ist (siehe etwa Helmut Lorscheid auf Telepolis zu diesem Thema). So wird aus der suggerierten geheimdienstliche Nähe des BSI eine ideologische Ablehnung dieser Behörde erzeugt und dies mit der (aus guten Gründen zu kritisierenden) Militarisierung des Cyberspace in den USA in einen Topf geworfen.

Nachrichtendienstliche Arbeit im Sinne von Lageeinschätzung ist im Rahmen der Rechtsstaatlichkeit für den Staat lebensnotwendig. Ebenso überlebenswichtig ist die kritische Infrastruktur des Landes sowie ein großer Teil seiner Wirtschaftskraft, die von Informationstechnik direkt abhängig sind. Eine militärische Sichtweise und ein entsprechendes Denkschema grenzt die Absicherung dieser Informationstechnik stark ein und wird sich als nachteilig für die Sicherheit erweisen.

Dass ein demokratischer Staat die Lage der Informationssicherheit im Auge halten will und Erkenntnisse aus verschiedenen Bereichen bündeln und weiter verarbeiten will (wie es das Cyber-Abwehrzentrum tun soll) ist vor dem Hintergrund der Bedeutung von Lagebeurteilung dem ersten Ansehen nach ein plausibles Vorhaben zur Verbesserung der Informationssicherheit in Deutschland. Dabei bedarf es einer kritischen und begleitenden Debatte darüber, ob die gewählten Mittel angemessen sind. Hier berühren wir die Gemengelage um Themen wie Onlinedurchsuchung und Vorratsdatenspeicherung. Eine Debatte ist nie gänzlich ideologiefrei – der Anspruch an die Diskursbeteiligten ist einfach zu groß, alle ihre Beweggründe und Positionen selbstkritisch zu reflektieren. Das Problemfeld ist aber schon weit vor diesem Ideal augenscheinlich: Es fehlt in der Debatte die Fähigkeit, den relevanten Prozess der Lageeinschätzung zu erfassen oder gar zu verstehen. Ferner wird von einer Seite, wohl bedingt durch die Sozialisation der Chefredakteure aus einer Zeit, wo Amerika unangefochten den Ton angab, die amerikanische Position nicht oder nur sehr wenig reflektiert. Auf der anderen Seite wird die amerikanische Position zwar kritisiert, aber eben gleichzeitig jegliche nachrichtendienstliche Tätigkeit (inklusive der Intelligence, die auch ohne nachrichtendienstliche Mittel der Spionage auskommt) abgelehnt. Es wäre positiv für die Weiterentwicklung der deutschen Sicherheitsstrategie, wenn dieses Dilemma aufgelöst würde und die öffentliche Debatte die Sicherheitsstrategie kritisch begleiten könnte.

Die Eröffnung des nationalen Cyber-Abwehrzentrums wäre eine gute Möglichkeit gewesen, eine fundierte Debatte einzuleiten. Fragen in dieser Debatte wären beispielsweise die Hintergründe für den deutschen Ansatz, Informationssicherheit zivil aufzuziehen und dies kritisch mit dem US-amerikanischen Ansatz, Informationssicherheit vornehmlich zu einer Aufgabe des Militärs zu machen, zu vergleichen. Rechtfertigen sachliche Argumente die Häme auf die deutsche Position? Wollen wir eine Militarisierung des Cyberraums? Es wäre auch sinnvoll gewesen, die Aufgaben der verschiedenen deutschen Sicherheitsbehörden und ihren jeweiligen Anteil an Informationssicherheit zu beleuchten. Ist es wirklich so fragwürdig, diese jeweiligen Erkenntnisse koordinieren und bündeln zu wollen? Genügt die aktuelle Ausgestaltung dieser Koordinierung im Cyber-AZ dem verfassungsrechtlichen Trennungsgebot? Die Eröffnung des nationalen Cyber-Abwehrzentrums hätte der Auftakt für eine solche Begleitung sein können. Die strategische Relevanz des Cyberthemas verdient diese Begleitung.

Zur Person: Richard Stein (Jahrgang 1969 mit deutsch-israelischen Wurzeln) ist Unternehmensberater mit Schwerpunkt Informationssicherheit, strategische Unternehmensplanung

Bildnachweis: CreativeCommon-Bild des Nutzers „Leit“ (LINK)

Die Kommentarfunktion für diesen Beitrag wurde beendet.