Wörterbuch zur Sicherheitspolitik. Ernst-Christoph Meier
Читать онлайн книгу.
gegen Cyber-Bedrohungen zu stärken. Hierzu schlägt die EU-Kommission vor, die Richtlinie zur Netz- und Informationssicherheit (NIS) von 2016 zu aktualisieren (NIS 2.0), um die Abwehrfähigkeit kritischer öffentlicher und privater Sektoren zu verbessern. Mit einem Netz von Sicherheitseinsatzzentren in der gesamten EU soll mithilfe künstlicher Intelligenz (KI) ein »Cybersicherheitsschutzschild« aufgebaut werden, um so frühzeitig Signale für drohende Cyber-Angriffe zu erkennen und damit Abwehrmaßnahmen zu ergreifen, bevor Schäden verursacht werden. Die Strategie bietet der EU auch die Möglichkeit, ihre Führungsrolle bei internationalen Normen und Standards im Cyber-Raum zu festigen und die Zusammenarbeit mit Partnern in der ganzen Welt zu stärken.
Entwicklungen in Deutschland
Die Cyber-Sicherheitsstrategie (CSS) für Deutschland von 2011 und auch die Neufassung von 2016 zählen die Gewährleistung von Freiheit und Sicherheit, und damit auch den Schutz der Bürger, Institutionen und Unternehmen vor Bedrohungen aus dem Cyber-Raum, zu den Kernaufgaben des Staates. Durch den Einsatz sicherer Systeme, die Anwendung bewährter Basismaßnahmen und vertrauenswürdige und wirksame Sicherheitsprodukte und Standards kann eine Vielzahl von Cyber-Angriffen abgewehrt werden. Für das Jahr 2021 ist eine weitere, durch das Bundeskabinett zu verabschiedende Cyber-Sicherheitsstrategie geplant, die erheblich detaillierter die Vielzahl der Akteure der deutschen Cyber-Sicherheitsarchitektur beschreibt und messbare Weiterentwicklungsziele für deren jeweilige Rolle bzw. die Koordinierung und Zusammenarbeit beschreiben soll.
Ein Schwerpunkt deutscher Cyber-Sicherheitspolitik ist der Schutz Kritischer Infrastrukturen (KRITIS), der aufgrund des Risikos, möglicher Konsequenzen und damit der sicherheitspolitischen Relevanz als ressortgemeinsame und gesamtstaatliche Aufgabe verstanden wird. Als wichtiges Instrument zum Schutz von KRITIS wurde im Jahr 2015 das (erste) IT-Sicherheitsgesetz verabschiedet, das u. a. Mindeststandards für die IT-Sicherheit für die Betreiber sowie eine Meldepflicht erheblicher Störungen der Verfügbarkeit, Integrität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse an das Bundesamt für die Sicherheit in der Informationstechnik (BSI) als zuständige Bundesoberbehörde für Informationssicherheit auf nationaler Ebene vorsieht. Das Nachfolgegesetz (»IT-Sicherheitsgesetz 2.0«) wurde am 23. April 2021 durch den Bundestag verabschiedet. Danach müssen u. a. neben den KRITIS-Betreibern künftig auch weitere Unternehmen im besonderen öffentlichen Interesse (z. B. Rüstungshersteller oder Unternehmen mit besonders großer volkswirtschaftlicher Bedeutung) bestimmte IT-Sicherheitsmaßnahmen umsetzen und werden in die Meldepflicht an das BSI einbezogen.
Wesentliche Institutionen der hochkomplexen und aus einer Vielzahl staatlicher, wirtschaftlicher, wissenschaftlicher und zivilgesellschaftlicher Institutionen auf Bundes- wie Landesebene bestehenden Cyber-Sicherheitsarchitektur sind der bereits seit 2011 existierende Cyber-Sicherheitsrat auf Ebene Staatssekretär, aufgrund des Ressortprinzips jedoch ohne dezidierte Entscheidungsbefugnis, das Nationale Cyber-Abwehrzentrum als ressortgemeinsame Koordinierungs- und Kooperationsplattform, das Computer Emergency Response Team des Bundes (CERT-Bund), angesiedelt im BSI, sowie die Schaffung sog. Mobile Incident Response Teams (MIRT) im BSI zur Analyse und Bereinigung von Cyber-Vorfällen in für das Gemeinwesen besonders bedeutenden Einrichtungen. Diese werden in den jeweiligen Aufgabenbereichen ergänzt durch entsprechende Teams des Bundeskriminalamts, des Bundesamtes für Verfassungsschutz sowie der Bundeswehr.
Das Weißbuch 2016 reflektiert einerseits umfassend die Herausforderungen für die Bundeswehr als Hochwertziel zunehmend komplexer Cyber-Angriffe im Inland und auch in den Einsätzen sowie die notwendigen Fähigkeitsentwicklungen im defensiven wie offensiven Bereich. Andererseits hebt es diesbezüglich aber auch eine schwindende Unterscheidbarkeit zwischen innerer und äußerer Sicherheit und die daraus resultierende Notwendigkeit eines ressortgemeinsamen Ansatzes hervor. Entsprechende Fähigkeiten sind auszubauen und in die gesamtstaatliche Sicherheit kooperativ einzubringen.
Ausgehend von diesen Herausforderungen wurden auch für den Geschäftsbereich des BMVg umfangreiche organisatorische Maßnahmen umgesetzt. Hierzu gehört die Einrichtung einer weiteren Abteilung im Bundesministerium für Verteidigung Cyber/IT (CIT) im Oktober 2016.
Mit der Aufstellung des Organisationsbereichs Cyber- und Informationsraum (OrgBer CIR) im Jahr 2017 sind in einem ersten Schritt alle relevanten Akteure mit ihren jeweils bestehenden Strukturen unter einem Dach – dem Kommando Cyber- und Informationsraum – zusammengeführt worden. Dieses geschah unter gleichzeitiger Sicherstellung der bruchfreien Arbeitsfähigkeit des Organisationsbereichs. Kernelement dieses Prozesses war die Zusammenführung der meisten bislang stark im BMVg bzw. im nachgeordneten Bereich verteilten Zuständigkeiten und Ressourcen für die Cyber-Verteidigung.
Mit der Refokussierung auf Landesverteidigung/Bündnisverteidigung (LV/BV) sowie der fortschreitenden Entwicklung des Fähigkeitsprofils der Bundeswehr wurde 2019 in einem zweiten Schritt eine geplante Strukturanalyse des Organisationsbereichs durchgeführt. Diese entwickelte eine Zielstruktur, die durch Steigerung der Flexibilität und Agilität in Strukturen und Abläufen den zukünftigen Aufgaben und Anforderungen bei gleichbleibenden personellen Ressourcen zielgerichteter entspricht. Das Projekt »CIR 2.0« stellt die Einnahme der neuen Zielstruktur sicher.
Die Abteilung CIT steuert die nationalen und internationalen Aktivitäten für den Bereich Cyber- und Informationstechnik im Geschäftsbereich BMVg. Hierzu gehören die Planung und Umsetzung aller Verteidigungsaspekte gesamtstaatlicher Cyber-Sicherheit im Rahmen der nationalen Cyber-Sicherheitsstrategie sowie deren Gewährleistung in bundeswehreigenen Netzen und Rechenzentren.
Cyber-Sicherheitsstrategie
Die erste ~ für Deutschland wurde von der Bundesregierung am 23. Februar 2011 beschlossen. Ziel war es, Cyber-Sicherheit auf einem der Bedeutung und der Schutzwürdigkeit der vernetzen Informationsinfrastrukturen angemessenen Niveau zu gewährleisten, ohne die Chancen und den Nutzen des Cyber-Raums zu beeinträchtigen. Kernpunkte der Strategie waren der verstärkte Schutz Kritischer Infrastrukturen vor IT-Angriffen, der Schutz der IT-Systeme in Deutschland, der Aufbau eines nationalen Cyber-Abwehrzentrums sowie die Einrichtung eines nationalen Cyber-Sicherheitsrates und diente im Kern dem Schutz Kritischer Infrastrukturen.
Die signifikant erweiterte ~ von 2016 baut auf den seit 2011 etablierten Strukturen und Maßnahmen auf, stellt jedoch den KRITIS-Schutz noch deutlich stärker als gesamtstaatliche Aufgabe in den Mittelpunkt, die nur ressortgemeinsam und gemeinsam mit der Wirtschaft gelingen kann. Sie geht von einer Cyber-Bedrohungslage in Deutschland aus, die einerseits von steigender Komplexität und Interdependenz der eingesetzten Technik und andererseits einer steigenden Zahl und Qualität der Cyber-Angriffe geprägt ist, die auf oftmals unzureichend gesicherte IT-Systeme treffen. Sicherheitspolitisch stellt sie Cyber-Angriffe erstmals auch in den Kontext hybrider Bedrohung.
Für 2021 ist eine stark überarbeitete und detailliertere ~ geplant, die die vorigen Strategien zwar ersetzen, jedoch bewährte Strukturen weiterführen soll. Sie beschreibt den strategischen Rahmen, in dem die Bundesregierung in den nächsten fünf Jahren Aktivitäten für mehr Cyber-Sicherheit entfaltet, schafft durch die Einführung von Zielvorstellungen und messbaren Kriterien Transparenz und Nachvollziehbarkeit für alle Akteure in Staat, Wirtschaft, Wissenschaft und Gesellschaft und berücksichtigt neue Vorgaben der Europäischen Union im Bereich der Cyber-Sicherheit und im Datenschutz, wie u. a. eine neue Richtlinie für Netz- und Informationssicherheit (NIS 2.0) sowie die Datenschutz-Grundverordnung. Die Strategie setzt die Cyber- und Informationssicherheit auch ins Verhältnis zu hybriden Bedrohungen, da hierzu auch illegales Vorgehen im Cyber-Raum gehören kann, aber auch der missbräuchliche Einsatz legaler Mittel in schädigender Absicht (z. B. Desinformation).
Inhaltlich zielt sie voraussichtlich in vier Handlungsfeldern auf ein sicheres und selbstbestimmtes Handeln in einer digitalisierten Umgebung, Cyber-Sicherheit als gemeinsamen Auftrag von Staat und Wirtschaft, eine leistungsfähige und nachhaltige gesamtstaatliche Cyber-Sicherheitsarchitektur sowie eine aktive Positionierung Deutschlands in der europäischen und internationalen Cyber-Sicherheitspolitik.
Unter anderem mit den Regelungen für mehr Verbraucherschutz und sicherer Gestaltung der Digitalisierung soll sie