Die Kolleg_Innen von der Stiftung Neue Verantwortung haben in einem Impulspapier sehr stichhaltig diejenigen Themen zusammengefasst, die für die Legislaturperiode der kommenden Regierung im Bereich der Cyber- und IT-Sicherheit relevant sein müssen. Dabei identifizieren sie drei Bereiche und verbinden ihre Analyse mit klaren Vorschlägen, darunter die Stärkung des BSI als zentrale deutsche Instanz für die Vorbeugung und Behandlung von IT-Sicherheitsvorfällen. Um diese Rolle auszufüllen und öffentlich als vertrauensvoll wahrgenommen zu werden sollte das BSI als Einrichtung vom BMI getrennt und damit dem potentiellen Wirkungsbereich der Nachrichtendienste entzogen werden. Um es mit den Worten des Papers zu sagen: “Code maker” und “Code breaker” sollten getrennt werden. Neben diesem Vorschlag geht es den Autoren noch um die deutliche Verbesserung der Personalpolitik im Bereich der IT-Sicherheit, die zum einen effizienter und zum anderen – angesichts der vielen öffentlichen Einrichtungen die mit diesem Problem kämpfen – bedarfsgerechter gestaltet werden müsste. Ein dritter wichtiger Punkt besteht darin, angesichts der Debatten über den Aufkauf von Sicherheitslücken (unter anderem im Rahmen von ZITiS) klare Regularien für den Umgang mit diesen Mitteln zu schaffen und verantwortungsvoll abzuwägen, um IT-Sicherheit durch ein solches Vorgehen nicht noch weiter zu gefährden.
Neben diesen Punkten des Impulspapiers sollte aber ein vierter Aspekt für die kommende Regierung von Relevanz sein. Angesichts des weiteren Aufbaus der Cyber-Einheiten bei der deutschen Bundeswehr und der damit verbundenen Aufstockung der Offensiv-Kräfte CNO und deren Aufwertung zu einem Zentrum für Cyberoperationen ist es dringend geboten zu klären, wie die Regierung und im speziellen das BMVg diese Cyberkapazitäten bei der Bundeswehr nutzen will und welchen Normen und Regeln sie sich bei der strategischen Planung verpflichtet sieht. Bislang erfolgt dies stets mit Verweis auf die Regeln und Planungen der bestehenden Teilstreitkräfte – ein Verweis der unter anderem deshalb unzureichend ist, da Defensive und insbesondere die Offensive im Cyberspace anders funktionieren und anderen Bedingungen und Funktionsweisen unterworfen sind, die Analogien und Operationalisierungen unterminieren. Exemplarisch dafür kann die nach wie vor anhaltende Debatte über die Möglichkeiten und Grenzen der Attribution im Cyberspace gelten sowie die Frage, was eine Cyberattacke genau ist und welches Ausmaß einer Cyber-Einwirkung als solche gelten kann. Auch der bisherige Verweis des BMVg auf das Tallinn Manual bei solchen Fragen reicht dabei nicht aus, da diese Analyse in erster Linie auf Analogien zu kriegerischen Akten mit konventionellen Waffen beruht und eher auf die diversen Probleme bei der Anwendung etablierter Regeln auf den Cyberspace und die entsprechende Notwendigkeit internationaler Debatten und die Notwendigkeit spezifischer Normen hinweist. Eine Frage an der sich diese Ungereimtheiten im Bereich der Bundeswehr kristallisieren lässt besteht darin klären (und internationale *erklären* zu müssen) ob und wie weit und tief die Bundeswehr für die Erstellung ihres Cyber-Lagebildes sowie die strategische Planung in Friedenszeiten in IT-Systeme fremder Staaten eingreifen darf um diese auszuspähen oder ein Wirken vorzubereiten.