Deutsche Cybersicherheit und -Abwehr: Alle staatlichen Institutionen mit Kapazitäten sowie Perspektive der Bundesregierung

Die Bundestagsfraktion der FDP hatte vor einigen Woche eine kleine Anfrage (lokale Kopie) an die Bundesregierung gerichtet und darin insbesondere nach den Planungen für Hack-Backs gefragt sowie den rechtlichen Rahmenbedingungen die dafür ggf. bereits existieren oder geschaffen werden sollen. Die Antwort der Bundesregierung (lokale Kopie) enthält einige aufschlußreiche Angaben, insbesondere Konkretisierungen wie das Thema Cyber-Abwehr institutionell gesehen und im Kontext der laut Cybersicherheits-Strategie von 2016 daran beteiligten Ministerien aufgeteilt und behandelt wird bzw. werden soll.

Als erste wichtige Aussage definiert die Antwort, was genau aus Sicht der Bundesregierung mit “Cyber-Abwehr” gemeint ist und wie man damit aktuell umgeht:

Cyber-Abwehr bezieht sich auf die zivile Abwehr aller Formen vorsätzlicher Handlungen, deren Ziel es ist, die Verfügbarkeit, Integrität und Vertraulichkeit von informationstechnischen Systemen mit informationstechnischen Mitteln zu manipulieren, zu beeinflussen oder zu stören und die keinen „bewaffneten Angriff“ im Sinne von Artikel 51 VN-Charta darstellen. Ein „Cyber-Gegenangriff“ ist insofern ebenfalls eine – aktive – Maßnahme der Cyber-Abwehr mit dem Ziel, die zum Angriff genutzten informationstechnischen Systeme mit informationstechnischen Mitteln zu manipulieren oder zu stören. Maßnahmen in diesem Sinne bezeichnet die Bundesregierung als aktive Cyber-Abwehr.

Hinsichtlich möglicher “Kollateralschäden” und den Problemen bei der eindeutigen Identifikation von Cyber-Angreifer soll Sorge getragen werden, “dass keine Maßnahmen durchgeführt werden, die zu einer unverhältnismäßigen Gefährdung Unbeteiligter führen würden [indem] das jeweils am wenigsten eingriffsintensive technische Mittel geprüft wird”. Die Antwort betont diesbezüglich, dass die durch entsprechende Maßnahmen aufgeworfenen Fragen und rechtlichen Grenzen aktuell noch mit Blick auf “völker-, verfassungs- und einfachrechtliche Fragestellungen geprüft werden“ und daher “bislang keine Maßnahmen der aktiven Cyber-Abwehr durchgeführt [werden]”. Ob dies auch bedeutet das bislang keine solche Maßnahmen durchgeführt worden sind lässt sich aus der Wortwahl nicht eindeutig feststellen.

Darüber hinaus enthält die Antwort der Bundesregierung eine umfassende Liste der am Thema Cybersicherheit beteiligten staatlichen Institutionen, nebst Personal und Aufgabenbereich, die im folgenden zusammenfassend dokumentiert werden soll (die Liste ist alphabetisch sortiert). Mit Blick auf die Ressourcen betont die Antwort, dass damit Personalkapazität verstanden wird, die direkt mir Cyber-Abwehr und potentiell Gegenangriffen befasst ist. Das Original-Dokument enthält z.T. weitere Angaben zu Rechtsgrundlagen und entsprechenden Paragraphen.

Institution Aufgabenbereich(e) die Cybersicherheit und Cyberabwehr umfassen Ressourcen für Cyber-Abwehr / direkt mir Cyber-Abwehr und Gegenangriffen befasstes Personal
Bundeskanzleramt (BKAmt) Fach- und Rechtsaufsicht für den Bundesnachrichtendienst (BND) keine MitarbeiterInnen
Bundesministerium des Innern, für Bau und Heimat (BMI) Abteilungen B (Bundespolizei), CI (Cyber- und IT-Sicherheit) sowie ÖS (Öffentliche Sicherheit) mit Koordinierung und Steuerung der Maßnahmen, sowie die Fach- und Rechtsaufsicht 80 MitarbeiterInnen
Bundesministerium der Verteidigung (BMVg) Laut obiger Definition fallen die Maßnahmen der Bundeswehr zum Schutz der eigenen IT-Systeme nicht unter Cyber-Abwehr, sondern unter Cyber-Verteidigung sodass die Bundeswehr formal keine Aktivitäten zur Cyber-Abwehr durchführt Keine MitarbeiterInnen
Bundesnachrichtendienst (BND) Abteilung TA bearbeitet die Themen Cyberabwehr und Cyberbedrohung Informationen sind als “VS – Geheim” eingestuft und nicht öffentlich zugänglich
Bundesamt für Verfassungsschutz (BfV) Abteilung Spionageabwehr ist für die Cyber-Abwehr zuständig. Vollständig geheim, auch für Parlamentarier nicht einsehbar
Bundeskriminalamt (BKA) Hat die originäre Strafverfolgungskompetenz in Fällen von Cyber-Crime, dies beinhaltet gefahrenabwehrende und präventive Aspekte um die Ausweitung eines Angriffes oder die Ausbreitung einer Schadsoftware zu unterbinden oder durch technische Maßnahmen die Handlungsfähigkeit des Angreifers
einzuschränken
Zur Bekämpfung von Cyber-Crime rund 140 MitarbeiterInnen, “anlassbezogen kommen weitere Servicekräfte” hinzu
Bundespolizei (BPOL) Abwehr von Cyber-Angriffen, die gegen die IKT-Systeme und -Infrastrukturen der Bundespolizei gerichtet sind mit entsprechenden Defensiv-Mitteln 35 MitarbeiterInnen im Bereich Cyber-Abwehr
Bundesamt für Sicherheit in der Informationstechnik (BSI) Abwehr von Gefahren für die Sicherheit in der Informationstechnik des Bundes sowie auf Ersuchen auch der Länder. Enge Kooperation mit anderen Institutionen beim Schutz Kritischer Infrastrukturen. Betrieb des Nationalen Lagezentrums, des CERT-Bund, (Computer Emergency Response Team für
Bundesbehörden), Betrieb des Nationalen Cyber-Abwehrzentrum (Cyber-AZ). Aktive Cyber-Abwehr fällt nicht in den Aufgabenbereich des BSI
Alle MitarbeiterInnen in den Fachabteilungen (Prävention, Detektion und Reaktion) sind mit “Informationssicherheit“ beschäftigt (Verwaltung ausgenommen). Cyber-Abwehr im engeren Sinne ist in Abteilung CK („Cyber-Sicherheit und Kritische Infrastrukturen“) angesiedelt und aufgeteilt in „Cyber-Sicherheit in Netzen und IT-Systemen“ sowie „Operative Cyber-Sicherheit“ mit etwa 150 Personen
Nationales Cyber-Abwehrzentrum (Cyber-AZ) Keine eigenständige Institution sondern betrieben durch das BSI. Zentrale Koordinationsstelle der BSI, des Bundesamt für Bevölkerungsschutz
und Katastrophenhilfe (BBK), dem BfV, BKA, BND, BPOL, die Bundeswehr und das Zollkriminalamt (ZKA) vertreten. Die geplante Weiterentwicklung zum Cyber-AZ im Rahmen der Cyber-Sicherheitsstrategie 2016 Plus wird insbesondere auch eine Möglichkeit zur stärkeren Einbindung der Länder beinhalten sowie als ständiges Lagebildzentrum und Krisenkoordinationsstelle
10 MitarbeiterInnen, allerdings mögliche weitere Aufstockung im Rahmen der erweiterten Befugnisse durch die Cyber-Sicherheitsstrategie 2016 geplant

Auf Nachfrage der Parlamentarier erklärt der Bericht, dass keine weiteren, mit Cyber-Abwehr befassten Institutionen geplant sind. Allerdings fehlen in der Liste der Bundesregierung zwei Einrichtungen, die sich im Aufbau befinden oder deren Aufbau noch 2018 begonnen werden soll. Beide Institutionen verfügen über keinerlei Operativ-Befugnisse und sollen laut Planung ausschließlich die benötigen Hilfsmittel für andere Bedarfsträger zur Verfügung stellen und sind möglicherweise daher in der Antwort der Bundesregierung nicht aufgeführt. Da ihre Rolle aber zukünftig interessante Fragen aufwerfen dürfte, an dieser Stelle eine gesonderte Auflistung dieser beiden Einrichtungen:

Institution Aufgabenbereich(e) die Cybersicherheit und Cyberabwehr umfassen Ressourcen für Cyber-Abwehr / direkt mir Cyber-Abwehr und Gegenangriffen befasstes Personal
Zentrale Stelle für Informationstechnik im Sicherheitsbereich (ZITiS), bei BMI angesiedelt) Forschungs- und Entwicklungsstelle mit den Aufgabenschwerpunkten digitale Forensik, Telekommunikationsüberwachung, Kryptoanalyse, Big-Data-Auswertung sowie technischen Fragen von Kriminalitätsbekämpfung, Gefahren- und Spionageabwehr, Analyse und Beratung bei Zukauf von digitale Einsatz-Hilfsmitteln (Sicherheitslücken, Software, Exploits) Bis 2022 ca. 400 Personalstellen, im Bundeshaushalt 2017 waren 120 Planstellen und ein Sachmitteletat von 10 Millionen Euro vorgesehen
Agentur für Disruptive Innovationen in der Cybersicherheit und Schlüsseltechnologien (ADIC), beim BMVg angesiedelt Forschung und Entwicklung aktiver Cyberabwehrtechniken wie der Abwehr von (DoS)-Attacken sowie an der Wiedergewinnung / Löschung kopierter Daten auf fremden IT-Systemen Unbekannt

Mit Blick auf die Kooperationen der obigen Institutionen mit der Bundeswehr – neben der beständigen, eher organisatorischen Abstimmung im Nationalen Cyber-Abwehrzentrum – führt die Antwort aus, dass folgende Zusammenarbeit stattfindet:

  • in dem Cyber Security Operation Centre der Bundeswehr (CSOCBw)
  • im Zentrum für Cybersicherheit der Bundeswehr (ZCSBw) und
  • im nationalen und internationalen Verbund der Computer Emergency Response Teams (CERT-Verbund)

Die Antwort enthält ferner Angaben darüber, welche Institutionen “Cyber-Lagebilder” erstellen, in welchen Geheimhaltungs- und Verbreitungsstufen diese verteilt werden und in welchem Umfang ständige Cyber-Lagezentren betrieben werden: dies trifft im wesentlichen auf das Nationale IT-Lagezentrum des BSI zu sowie auf unterschiedliche CERTs im Bund und Ländern sowie in Wirtschafts-Kooperationen. Allerdings wird darauf verwiesen, dass künftig auch im Rahmen des KdoCIR der Bundeswehr “ein fusioniertes Lagebild CIR erarbeitet und bundeswehrweit zur ebenengerechten Information zur Verfügung gestellt werden [soll]. Durch das GLZ CIR soll u. a. die Lage im Informationsumfeld, die IT-Betriebslage und die Informationssicherheitslage inkl. Cyber-Sicherheitslage gebündelt, in einen Zusammenhang gestellt und ausgewertet werden.

Eine kleine Anfrage der Fraktion der Grünen, die sich spezifisch auf die militärische Cyber-Fähigkeiten Deutschlands bezieht, dürfte diese Aufstellung demnächst weiter vervollständigen.