Das Bundesministerium des Innern, für Bau und Heimat (BMI) wird in diesem Jahr eine neue nationale Cybersicherheitsstrategie veröffentlichen. Das Dokument befindet sich derzeit noch in der Abstimmung und baut auf dem im Jahr 2016 veröffentlichen ersten Strategiepapier zur Cybersicherheit auf.
Wir freuen uns deshalb, dass wir für den sechsten Cluster Stammtisch Dr. Sven Herpig als Impulsredner für diesen Tag gewinnen konnten.
Dr. Sven Herpig ist der Leiter für Internationale Cybersicherheitspolitik der Stiftung Neue Verantwortung. Die Stiftung Neue Verantwortung ist einer von vielen externen Impulsgebern aus den Bereichen Wissenschaft, Wirtschaft, Staat und Zivilgesellschaft, die sich an dem Prozess des Ministeriums beteiligt haben.
Im Anschluss an den Cluster-Stammtisch haben wir mit Dr. Sven Herpig ein kurzes Interview geführt:
Herr Dr. Herpig, Sie sind Leiter für Internationale Cybersicherheitspolitik bei der Stiftung Neue Verantwortung. Schenken Sie uns einen Einblick in Ihren Aufgabenbereich und die Ihrer Institution.
Die Stiftung Neue Verantwortung, oder SNV wie sie vor allem genannt wird, ist ein unabhängiger und überparteilicher Berliner Tech-Policy Think Tank. Das Programm „Internationale Cybersicherheitspolitik“ haben wir im Januar 2017 gegründet. Seitdem befassen wir uns mit unterschiedlichen Themen wie dem Schutz der Wahlen, der Absicherung von maschinellem Lernen oder der deutschen Cybersicherheitspolitik und arbeiten eng zusammen mit europäischen und amerikanischen Expert:innen aus unterschiedlichen Sektoren. Dabei verwenden wir unterschiedliche Methoden wie Expert:innen-Worskhops, Gremienarbeit, Studien oder Übungen.
Was läuft aus Ihrer Sicht gut bzw. an welchen Stellen gibt es noch Verbesserungsbedarf bei der Cybersicherheitsstrategie für Deutschland 2021?
In der Cybersicherheitsstrategie gibt es einige gute Maßnahmen, wie die Stärkung des Bundes-Security-Operations-Center und der Mobile Incident Response Teams, die engere Verzahnung bei der Bund-Länder Kooperation, oder die Vorfallsbearbeitungsamtshilfe durch die Bundeswehr, aber auch die Weiterentwicklung und Zusammenarbeit bei der Cyber Diplomacy Toolbox auf EU-Ebene. Auch das Controlling ist ein interessantes neues Element, denn die Strategie hat keinerlei rechtliche Bindungswirkung und ist auch nicht mit Haushaltsmitteln hinterlegt. Ohne Anreize, positiv wie negativ, braucht es auch keine Strategie. Leider gibt es in der Strategie aber auch Maßnahmen, wie die Forderung nach Hintertüren in IT-Produkten, die der Cybersicherheit in Deutschland entgegenlaufen und daher keinen Platz in dieser Strategie haben. Zusätzlich wird ausschließlich von der Ausweitung von Befugnissen für Sicherheitsbehörden und neuen Strukturen gesprochen, ohne die Notwendigkeit von Befugnissen oder Akteuren zu prüfen und die bestehenden gegebenenfalls zu reformieren oder abzuschaffen. Auch die im Koalitionsvertrag erwähnten Kontrollmaßnahmen finden sich in der Strategie nicht wieder. Gepaart mit dem eng-getakteten Zeitplan der Cybersicherheitsstrategie, der kaum eine sinnvolle Beteiligung der unterschiedlichen Sektoren und Länder zuließ, und der baldigen Bundestagswahl halte ich eine Verabschiedung der Strategie in ihrer aktuellen Form in diesem Jahr für gefährlich und kontraproduktiv.
Welche drei Maßnahmen empfehlen Sie, damit eine ganzheitliche Cyber-Sicherheits-Strategie für die Bundesrepublik Deutschland als auch über die deren Grenzen hinaus gelingen kann?
- Deutschland muss eine klare Vision entwickeln und sie über die EU international vermarkten. Dabei sollten die Stärken Deutschlands genutzt werden. Eine Vision könnte zum Beispiel sein, führend im Bereich der Absicherung von industriellen Steueranlagen und/oder kritischen Infrastrukturen zu werden und damit einen Gegenentwurf zu den existierenden offensiv-ausgerichteten und Überwachungsstrategien geopolitischer Schwergewichte anzubieten.
- Deutschland muss alle Maßnahmen zur Herstellung der öffentlichen Sicherheit, welche die IT- und Cybersicherheit unterminieren ersatzlos aus der Strategie streichen. Eine Cybersicherheitsstrategie muss eine Cybersicherheitsstrategie sein und keine Cyberunsicherheitsstrategie.
- Bestehende Akteure und Befugnisse müssen auf den empirischen Prüfstand gestellt werden, bevor es neue Akteure und Befugnisse gibt.
Nach dem Impulsvortrag von Dr. Herpig wurde über die Cybersicherheitsstrategie von Seiten der Stammtisch-Teilnehmer kontrovers diskutiert. Abgerundet wurde der Stammtisch durch einen regen Austausch zum Ransomware-Angriff auf den Landkreis Anhalt-Bitterfeld in Sachsen-Anhalt.
Der nächste Mitglieder-Stammtisch des Cyber Security Cluster Bonn findet am Dienstag, den 10.08.2021 wie gewohnt von 16:00-17:30 Uhr statt.