Mit <kes>+ lesen

Weichenstellung für die Digitalisierung Deutschlands : Zur Neuordnung der nationalen Cybersicherheits-Architektur

Der vorliegende Beitrag gibt einen Ausblick auf anstehende strukturelle Veränderungen in der deutschen nationalen Cybersicherheits-Architektur und erläutert den Bedarf hierfür sowie ihre Notwendigkeit und Sinnhaftigkeit aus rechtlicher und rechtspolitischer Perspektive.

Lesezeit 13 Min.

In der nationalen Cybersicherheits-Architektur bahnen sich in diesem und im kommenden Jahr erhebliche Veränderungen und Umstrukturierungen an, die vorrangig durch neue gesetzgeberische Vorhaben auf europäischer Ebene wie NIS-2 sowie den umfassenden „horizontalen“ EU Cyber-Resilience-Act (CRA) angestoßen werden und unter anderem voraussichtlich in einem neuen Update des IT-Sicherheitsgesetzes (IT-SiG 3.0) münden dürften. Aber auch darüber hinaus gibt es drängende regulatorische Fragen: einerseits hinsichtlich einer möglichen Umstrukturierung des komplexen deutschen Zuständigkeitsgefüges in der Cybersicherheit – andererseits hinsichtlich einer Erweiterung der Regulierung kritischer Infrastrukturen (KRITIS) und der physischen Sicherheit, wie sie mit dem Entwurf für ein neues KRITIS-Dachgesetz verfolgt wird.

Am 25. Januar 2023 fand im Digitalausschuss des Deutschen Bundestags eine öffentliche Anhörung zum Thema „Cybersicherheit – Zuständigkeiten und Instrumente in der Bundesrepublik Deutschland“ statt, die als lang erwarteter Auftakt des im Koalitionsvertrag vereinbarten „strukturellen Umbaus“ der nationalen IT-Sicherheits-Architektur gesehen werden kann. Und dafür besteht aktuell – aus praktischer Perspektive – kein unerheblicher Bedarf, denn die Vielzahl der nationalen und europäischen Cybersicherheitsgesetze, die seit dem ersten IT-Sicherheits-Gesetz 2015 und der ersten europäischen Netz- und Informationssicherheitsrichtlinie (NIS-1) 2016 verabschiedet wurden, hat die Cybersecurity-Compliance für Unternehmen aller Art deutlich erschwert. Hinzu tritt nicht nur die spätestens seit der Corona-Pandemie erheblich gestiegene, sondern auch infolge des Russland-Ukraine-Kriegs deutlich veränderte Bedrohungslage in der Cybersicherheit, die schon lange nicht mehr nur kritische Infrastrukturen betrifft, sondern auf KMU, das Internet der Dinge (IoT) und öffentliche Verwaltung gleichermaßen abzielt.

Widersprüchlichkeiten bedingen Veränderungsbedarf

Umso wichtiger ist es aus rechtlicher Perspektive, dass die nationale IT-Sicherheits-Architektur und ihre Schnittstellen zur EU möglichst widerspruchsfrei ausgestaltet sind. Diese Widerspruchsfreiheit betrifft vor allem die zukünftige Rolle des BSI nicht nur als zentrale deutsche Cybersicherheits-Behörde, sondern auch im Hinblick auf den geplanten Ausbau des Amts zur Zentralstelle – sowie mit den Änderungen, die durch den künftigen europäischen Cyber-Resilience-Act (CRA) geplant sind, sogar zur allgemeinen digitalen Marktüberwachungsbehörde.

Gegenwärtig sind jedoch Widersprüche in der nationalen Cybersicherheits-Architektur noch allenthalben vorzufinden und wurden durch die aktuelle nationale „Cybersicherheitsstrategie für Deutschland 2021“ (CSS 2021, [1]) sowie durch die Cybersicherheitsagenda von 2022 [2] weitergehend perpetuiert. Dabei zeigen sich Interessens- und Zielkonflikte an den verschiedensten Stellen: so für die Abgrenzung der verfassungsrechtlich definierten Zuständigkeiten zur Abwehr von Cybergefahren im Bund-Länder-Kompetenzgefüge, für das Schwachstellenmanagement, für den Umgang und der begrifflichen Klarstellung von „aktiver Cyberabwehr“, „digitalem Gegenschlag“ und „Hackback“, der staatlichen Regulierung des Einsatzes von Verschlüsselungstechnologie im privaten Sektor sowie der Architektur der national für die Cybersicherheit zuständigen Behörden – besonders zur Rolle des BSI und des übergeordneten Innenministeriums (BMI), aber auch Fragen der Schaffung einer Rechtsgrundlage für die „Zentrale Stelle für Informationstechnik im Sicherheitsbereich“ (ZITiS), die Lösungen für die informationstechnischen Fähigkeiten der Bundesbehörden im Sicherheitsbereich entwickelt.

Neues Verständnis von Cybersecurity

Bei näherer Betrachtung der aktuellen nationalen Cybersicherheits-Architektur wird vor allem eines deutlich: Zahllose und höchst unterschiedliche Zuständigkeits- und Arbeitsbereiche sind unter dem generellen Dach der „Cybersecurity“ miteinander vermengt und über viele Jahre organisch gewachsen, was zwangsläufig zu Widersprüchen und Überschneidungen im behördlichen Zuständigkeitsbereich führen muss. Deshalb ist es notwendig, will man die nationale Cybersicherheits-Architektur neu aufstellen, sich zunächst auf ein klares ontologisches Verständnis der Cybersecurity zu verständigen, bevor darauf basierend weitere Maßnahmen abgeleitet werden.

Cybersicherheit bedeutet im operativen Sinne verstanden zuvorderst, im Rahmen einer effektiven Zusammenarbeit von Staat und Wirtschaft präventive und reaktive technisch-organisatorische Mechanismen zu etablieren, um Cyber-Risiken möglichst weitgehend zu reduzieren. Hierzu gehören nicht die Themen Cyberwar, die Bekämpfung von Online-Hasskriminalität und staatliche Eingriffe in die Datenvertraulichkeit. Gleichwohl sind mit diesen letztgenannten Themen ebenfalls hochrangige grundrechtliche Schutzgüter verbunden, die aber nicht im Kern die Beförderung der nationalen Cybersecurity zum Gegenstand haben und deshalb auch nicht als Inhalt einer nationalen Cybersicherheitsstrategie geführt werden sollten.

Allein ein derartiges Verständnis der Cybersicherheit bedingt eine Reform der nationalen Cybersicherheits-Architektur, die auf hinreichend eng gefassten, vorwiegend operationellen und technisch-organisatorischen Maßgaben beruht, die zukünftig vor allem die verlässliche, sichere und fehlerfreie Funktionsweise von IT-Systemen zum Ziel haben.

Unabhängigkeit des BSI

Das BSI ist eine Bundesoberbehörde im Geschäftsbereich des Bundesministeriums des Innern und für Heimat (BMI) und nimmt als zentrale Stelle die Aufgaben der Informationssicherheit auf nationaler Ebene wahr: „Aufgaben gegenüber den Bundesministerien führt das BSI auf der Grundlage wissenschaftlich-technischer Erkenntnisse durch“ (BSIG). Dies verdeutlicht, dass es sich bei dem BSI um eine technische Fachbehörde handelt. Historisch ist das BSI zwar als „Zentralstelle für das Chiffrierwesen“ aus einem Arbeitsbereich des Bundesnachrichtendienstes (BND) hervorgegangen, infolge von zahlreichen Novellen des BSI-Gesetzes (BSIG) und damit verbundenen Befugniserweiterungen jedoch kaum mehr mit der ursprünglichen Behörde vergleichbar. Gerade in den letzten Jahren hat das BSI durch das IT-SiG 1.0 (2015), die EU NIS-(1)-Richtlinie (2016), den EU Cybersecurity-Act (CSA, 2019), das IT-SiG 2.0 (2021) und jüngst durch EU NIS-2 (2022) einen deutlichen Kompetenzaufwuchs erfahren, der sich mit den aktuellen Entwicklungen zum EU Cyber-Resilience-Act (CRA, voraussichtlich zu Ende 2023) weiter fortsetzen wird.

Diese Entwicklung hat in den vergangenen Jahren nicht nur zum verstärkten politischen Bestreben geführt, die Zentralstellenfunktion des BSI auszubauen, sondern gleichermaßen zur Forderung – besonders aus der Cybersecurity-Community heraus –, dessen institutionelle und damit politische Unabhängigkeit zu stärken (vgl. [3,4]). In Anlehnung an ein eng gefasstes, operatives Verständnis der Cybersicherheit macht das auch Sinn, denn gegenwärtig fallen die gesetzlichen Anforderungen und die praktische Realität in der Aufgabenwahrnehmung noch auseinander – so ist das BSI etwa kein Organ zum Transportieren sicherheitspolitischer Entscheidungen. Wie eine verstärkte Unabhängigkeit der Behörde aussehen könnte, wird bereits seit geraumer Zeit anhand von verschiedenen Modellen diskutiert, die jedoch allesamt Vor- und Nachteile aufweisen (vgl. [5]). Mittelfristig dürften jedenfalls Modelle wie das einer ausschließlichen Rechtsaufsicht durch das BMI oder ein Ressortwechsel in das Bundesministerium für Digitales und Verkehr (BMDV) nicht ausreichend sein.

Aktive Cyberabwehr

Mit einer Umstrukturierung der nationalen Cybersicherheits-Architektur geht ebenfalls die Frage einher, wie zukünftig mit der „aktiven Cyberabwehr“ umzugehen sein soll – eine rechtspolitische Debatte, die in der Vergangenheit oft synonym mit dem „digitalen Gegenschlag“ und „Hackbacks“ gleichgesetzt wurde. Zu diesem Themenkomplex wurde 2019 ein internes Konzeptpapier der Bundesregierung [6] öffentlich, das ein vierstufiges Durchführungsraster gegen erhebliche Cyber-Angriffe aus dem Ausland und unterschiedliche Eskalationsstufen vorsieht. Soweit es lediglich um die Blockade oder Umleitung von schädlichem Datenverkehr geht, handelt es sich um nach dem Stand der Technik erforderliche Maßnahmen zur Cybersicherheit, die keiner speziellen gesetzlichen Grundlage bedürfen. Soweit jedoch darüber hinausgehende aktive Maßnahmen, wie die Infiltrierung fremder Netze zu Zwecken der Datenveränderung oder hardwarebezogene Maßnahmen, ergriffen werden, gehen diese Handlungen über die Gewährleistung der operativen Cybersicherheit hinaus, weshalb sich rechtliche Legitimationsfragen stellen.

Das erwähnte Konzeptpapier skizziert hierzu ein eigenständiges Entscheidungsgremium, das über die Maßnahmendurchführung entscheiden soll. Als Akteure zur Durchführung der Maßnahmen werden der BND und allgemein „Polizeibehörden“ genannt. Aus dem Innenressort wurde darüber hinaus in der Vergangenheit kommuniziert, eigenständige rechtliche Ermächtigungsgrundlagen für digitale Gegenschläge schaffen zu wollen. In der diesbezüglichen rechtspolitischen Diskussion wurde dabei jedoch die Rolle der Bundeswehr im Cyber- und Informationsraum (CIR) zu lange außer Acht gelassen – denn zumindest juristisch ist es mehr als fraglich, ob den deutschen Nachrichtendienst- und Polizeibehörden exekutive digitale Maßnahmen im Ausland zugestanden werden können. Die Bundeswehr hingegen verfügt bereits über ein eigenes „Kommando Cyber- und Informationsraum“ (KdoCIR) und über das „Zentrum Cyberoperationen“ (ZCO).

Ein Tätigwerden der Bundeswehr ist jedoch nur unter erheblich einschränkenden verfassungsrechtlichen Voraussetzungen möglich: So dürfen die Streitkräfte – außer zur Verteidigung – nur dann eingesetzt werden, soweit es das Grundgesetz ausdrücklich zulässt. Diese Ausnahmen sind für Fälle des inneren Notstands oder für überregionale Unglücksfälle relevant – anderenfalls ist der Verteidigungsfall als die Reaktion auf eine militärische Gewaltanwendung, die von außen kommt, vorauszusetzen.

Im Regelfall dürften Angriffe allein im CIR jedoch nicht die Schwelle einer mit konventionellen Mitteln geführten militärischen Gewaltanwendung erreichen, sodass durch die Bundeswehr durchgeführte Maßnahmen im CIR für diesen Fall nicht völkerrechtskonform wären. Im Ergebnis hat dies zur Folge, dass es im Rahmen einer Neustrukturierung der nationalen Cybersicherheits-Architektur aktuell keiner gesetzlichen oder kompetenzbezogenen Veränderungen für aktive Cyberabwehr oder digitale Gegenschläge bedarf, da für sämtliche vorgenannten Szenarien klar abgrenzbare Rechtsgrundlagen vorhanden sind.

Staatliches Schwachstellenmanagement

Vorrangiges Ziel einer effektiven nationalen Cybersicherheits-Architektur ist die möglichst zeitnahe und flächendeckende Schließung von Sicherheitslücken durch ein wirksames Schwachstellenmanagement. Hier war man sich sowohl im Bund als auch in der EU bislang uneinig, wie die damit verbundenen gegenläufigen Interessen zueinander in Ausgleich zu bringen sind. Jedenfalls wird der Umgang mit Schwachstellen – auch anhand von Cyberwar-Szenarien sowie innenpolitischen Interessen – in der EU und in Deutschland bereits seit mehreren Jahren diskutiert [7].

Bei der juristischen Betrachtung der Anforderungen an ein staatliches Schwachstellenmanagement sind zuvorderst die verfassungsrechtlichen Maßstäbe der Cybersicherheit heranzuziehen. Dabei gilt, dass Cybersecurity Verfassungsrang hat, was aus unterschiedlichen Grundrechten ableitbar ist: zuvorderst aus dem Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität von informationstechnischen Systemen (IT-Grundrecht bzw. Computer-Grundrecht, 2008), aber auch aus dem schon 1983 entwickelten Grundrecht auf informationelle Selbstbestimmung als der Grundlage unseres modernen Datenschutzes oder dem Telekommunikationsgeheimnis.

Obwohl die Cybersicherheit Verfassungsrang hat, gelten ihre Schutzgewährleistungen nicht absolut, sodass im Einzelfall andere Grundrechte in der Wertung überwiegen können, so etwa die körperliche Freiheit und Unversehrtheit. Deshalb hat das Bundesverfassungsgericht 2021 entschieden [8], dass einerseits zwar durchaus eine staatliche Schutzpflicht zur Cybersicherheit besteht, die einer zugegebenermaßen weit gefassten gesetzgeberischen Einschätzungsprärogative unterliegt, es andererseits in Ausnahmefällen aber auch notwendig sein kann, Schwachstellen – beispielsweise zu Zwecken der Gewährleistung und Aufrechterhaltung der öffentlichen Sicherheit – auszunutzen und IT-Systeme dadurch zu kompromittieren sowie der Gefahr einer Kompromittierung durch Dritte auszusetzen.

Der Staat steht somit vor dem faktischen Dilemma, Förderer und potenzieller Schädiger der Cybersecurity gleichermaßen zu sein. Deshalb bedarf es im Rahmen eines staatlichen Schwachstellenmanagements stets einer strengen juristischen Interessenabwägung im Einzelfall, wie mit einer vorgefundenen IT-Sicherheitslücke umzugehen ist. Das bedeutet, dass die zuständige Behörde für den Fall des Auffindens einer (Zero-Day-) Schwachstelle eine nachvollziehbare Abwägung der konkreten gegenläufigen Belange unter Einbeziehung der relevanten Akteure und Interessensträger durchführen muss. Diese Abwägung muss sowohl in qualitativer Hinsicht wie auch in quantitativer Hinsicht erfolgen. Je nachdem, worin diese Einzelfallabwägung resultiert, ist zu entscheiden, ob die Schwachstelle dem Hersteller zu melden oder weiterhin zu Zwecken ihrer eventuellen Ausnutzung aufgrund von überwiegenden gegenläufigen Interessen offenzuhalten ist – wobei im Zweifelsfall immer davon auszugehen sein sollte, alle bekanntgewordenen Schwachstellen möglichst schnell zu schließen.

Gleichgültig, wie detailliert, transparent und nachvollziehbar ein solches Verfahren jedoch ausgestaltet ist, wird es in der Praxis letztlich immer mit rechtlichen Unsicherheiten und auch mit entsprechender Kritik an eventuell nicht nachvollziehbaren Entscheidungen verbunden sein – trotz seiner verfassungsrechtlich grundsätzlich bestehenden Legitimationsmöglichkeit, da wie zuvor dargestellt die Cybersicherheit als Grundrecht nicht schrankenlos gilt.

KRITIS-Dachgesetz

Im Dezember 2022 hat die Bundesregierung die Eckpunkte für ein sogenanntes KRITIS-Dachgesetz beschlossen [9], um eine bessere Verschränkung des Schutzes der digitalen und physischen Infrastruktur in Deutschland zu erreichen. Sinnbildlich soll das KRITIS-Dachgesetz in Zukunft die „analoge“ Schiene des kritischen Infrastrukturschutzes in Ergänzung des BSIG unter der Ägide des Bundesamts für Bevölkerungsschutz und Katastrophenhilfe (BBK) abbilden.

Diese jüngst häufig zitierte „hybride Bedrohungslage“ ist aber keineswegs neu, denn schon seit den Terroranschlägen des 11. September 2001 besteht die fortwährende Gefahr der vorsätzlichen physischen Kompromittierung versorgungsrelevanter Infrastruktur, die auch IT umfassen kann. Dies wird schon in der nationalen KRITIS-Strategie von 2009 entsprechend wiedergegeben [10]. Deshalb existieren bereits jetzt zahlreiche fachgesetzliche Regelungen für den nationalen KRITIS-Schutz, die seit Jahrzehnten von zuständigen Fachbehörden betreut und überwacht werden. Überdies gilt sowohl für das BSIG wie auch das IT-SiG 2.0, dass diese Regelwerke nicht ausschließlich KRITIS-spezifische Regelungen enthalten, sondern gleichzeitig viele weitere Bereiche der Cybersecurity behandeln – unter anderem etwa Fragen der digitalen Souveränität, des Verbraucherschutzes und der Public-Private-Partnerships.

Literatur

[1] Bundesministerium des Innern, für Bau und Heimat (Hrsg.), Cybersicherheitsstrategie für Deutschland 2021,
September 2021, www.bmi.bund.de/SharedDocs/downloads/DE/veroeffentlichungen/2021/09/cybersicherheitsstrategie-2021.pdf
[2] Bundesministerium des Innern und für Heimat, Cybersicherheitsagenda des Bundesministeriums des Innern und für Heimat, Ziele und Maßnahmen für die 20. Legislaturperiode, Juli 2022, www.bmi.bund.de/SharedDocs/ downloads/DE/veroeffentlichungen/themen/sicherheit/cybersicherheitsagenda-20-legislatur.pdf
[3] Stephan Finsterbusch, Die offene Flanke an der CyberFront, Kommentar, F.A.Z., Februar 2023, www.faz.net/aktuell/wirtschaft/hackerangriff-auf-flughaefen-die-offeneflanke-an-der-cyber-front-18684088.html.
[4] Jens Zimmermann, Ein unabhängigeres BSI als Vertrauensanker in der Cybersicherheitsarchitektur, „Standpunkt“, Tagesspiegel Background, Januar 2023, https://background.tagesspiegel.de/cybersecurity/einunabhaengigeres-bsi-als-vertrauensanker-in-der-cybersicherheitsarchitektur
[5] Dr. Sven Herpig, Die „Unabhängigkeit“ des Bundesamtes für Sicherheit in der Informationstechnik, ImpulsPapier der Stiftung Neue Verantwortung, September 2020, www.stiftung-nv.de/sites/default/files/snv-unabhaengigkeit_des_bsi_final.pdf
[6] Dr. Dennis-Kenji Kipker, Hackback in Deutschland: Wer, was, wie und warum?, Blogpost, Juni, https://verfassungsblog.de/hackback-in-deutschland-wer-was-wieund-warum/
[7] European Union Agency for Cybersecurity (ENISA, Hrsg.), Coordinated Vulnerability Disclosure Policies in the EU, April 2022, www.enisa.europa.eu/publications/coordinated-vulnerability-disclosure-policies-in-the-eu
[8] Bundesverfassungsgericht (BVerfG), Beschluss des Ersten Senats zur Verfassungsbeschwerde … gegen § 54 Absatz 2 des Polizeigesetzes Baden-Württemberg (PolG BW) in der Fassung des Gesetzes zur Umsetzung der Richtlinie (EU) 2016/680 für die Polizei in Baden-Württemberg und zur Änderung weiterer polizeirechtlicher Vorschriften vom 6. Oktober 2020, Aktenzeichen 1 BvR 2771/18, Juni 2021, www.bverfg.de/e/rs20210608_1bvr277118.html
[9] Bundesministerium des Innern und für Heimat, Eckpunkte für das KRITIS-Dachgesetz, Dezember 2022, www. bmi.bund.de/SharedDocs/downloads/DE/veroeffentlichungen/nachrichten/2022/eckpunkte-kritis.pdf
[10] Bundesministerium des Innern, Nationale Strategie zum Schutz Kritischer Infrastrukturen (KRITIS-Strategie), Juni 2009, www.bmi.bund.de/SharedDocs/downloads/DE/publikationen/themen/bevoelkerungsschutz/kritis.pdf

Rechtsdogmatisch haben die IT-Sicherheitsregulierung von kritischen Infrastrukturen und die Sicherstellung ihres physischen Schutzes vor „analogen“ Bedrohungen deshalb erst einmal wenig gemeinsam, da die Regelungen nicht nur unterschiedliche Bedrohungslagen adressieren, sondern auch verschiedener Präventiv- und Abwehrmaßnahmen bedürfen, aufgefächerte behördliche Zuständigkeiten vorhanden sind und die Vorgaben deshalb in verschiedenen fachgesetzlichen Vorschriften geregelt sind. Deshalb kann ein KRITIS-Dachgesetz nur ein weiteres Omnibus-/Artikel-Gesetz sein, das die Bestandsgesetze zum physischen KRITIS-Schutz bei festgestellten Defiziten und Schwachstellen ergänzt, nicht aber komplett neue und weitere Verantwortlichkeiten schafft, die bestenfalls noch zusätzlich unter die „Cybersicherheit im weitesten Sinne“ gefasst werden.

Eine solche begriffliche Überdehnung wäre fatal, da sie zwangsläufig eine nahezu vollständige Konturlosigkeit der nationalen Cybersicherheits-Architektur zur Folge hätte. Das KRITIS-Dachgesetz soll und darf somit nicht pauschal auf dem IT-SiG 2.0 aufsetzen, sondern muss sich ausschließlich an den inhaltlichen Regelungslücken bestehender Fachgesetze zum kritischen Infrastrukturschutz orientieren.

Fazit und Ausblick

Nicht zu Unrecht sieht man vielfach Bedarf, die gegenwärtig vielschichtige nationale CybersicherheitsArchitektur zu reformieren, die zusätzlich noch durch die Komplexität des europäischen Regelungshorizonts überformt wird. Gesetzliche Änderungen können dabei ein erster Schritt sein, da hierdurch bestehende behördliche Zuständigkeitsstrukturen aufgebrochen werden, soweit auch ein entsprechender politischer Wille vorhanden ist. Die Neuordnung der deutschen Cybersicherheits Architektur darf jedoch keineswegs zu einer weiteren Erhöhung ihrer Komplexität führen, wie dies beispielsweise mit einem zu weit gefassten KRITIS-Dachgesetz der Fall sein könnte. Deshalb ist es sinnvoll, den Begriff der „Cybersicherheit“ auf die operativ-technischen Maßgaben und Maßnahmen zu beschränken.

Prof. Dr. iur. Dennis-Kenji Kipker ist Professor für IT-Sicherheitsrecht an der Fakultät für Elektrotechnik und Informatik der Hochschule Bremen (HSB), Legal Advisor im Competence Center Information Security und CERT des VDE, Vorstandsmitglied der Europäischen Akademie für Informationsfreiheit und Datenschutz (EAID) sowie Geschäftsführer der Certavo-Beratungsgesellschaft in Bremen (https://denniskenjikipker.de/).

Diesen Beitrag teilen: