Interview mit Annegret Bendiek von der Stiftung Wissenschaft und Politik
HERZKAMMER
Frau Bendiek, Ihr Forschungsgebiet ist internationale und europäische Cyber-Sicherheitspolitik. Was sind in diesem Bereich derzeit die größten Herausforderungen?
ANNEGRET BENDIEK
Die Abhängigkeit und Verwundbarkeit von Staat, Wirtschaft und Gesellschaft nimmt mit dem Grad der Digitalisierung und Vernetzung stetig zu. Auch werden immer neue Arten von Cyberattacken entwickelt und die Angreifer werden zunehmend versierter, sie reichen von Propaganda und gezielter Desinformation, von der Spionage bis zur Sabotage von Infrastrukturen. Insbesondere müssen wir den Schutz der kritischen Infrastrukturen im Blick haben.
HERZKAMMER
Deutschland hat in diesem Jahr den Vorsitz der Organisation für Sicherheit und Zusammenarbeit in Europa (OSZE) inne. Welche Chancen bietet das im Bereich der Cyber-Sicherheitspolitik?
ANNEGRET BENDIEK
Deutschland kann durch den Vorsitz in der OSZE – bestärkt durch seine nicht offensiv-militärisch ausgerichtete Cybersicherheitsstrategie – dafür sorgen, dass vertrauens- und sicherheitsbildende Maßnahmen (VSBM) für den Bereich der Cybersicherheit erstmals in allen drei Dimensionen der OSZE-Zusammenarbeit (den »drei Körben«) Sicherheit, wirtschaftliche Zusammenarbeit sowie kultureller Austausch und Menschenrechte vorangebracht werden.
HERZKAMMER
Anfang Juli hat sich das EU-Parlament auf eine Richtlinie zur Cybersicherheit geeinigt. Wie bewerten Sie diese Richtlinie?
ANNEGRET BENDIEK
Die jüngst beschlossene EU-Richtlinie zur Netz- und Informationssicherheit (NIS-Richtlinie) schafft erstmals einen europaweit einheitlichen Standard für Datensicherheit. In der Umsetzung der NIS-Richtlinie müssen alle EU-Staaten Mindeststandards und Meldepflichten in der IT-Sicherheit einführen; Betreiber kritischer Infrastruktur müssen aktiv bei der Cyberkriminalitätsbekämpfung mitwirken. Wichtige und relevante Cyberstaaten in Europa müssen hier voranschreiten und den weniger entwickelten Staaten bei der Umsetzung von Mindeststandards und Meldepflichten im kritischen Infrastrukturschutz unter die Arme greifen. Deutschland hat bereits 2015 das IT-Sicherheitsgesetz verabschiedet, das höhere Sicherheitsstandards beim Schutz kritischer Infrastrukturen definiert. Meldepflichten für deren Betreiber bei Cyberzwischenfällen sollen den Schutz vor zukünftigen Angriffen verbessern. Deutschland hat mit dem Gesetz eine Vorreiterrolle in Europa eingenommen und ist zur Referenz für die beschlossene NIS-Richtlinie geworden. Auch die technische Kompetenz des Bundesamtes für Sicherheit in der Informationstechnik (BSI) ist zum Vorbild vieler Partner in der EU geworden.
HERZKAMMER
Brauchen wir angesichts des World Wide Web nicht auch eine weltweite Sicherheitsstrategie? Wie könnte diese aussehen?
ANNEGRET BENDIEK
Eine weltweite Cybersicherheitsstrategie wird es nicht geben. Die Hersteller von Software und Hardware könnten aber weltweit stärker in die Pflicht genommen werden. Angesichts der hohen Anzahl von erkannten Schwachstellen tendieren einige Hersteller dazu, für die vermeintlich weniger relevanten Schwachstellen keine Sicherheitsupdates mehr bereitzustellen. Das verschärft die Verwundbarkeit von Systemen und ihr Missbrauch wird wahrscheinlicher. Schadenersatzansprüche gegen Softwarehersteller werden bereits in den USA diskutiert. Vielleicht greift hierfür in Deutschland schon das Produkthaftungsrecht. Das Internet wird im Wesentlichen von Unternehmen getragen, die schließlich stärker in die Pflicht zu nehmen sind. Dies sind sicherlich Folgereformen, die bei der Umsetzung des IT-Sicherheitsgesetzes und der NIS in Europa zu diskutieren sind.
HERZKAMMER
Wir möchten ein freies, offenes und gleichzeitig sicheres Internet. Geht das überhaupt und wie können politische Regelsetzungen mit dem technologischen Fortschritt im Netz mithalten?
ANNEGRET BENDIEK
Die Norm der Sorgfaltsverantwortung muss in den internationalen Beziehungen nachhaltig durchgesetzt werden. Bisher hat sie lediglich den Status einer umstrittenen Rechtsnorm und findet sich nicht als verbindliche Bestimmung in bilateralen und multilateralen Übereinkünften wieder. Im Abschlussbericht der vierten Runde der Regierungsexperten zur Informationssicherheit (VN GGE) bekennen sich die dort vertretenen Staaten dazu, Angriffe vom eigenen Territorium zu unterbinden und nicht absichtlich die kritische Infrastruktur oder EDV-Notfallteams anderer Länder zu beeinträchtigen. Auch das Abkommen zwischen China und den USA zur gemeinsamen Bekämpfung der Cyberkriminalität und zum Verbot von Industriespionage ist ein vielversprechender Schritt, der als vorbildlich für bilaterale Abkommen anderer Länder gelten kann. Hier gilt es sowohl politisch auf eine allgemeine Anerkennung der Sorgfaltsverantwortung hinzuarbeiten als auch mittelfristig die nötigen institutionellen Strukturen zu schaffen, um eine effektive Anwendung der Norm zu gewährleisten.
HERZKAMMER
Wie können sich speziell politische Institutionen hierzulande vor Cyber-Attacken schützen?
ANNEGRET BENDIEK
Der Schlüssel zum Erfolg liegt in der Qualifizierung des benötigten Fachpersonals, das heißt die Studiengänge in diesem Bereich müssen gestärkt werden. Im Bereich IT-Sicherheit und Verschlüsselung müssen Deutschland und Europa aufholen. Sicherheitspolitische Widerstandsfähigkeit setzt gesellschaftliche Resilienz voraus, die nur durch öffentliche Diskussionen erzeugt werden kann. Zur geforderten Inklusivität in allen Fragen der Cyber-Außen- und Sicherheitspolitik gehört es, den Bundestag gebührend zu beteiligen. Soll die Bundeswehr befähigt werden, Cyberabwehr auch mit digitalen Angriffen zu betreiben, wäre der dafür womöglich notwendige politische Kurswechsel im Parlament zu diskutieren.
HERZKAMMER
Und was empfehlen Sie unseren Lesern, was den eigenen Schutz vor Cyber-Kriminalität betrifft?
ANNEGRET BENDIEK
Wir müssen uns alle der digitalen Verantwortung stellen und jeder muss seinen Teil dazu beitragen, dafür Sorge zu tragen, dass wir EU-weit hohe Standards bei Datenschutzund IT-Sicherheit durchsetzen! Einfache Lösungen für einen wirksamen Schutz von Informationen, dazu gehören die wirksame Ende-zu-Ende-Verschlüsselung sowie datenschutzfreundliche und sichere Lösungen.