Meine Merkliste Geteilte Merkliste PDF oder EPUB erstellen

Workshop 4: Spannungsfeld Innere Sicherheit vs. IT-Sicherheit | 16. Bensberger Gespräche 2019 | bpb.de

16. Bensberger Gespräche 2019 Keynote Address Simulation eines Cyberangriffs auf elektronische Systeme Warum ist es so schwer, den Cyberraum zu kontrollieren? Podiumsdiskussion: Herausforderungen für die Cybersicherheit Die helle und die dunkle Seite des Darknet Workshop 1: Cyber Crime und die Möglichkeiten der Bekämpfung Workshop 2: Hybride Kriegsführung und soziale Medien Workshop 3: Rüstungskontrolle vernetzter Systeme Workshop 4: Spannungsfeld Innere Sicherheit vs. IT-Sicherheit Workshop 5: Die Cybersicherheitsstrategie Großbritanniens Workshop 6: Das Wettrüsten um Künstliche Intelligenz Meinungsmache durch digitale Medien – Gefahren für die Demokratie? Führen im digitalen Zeitalter? Podiumsdiskussion: Politik und Kontrollmöglichkeiten von Cyber-Aktivitäten Fazit und Ausblick

Workshop 4: Spannungsfeld Innere Sicherheit vs. IT-Sicherheit

/ 5 Minuten zu lesen

Isabel Skierka vom Digital Society Institute an der ESMT European School for Management and Technology Berlin diskutierte mit den Teilnehmenden verschiedene Voraussetzungen und Aspekte des Verhältnisses von Innerer Sicherheit und IT- bzw. Cybersicherheit.

Innere Sicherheit

Gemeinsam mit den Teilnehmenden diskutierte Isabel Skierka vom Digital Society Institute zu Beginn des Workshops verschiedene Definitionen des Begriffs Innere Sicherheit. Man könne zum Beispiel von "Sicherheit, Stabilität und Funktionsfähigkeit der staatlichen Institutionen, der rechtlichen, politischen, ökonomischen und sozialen Ordnung eines Staates und des Einzelnen als Träger von Bürger- und Menschenrechten" sprechen.

Isabel Skierka bei ihren Ausführungen zum Verhältnis von Innerer Sicherheit und IT- bzw. Cybersicherheit. (© bpb/BILDKRAFTWERK/Zöhre Kurc)

In Zeiten der zunehmenden Digitalisierung und Vernetzung könne man jedoch häufig nicht mehr klar unterscheiden zwischen Innen und Außen. Der Begriff sei im Wandel, Bedrohungen seien grenzübergreifend, so Skierka. Einerseits gebe es den Anspruch, innere Sicherheit herzustellen (als Zustand). Auf der anderen Seite gebe es das grenzenlose Internet mit Bedrohungen teilweise von anderen Teilen der Welt, deren genauer Ursprung häufig nicht nachvollziehbar sei.

IT- und Cybersicherheit

Bei IT-Sicherheit gehe es um den Schutz der Vertraulichkeit, Integrität, Authentizität und der Verfügbarkeit von Informationen und technischen Systemen, so Skierka. Bei Cybersicherheit stehe der Schutz des Cyberraums im Mittelpunkt, der Begriff gehe also über die IT-Sicherheit hinaus. Neben technischen Systemen seien hier auch Kommunikation, Prozesse, Richtlinien und Anwendungen inbegriffen. Bedrohungen seien zum Beispiel Cyberspionage, Cybercrime, Cyberaggression und Destabilisierung. Die Schutzziele von Innerer Sicherheit und IT- bzw. Cybersicherheit seien nicht wirklich vergleichbar, so Skierka.

Dimensionen und Staatliche Zuständigkeiten der Cybersicherheit

Als Dimensionen von Cybersicherheit könne man viele Bereiche benennen: Technische IT-Sicherheit, Internationale Diplomatie, KRITIS Schutz, Abwehr von Cyberkriminalität und Spionage und Militär.
Die Liste Staatlicher Zuständigkeiten für Cybersicherheit ist lang, Skierka stellte eine Auflistung vor:

  • Bundesamt für Sicherheit in der Informationstechnologie (BSI): De facto Cybersicherheitsbehörde Deutschlands mit den Zuständigkeiten: Sicherheit von IT-Produkten und -Diensten, Überwachung von Cybersicherheitsstandards, Cyberabwehr

  • Bundeskriminalamt (BKA) (und Landeskriminalämter / Cybercrime Zentren): Ermittlung, Aufklärung und Vorbeugung im Bereich Cybercrime

  • Zollkriminalamt (ZKA): Aufklärung und Bekämpfung von Zollkriminalität, einschließlich im Cyberraum

  • Bundespolizei: Bekämpfung von Cyberkriminalität, zuständig für Grenzschutz,

  • Luftsicherheit, Bahnpolizei und Kriminalitätsbekämpfung

  • Bundesamt für Verfassungsschutz: Abwehr von Cyberangriffen auf staatliche

  • und private Einrichtungen

  • Bundesamt für Bevölkerungs- und Katastrophenschutz: Schutz von KRITIS

  • Bundeswehr: Landes- und Bündnisverteidigung im Cyberraum

  • Bundesnachrichtendienst (BND): Signals Intelligence, Beitrag zur Cyberabwehr

  • Auswärtiges Amt: Cyber-Diplomatie

  • Andere ausführende Behörden

Alle aufgeführten Behörden seien auch zuständig für Innere Sicherheit, so Skierka.

Rechtliche Bewältigung von Cybersicherheit

In juristischer Hinsicht betrifft Cybersicherheit mehrere Aufgabenbereiche: Zum einen die Strafbarkeit von Cyberdelikten: Computerstrafrecht und Erweiterungen, weiterhin gehe es um die Befugnisse der Sicherheitsbehörden (BSI und Aufsichtsbehörden in Bund und Ländern sowie Polizeien und Nachrichtendienste). Schließlich seien auch noch IT-Sicherheitsrecht und Datenschutzrecht relevant, wenn es um die Anforderungen an Systeme gehe.

Auf der Ebene der Europäischen Union seien die Bereiche Kritische Infrastrukturen, Digitale Dienste, Verarbeitung persönlicher Daten und IKT Produkte (Künstliche Intelligenz, Internet der Dinge) reguliert, so Skierka.

Die USA und die EU rückten immer weiter vom territorialen Prinzip in der Strafverfolgung ab, so Skierka. Es solle künftig Lösungen geben, dass Daten auch aus anderen Staaten von Strafverfolgungsbehörden direkt angefragt werden können.

Herausforderungen in der Inneren Sicherheit und IT-/Cybersicherheit heute

Eine große Herausforderung sei, dass der Staat allein IT- bzw. Cyber-Sicherheit nicht gewährleisten könne. Dies gehe nur in Zusammenarbeit mit privaten bzw. Wirtschaftsakteuren.

Hinzu käme das Kompetenzwirrwarr wegen verschiedener Zuständigkeiten. Es werde immer wieder die Frage gestellt, ob es nicht einen zentralen Akteur, wie z.B. ein Digitalministerium bräuchte. Man könnte jedoch auch fragen, ob es nicht besser wäre, wenn die, die es gibt, besser zusammenarbeiten, so Skierka. Diese Bestrebungen gebe es bereits mit dem Cyber-Abwehrzentrum. Ein Vorbild könne das Gemeinsame Terrorismus- und Extremismus-Abwehrzentrum sein, bei dem verschiedene Bundes- und Landesbehörden, auch der Militärische Abschirmdienst, zusammenarbeiten und wo ein organisierter Austausch stattfinde.

Eine weitere große Herausforderung sehen die Workshopteilnehmenden darin, dass die Sicherheit von Geräten gewährleistet werde. Auf EU-Ebene werde aktuell der Cyber Security Act entwickelt mit dem Ansatz, ein Zertifikat zu entwickeln. Die Diskussion sei jedoch sehr komplex und schwierig, so Skierka. Aktuell könnten die Hersteller selbst Sicherheit erklären oder unabhängige Prüfstellen beauftragen – dies sei jedoch freiwillig. Bei Gesprächen der Regierung mit Herstellern käme immer der Konflikt Innovation versus Sicherheit auf. Andere Ansätze seien nationale Zertifizierungen oder der Einbau von Modulen in Geräte für Security Zones.

Spannungsfelder oder Konvergenzen Innere und IT-/Cyber-Sicherheit

In der offenen und lebhaften Diskussion kamen viele Aspekte zur Sprache. Dabei ging es zum Beispiel um die Kamera-Überwachung von öffentlichen Plätzen oder die Überwachung von E-Mail-Kommunikation durch Sicherheitsbehörden – es gehe immer um ein Abwägen der Einschränkung von individuellen Freiheitsrechten und dem Wunsch nach Sicherheit und dem Schutz vor Kriminalität.

Die Rolle von Verschlüsselungstechnologien (Crypto-Debatte) wurde diskutiert – ob es beispielsweise legitim sei, wenn Regierungen den Zugang zu diesen regulierten, um den eigenen Geheimdiensten und Strafverfolgungsbehörden Zugriff auf Datenverkehr zu ermöglichen. In Deutschland gilt bis heute die Leitlinie, dass es keine Einschränkungen von kryptographischen Produkten gibt.

Es gibt zudem das Fernmeldegeheimnis und das sogenannte "Computer-Grundrecht", das sich auf den Schutz der Integrität und Vertraulichkeit informationstechnischer Systeme bezieht (BVerfG Urteil 2008). Es wurde diskutiert, ob Telekommunikationsunternehmen durch Sicherheitsbehörden dazu verpflichtet werden müssten, Zugriff auf verschlüsselte Nachrichteninhalte zu gewähren.

Auch das Schwachstellen-Management der Bundesregierung kam zur Sprache, also die Frage, inwiefern es legitimiert werden könne, dass Strafverfolgungsbehörden bekannte Schwachstellen in IT-Systemen bewusst offenhielten, um selbst zu ermitteln, dabei aber ein erhöhtes Sicherheitsrisiko für die Nutzerinnen und Nutzer in Kauf nähmen.

Bezüglich Kritischer Infrastrukturen wurde deutlich, dass IT-Sicherheit und Innere Sicherheit zusammengehören. Hier gibt es bereits erste Regulierungen von Betreibern kritischer Infrastrukturen wie Kraftwerken, Stromnetzen und Krankenhäusern.

Dokumentation: Katharina Reinhold

Fussnoten