Cyber-Abwehrzentrum für Deutschland: Viele Worte, wenig Substanz

Wer sich die Informationsbroschüre des BMI zur „Cyber-Sicherheitsstrategie für Deutschland“ durchliest, erkennt, dass die „Strategie“ wenig strukturiert ist. Einerseits geht es um die Bekämpfung von Spionage und Sabotage von Industrielagen, dann ist wieder von Botnetzen die Rede. Als Teil der Maßnahmen zur Bekämpfung wird ernsthaft die Einführung des neuen Personalausweises und von De-Mail genannt.

Man versucht, völlig verschiedene Dinge unter einen Hut zu bringen und als Strategie zu verkaufen. Ein Botnetz, das Spam versendet, lässt sich beim besten Willen nicht mit einem hochspezialisierten Angriff auf eine Industrieanlage vergleichen. Das wäre so, als würde man ein Gremium einsetzen, das sich sowohl mit Kaufhausdiebstahl als auch mit den Gefahren einer schmutzigen Atombombe beschäftigt.

Daher ist ein Nationaler Cyber-Sicherheitsrat aus Staatssekretären nahezu aller Ministerien nur wenig hilfreich. Die Interessen der einzelnen Ministerien sind dazu zu unterschiedlich. Stattdessen sollte man erkennen, dass das Internet zu einem normalen Bestandteil aller Lebensbereiche geworden ist. Der Versuch, das Internet in seiner Gesamtheit zu begreifen und zu beherrschen, ist zum Scheitern verurteilt. Stattdessen, sollte man seine Existenz einfach akzeptieren und einzelne Aspekte auch isoliert betrachten.

Bevor man Hals über Kopf zwei Gremien einsetzt, sollte man versuchen, die Problematik zu strukturieren und für jeden Bereich die richtigen Maßnahmen treffen. Die Aufklärung von Straftaten wie Kreditkartenbetrug durch Identitätsdiebstahl ist beispielsweise ganz normale Polizeiarbeit. Der Angriff eines fremden Staates auf die heimische Infrastruktur ist hingegen eine Frage der nationalen Sicherheit. Berührungspunkte gibt es kaum.

Das Nationale Cyber-Abwehrzentrum ist im Wesentlichen eine Kopie des Terrorabwehrzentrums. Doch so einfach ist das nicht: So ist unklar, was der Verfassungsschutz, der sich mit Verfassungsfeinden im Inland, etwa Rechtsextremen oder Islamisten, beschäftigt, dort zu suchen hat. Es ist unmittelbar einsichtig, dass solche Gruppen maximal vereinzelte DDoS-Attacken ausführen können. Zu hochkomplexen Angriffen wie Stuxnet sind sie nicht in der Lage. Das bestätigt auch eine OECD-Studie.

Die Kritik des Bundes Deutscher Kriminalbeamter ist mehr als berechtigt. Die Kriminalität im Internet ist weit verbreitet und nimmt immer größere Ausmaße an. Aber sie ist mit Terrorismus nicht vergleichbar. Deswegen muss sie auch mit einer anderen Strategie und anderen Mitteln bekämpft werden.

Statt eines Rates und eines Abwehrzentrums müssen Polizeibehörden in die Lage versetzt werden, Straftaten zu verfolgen. Dazu müssen einerseits Spezialisten ausgebildet und mit notwendigem Arbeitsgerät ausgestattet werden. Andererseits muss auf internationaler Ebene zusammengearbeitet werden.