Im Namen der Cybersicherheit
Veröffentlicht am 14.05.2020
Mehr als ein Dutzend Institutionen beschäftigen sich im Auftrag oder mit Unterstützung der Bundesregierung mit der deutschen Cybersicherheit. Welche Einrichtungen gibt es und was sind ihre Aufgaben? Eine Übersicht.
Bundesregierung: Viel hilft viel
Die staatliche Cybersicherheitsarchitektur in Deutschland ist sehr heterogen. Der Grund dafür: Cyberbedrohungen haben oft internationale Bezüge, sind dynamisch und es können viele Anwendergruppen gleichzeitig von Angriffen betroffen sein – insbesondere, weil sie immer stärker technisch miteinander vernetzt sind. Deshalb hat sich der Staat entschieden, gleich eine Vielzahl von Behörden mit dem Schutz der Cybersicherheit zu beauftragen. Dazu zählen Gefahrenabwehr- und Ordnungsbehörden, Strafverfolgungsbehörden, Nachrichtendienste und die Bundeswehr. Laut Bundesregierung arbeiten die unterschiedlichen Ministerien und zuständigen Abteilungen bei der Cyberabwehr hauptsächlich anlass- und themenbezogen zusammen.
Übersicht der wichtigsten Einrichtungen
Welche Institutionen befassen sich im Auftrag oder mit Unterstützung der Bundesregierung mit Cybersicherheit? Wir geben einen Überblick über die wichtigsten Behörden und Einrichtungen in Sachen Cybersicherheit und ihre Aufgaben:
Das Cyber-AZ wurde 2011 errichtet. Es soll die operative Zusammenarbeit optimieren und Schutz- und Abwehrmaßnahmen koordinieren. Hier werden Informationen zu Cyberangriffen auf Informationsinfrastrukturen zusammengeführt und bewertet – das macht jede Behörde aus ihrer Sicht und in ihrer Zuständigkeit. Derzeit sind diese Behörden im Cyber-AZ vertreten: Bundesamt für Sicherheit in der Informationstechnik (BSI), Bundeskriminalamt (BKA), Bundespolizei (BPOL), Bundesamt für Verfassungsschutz (BfV), Bundesnachrichtendienst (BND), Bundesamt für den Militärischen Abschirmdienst (BAMAD), Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK), Zollkriminalamt (ZKA), die Bundeswehr (BW) und die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin).
Das BKA fungiert als Zentralstelle der deutschen Polizei und hat sein Aufgabenfeld der nationalen Verbrechensbekämpfung auch auf den Cyberraum ausgeweitet. Es stellt die nationale Koordination, operative Auswertung sowie strategische Zusammenarbeit sicher. Es klärt Straftaten im Cyberraum auf, ermittelt und versucht Cyberkriminalität vorzubeugen. Auch das BKA gehört zum Geschäftsbereich des BMI.
Aufgabe des BfV ist es, Cyberangriffe auf staatliche und private Einrichtungen abzuwehren und aufzuklären. Dafür beobachtet das Amt, wie etwa Extremisten, Terroristen oder ausländische Nachrichtendienste neue technische Möglichkeiten nutzen, um in Deutschland zu spionieren, politische Desinformation zu verbreiten oder Computersabotage zu betreiben. Laut eigenen Angaben sammelt das BfV beispielsweise „Informationen gegen Bestrebungen, die sich gegen die freiheitlich demokratische Grundordnung oder gegen die Sicherheit des Bundes oder eines Bundeslandes gerichtet sind“. Auch das BfV gehört zum Geschäftsbereich des BMI.
Der BND ist Deutschlands Auslandsnachrichtendienst und handelt im Auftrag der Bundesregierung. Im Ausland erfasst er Angriffe, die der Cyberspionage oder -sabotage in Deutschland dienen sollen, und warnt betroffene Akteure im Inland entsprechend vor, damit Abwehrmechanismen eingeleitet werden können. Der BND gehört zum Geschäftsbereich des Bundeskanzleramts.
ZITiS wurde 2017 gegründet und versteht sich laut eigenen Angaben als „Cyber-Behörde 4.0“. ZITiS ist der zentrale Dienstleister für die deutschen Sicherheitsbehörden. Er hat die Aufgabe, sie bei IT-Fähigkeiten zu unterstützen und zu beraten. Dazu bündelt ZITiS das technische Know-how mit Cyberbezug, forscht zentral an neuen Technologien und entwickelt Methoden und Werkzeuge zur Unterstützung der Behörden bei Ermittlung und Aufklärung. Inhaltlich geht es um Themen wie digitale Forensik, Telekommunikationsüberwachung, Kryptoanalyse und Big Data-Analyse sowie um Kriminalitätsbekämpfung, Gefahrenabwehr und Spionageabwehr.
Wo das BMI auf ZITiS zurückgreift, stehen dem Bundesverteidigungsministerium der Cyber Innovation Hub (CIH), das Forschungsinstitut Cyber Defence (CODE) an der Universität der Bundeswehr, die Bundesweite IT-Systemhaus GmbH (BWI) oder das Bundesamt für Ausrüstung, Informationstechnik und Nutzung der Bundeswehr (BAAINBw) zur Verfügung. Der CIH bietet eine Plattform zur Verknüpfung von Bundeswehr und Start-ups, um innovative Technologien für die Bundeswehr zu erforschen und weiterzuentwickeln. CODE verfolgt die Zielsetzung, innovative technische Neuerungen zum Schutz von Daten, Software und Systemen für die Bundeswehr zu verwirklichen. Die bundeseigene BWI GmbH hat die Bundeswehr-IT umfassend modernisiert; zu den aktuellen Schwerpunkten des IT-Dienstleisters zählen das Betreiben und Modernisieren von nichtmilitärischen Informations- und Kommunikationstechniken der Bundeswehr.
Die Bundesregierung hat 2018 beschlossen, die Agentur für Innovation in der Cybersicherheit (Cyberagentur) zu gründen. Sie soll bis 2022 am Flughafen Leipzig/Halle entstehen. Aufgabe der Agentur wird es sein, die Entwicklung innovativer Lösungen im Bereich der Cybersicherheit voranzutreiben. Zudem soll sie Deutschland zu mehr eigener Technologie-Souveränität in der Cybersicherheit verhelfen. 100 IT-Spezialisten werden sich mit Sicherheitsfragen bei der Bundeswehr und der Polizei befassen. Die Agentur steht unter der gemeinsamen Aufsicht des Bundesministeriums der Verteidigung (BMVg) und des Bundesministeriums des Innern, für Bau und Heimat (BMI).
Gegründet 2011, ist der Cyber-SR strategischer Ratgeber der Bundesregierung. Er organisiert – innerhalb der Bundesregierung sowie zwischen Staat und Wirtschaft – die Zusammenarbeit im Bereich Cybersicherheit. Im Cyber-SR werden laut Bundesregierung langfristige Handlungsnotwendigkeiten und Trends identifiziert und hieraus Impulse zur Stärkung der Cybersicherheit abgeleitet. Er bringt Vertreter von Bund, Ländern und Wirtschaft zusammen und wird durch ein wissenschaftliches Experten- und Beratergremium unterstützt. Vorsitzender des Rats ist der Beauftragte der Bundesregierung für Informationstechnik (BfIT).
Schon seit 2016 ist die Gründung des Deutschen Instituts für Internet Sicherheit (DIIS) durch das Auswärtige Amt (AA) angekündigt. Sein Fokus soll auf Cybersicherheitsthemen mit Bezug zu internationaler Stabilität und Krisenprävention liegen. Im Koalitionsvertrag von 2018 wurde die Einrichtung der Agentur für Innovation in der Cybersicherheit (ADIC) beschlossen. Unter Federführung von BMI und BMVg soll die Cyberagentur die “technologische Innovationsführerschaft” im Bereich der sicherheitsrelevanten Schlüsseltechnologien gewährleisten.
13 der 16 Bundesländer haben Cybercrime-Zentren aufgebaut, die für die Bekämpfung und Aufklärung von Cyberkriminalität zuständig sind. Die Cybercrime-Zentren sind organisatorisch überwiegend im Polizeibereich der entsprechenden Landeskriminalämter oder bei den Staatsanwaltschaften organisiert.
Die Länder-CERTs sind die Computer Emergency Response Teams der einzelnen Bundesländer. Im Rahmen des Verwaltungs-CERT-Verbunds (VCV) kooperieren Bund und Länder beim Aufbau und Betrieb der Länder-CERTs. Die Länder-CERTs kooperieren mit dem CERT-Bund im BSI.
Der Verwaltungs-CERT-Verbund (VCV) ist eine Plattform zum gegenseitigen Informationsaustausch zwischen dem CERT Bund und den vorhandenen Länder-CERTs. So soll die IT-Krisenprävention und -reaktion gestärkt und die IT-Sicherheit in der öffentlichen Verwaltung verbessert werden.
Das Gemeinsame Melde- und Lagezentrum (GMLZ) hat die Aufgabe, für Bund, Länder und Fachbehörden ein einheitliches Lagebild für den Bevölkerungsschutz abzubilden. Dafür verfolgt und bewertet es rund um die Uhr relevante Geschehnisse im In- und Ausland und berichtet im täglichen Lagebericht oder in gezielten Lagemeldungen.
Das ITZBund ist IT-Dienstleister der Bundesverwaltung. Es gehört zum Geschäftsbereich des Bundesministeriums der Finanzen und soll unter anderem den Schutz vor Cyberangriffen verbessern. Das ITZBund wurde 2016 aus drei Vorgängerbehörden gegründet: der Bundesstelle für Informationstechnik (BIT), der Bundesanstalt für IT-Dienstleistungen (DLZ-IT BMVI) und dem Zentrum für Informationsverarbeitung und Informationstechnik (ZIVIT). Ziel bei der Gründung war eine konzentrierte Bündelung der IT-Kapazitäten des Bundes.
Doppelungen und Mehrfachförderungen?
Wie sinnvoll und effizient die Vielzahl der Einrichtungen, mit denen der Bund sein Ziel erreichen will, tatsächlich ist, wird unterschiedlich bewertet. Kritiker sehen etwa in der Kooperation verschiedener Behörden im „Nationalen Cyber-Abwehrzentrum“ eine Vermischung polizeilicher und nachrichtendienstlicher Tätigkeiten. Damit würde sie gegen das Trennungsgebot von Polizei und Geheimdiensten verstoßen. Der Bundesrechnungshof ist der Meinung*, dass das Cyber-Abwehrzentrum mit unzureichenden Kapazitäten ausgestattet sei, es an Handlungskompetenzen fehle und unklar sei, was im Falle eines Cyberangriffs tatsächlich geschehe. Konträre Herangehensweisen im Umgang mit Cyberangriffen sowie eine verhaltene Bereitschaft, eigene Kenntnisse und Informationen zu teilen, würden eine reibungslose Zusammenarbeit erschweren.
Kritik gibt es auch an der geplanten „Cyberagentur des Bundes“. Sie sei lückenhaft finanziert*. Der Bundesrechnungshof sieht zudem das Risiko, dass sich die CyberMeinung1agentur nicht „von anderen Forschungsorganisationen abgrenzen lässt"*. So betreibe die Bundeswehr einen Cyber Innovation Hub für „disruptive Innovationen und digitale Transformation“. Die Bundeswehr-Universität hat ein Forschungsinstitut Cyber Defence (CODE) als „ressortübergreifenden Cyber-Cluster“ für „Grundlagenforschung auf Exzellenzniveau“. Das Forschungsministerium finanziert gleich drei Kompetenzzentren für IT-Sicherheitsforschung an Universitäten und Instituten. Darüber hinaus gebe es das Bundesamt für Sicherheit in der Informationstechnik (BSI), die Zentrale Stelle für Informationstechnik im Sicherheitsbereich (ZITiS), eine Bundesagentur zur Förderung von Sprunginnovationen (SprinD). Vor diesem Hintergrund könnte es schnell zu Doppelungen mit Mehrfachförderung kommen und es sei schwer verständlich, warum es noch eine neue Cyberagentur brauche.
*1 https://www.stiftung-nv.de/sites/default/files/cybersicherheitspolitik_in_deutschland.pdf
*3 https://netzpolitik.org/2019/bundesrechnungshof-bezweifelt-sinn-der-neuen-cyberagentur/