Wir stecken mittendrin in einer Revolution, in der digitale Technik eine Mehrheit der Lebensbereiche und Wirtschaftsbranchen fundamental verändert. Natürlich ist der Staat mit seinen Behörden davon ebenfalls betroffen, auch wenn bislang nur in einem ungenügenden Umfang. Dies gilt auch für den Bereich der Sicherheitspolitik. Der Koalitionsvertrag von SPD, Grünen und FDP will den Rückstand bei der Digitalisierung auf Bundesebene abbauen. Um dies zu erreichen, muss die Sicherheitsstrategie für den Bereich der Cybersicherheit die Richtung und die Ziele vorgeben. 

Fragen an die Nationale Sicherheitsstrategie

Mit der Digitalisierung von Staat, Wirtschaft und Gesellschaft geht einher, dass sich die Angriffspunkte im Cyberraum vervielfältigen. Damit wird dieser für kriminelle, aber auch staatliche Akteure immer profitabler. Schließlich sinken mit zunehmender Digitalisierung die Grenzkosten für Cyberkriminalität, Industrie- und Wirtschaftsspionage. Für das Militär ergibt sich mit dem Cyberraum eine weitere Dimension in der Konflikte ausgetragen werden. Für die Sicherheitsstrategie folgen daraus mindestens fünf Felder, die es zu adressieren gilt:

1. Bereitstellung von Schutz: Welche Verantwortung trägt der Staat beim Schutz seiner Bürgerinnen und Bürger, der Wirtschaft und Institutionen bei Cyberangriffen? Welche Verantwortung haben Haushalte und Unternehmen sich selbst zu schützen?
2. Herstellung von Schutz: Wer stellt den Schutz her? Der Staat, die Wirtschaft? 
3. Sicherheitswirtschaft und Souveränität: Wie wichtig ist es, dass Deutschland und seine Unternehmen eigene Fähigkeiten im Bereich der Cybersicherheit haben? Oder kann man den Bedarf auch aus dem (befreundeten) Ausland decken?
4. Externe Effekte: Wie sehr muss der Staat in die Entscheidungsfreiheit der Menschen und Unternehmen eingreifen, um die Sicherheit für alle gewährleisten zu können?
5. Grenzen der Verantwortung: Wo liegen eigentlich die geographischen Grenzen des Verantwortungsbereichs des deutschen Staates im Cyberraum?

Diese Fragen gilt es, wenn schon nicht zu beantworten, dann doch zumindest zu bedenken, wenn man eine Sicherheitsstrategie für Deutschland formulieren will, die auch für den digitalen Raum Bedeutung hat. Im Nachfolgenden hierzu einige Gedanken.

Zu 1) Bereitstellung von Schutz im Cyberraum

Wie in der physischen Welt auch, muss eine Analyse erfolgen, wo der Staat Verantwortung für die Bereitstellung, Herstellung und Finanzierung bestimmter Schutzleistungen im Cyberraum hat. Wie dies zu erfolgen hat, wurde an anderer Stelle bereits diskutiert.Sicherheitsverantwortung zwischen Staat und Markt Im Kern läuft eine solche Analyse aber darauf hinaus, dass Schutz vor Cyberangriffen gerade bei privaten Netzen den Charakter eines Privat- oder Klub(kollektiv)gutes Klubgut hat. Von daher sind in vielen Bereichen Unternehmen und Haushalte selbst für die Bereitstellung und letztlich auch die Bezahlung verantwortlich. Der Staat hat die Aufgabe der Strafverfolgung, des Schutzes vor staatlichen Angriffen und besonders zur Sicherstellung der eigenen Funktionsfähigkeit.

Zu 2) Herstellung von Schutz – Rolle der IT-Sicherheitswirtschaft

Spätestens dann, wenn die Grundrechte Dritter in erheblichem Maße beeinträchtigt werden, ist es am Staat, bestimmte Schutzleistungen bereit – und gegebenenfalls auch herzustellen. Dies gilt zum Beispiel für alle offensiven Aktionen im Cyberraum. Das heißt aber nicht, dass der Staat auch jedes Cyberwerkzeug selbst herstellen muss. Auch in der physischen Welt ist es ja selbstverständlich, dass private Unternehmen die Waffensysteme der Bundeswehr entwickeln und herstellen. Gerade weil die Digitalisierung immer mehr Bereiche unseres Lebens umfasst, ist auch eine vitale und stark wachsende Wirtschaftsbranche rund um das Thema Cybersicherheit entstanden.

Zu 3) Sicherheitswirtschaft und Souveränität

Auch für den Cyberraum gilt, dass Staat und Gesellschaft ein Interesse daran haben, jene, die für den Schutz zuständig sind, mit möglichst effektiven und den Gegner dominierenden Werkzeugen auszurüsten. Hierzu braucht es einen Zugang zu den entsprechenden Angebotsmärkten. Da trifft es sich gut, dass viele leistungsfähige Cybersicherheitsunternehmen aus NATO-Staaten beziehungsweise befreundeten Staaten wie Australien, Israel, Japan, Taiwan etc. kommen. Entsprechende Produkte und Dienstleistungen sind also am Markt erhältlich. 

Gerade aber bei den Dienstleistungen ist wichtig, dass auch hinreichend qualifiziertes Personal in Deutschland vorhanden ist. Hier liegt eine der wesentlichen Herausforderungen, der sich eine Sicherheitsstrategie stellen muss. Woher kommen die leistungsfähigen Fachkräfte zur Verteidigung des deutschen Cyberraums? Im täglichen Einsatz stehen staatliche Arbeitgeber dabei in einem Wettbewerb mit privaten Unternehmen, denen es leichter fällt, Knappheitspreise für begehrtes Personal zu bezahlen. Zudem braucht es für den Ernstfall ein System, wie kompetente Frauen und Männer aus der gesamten Gesellschaft für die Cyberabwehr aktivierbar sind (Stichwort ​‚Cyberreserve‘).

Gegenwärtig wird viel darüber diskutiert, dass Deutschland aus Sicherheitsgründen ein höheres Maß an digitaler Souveränität anstreben müsse. Gerade der staatlichen Beschaffung kommt hier eine Schlüsselstellung zu. Wie für vieles in der digitalen Welt gilt nämlich auch im Bereich der Cybersicherheit, dass der Markt geprägt ist von erheblichen Skalen- und Netzwerkeffekten. Heimische Unternehmen mit staatlichen Einrichtungen als Kunden haben es leichter im Vertrieb und bei der Senkung der Durchschnittskosten. Aber auch hier gilt, dass ein hinreichendes Angebot von qualifiziertem Humankapital die eigentlich notwendige Bedingung für im Wettbewerb erfolgreiche deutsche Unternehmen ist.

Bundeswehr, Polizei, Behörden und Nachrichtendienste sollten sich daher nicht zu sehr grämen, wenn ihnen gut ausgebildetes Personal aus dem Bereich der Cybersicherheit zur Privatwirtschaft abwandert. Vielmehr ist es ein Beitrag des Staates für ein wirtschaftlich gesundes Ökosystem der Digitalwirtschaft, wenn er über den eigenen Bedarf hinaus ausbildet. Diese Ausbildungsleistung ist bestimmt effektiver zur Stärkung der Digitalwirtschaft, als so manch industriepolitischer Ansatz.

Zu 4) Externe Effekte

Es ist selbstverständlich Teil der unternehmerischen Freiheit darüber zu entscheiden, wie sehr der eigene Wertschöpfungsprozess digitalisiert wird. Die damit einhergehenden Cyberrisiken hat ein Unternehmen zunächst einmal selbst zu tragen. Gleichwohl geht von einem Mangel an Schutz im Cyberraum auch ein Risiko für Dritte aus, das vom Verursacher nicht vollständig getragen wird (‚negative externe Effekte‘). Investitionen in IT-Sicherheit schützen zudem nicht nur den Investor, sondern auch jene, die mit diesem digital verbunden sind (‚positive externe Effekte‘). 

Damit unbeteiligte Dritte vor negativen Effekten geschützt werden, braucht es eine hinreichende Regulierung, um die Verursacher zu einem Mindestmaß an Sicherheit in ihrem wirtschaftlichen Gebaren zu bewegen. So haben die Betreiber von Mobilfunknetzen der fünften Generation (5G) einen Anreiz, günstige und funktionierende Netzwerktechnik aus Ländern zu kaufen, mit denen Deutschland in einem systemischen Wettbewerb steht. Dabei werden die mit der Nutzung einer solchen Technik einhergehenden Sicherheitsrisiken auf jene übertragen, die die Dienste der Telekommunikationsnetze nachfragen und führen bei ihnen zu entsprechenden Kosten. BIGS Policy Paper Umgekehrt gilt es, diejenigen zu unterstützen, die mit ihren Schutzleistungen im Cyberraum nicht nur sich, sondern auch andere Teile der Gesellschaft schützen. Es braucht also eine Mischung aus Vorgaben und Anreizen, damit Digitalisierung nicht zu einer untragbaren Verwundbarkeit von Wirtschaft und Gesellschaft führt. Die Resilienz Deutschlands im Cyberraum und besonders der digitalisierten Produktionsstätten hängt also nur in Teilen von den staatlichen Sicherheitsorganisationen ab. Die Sicherheitsstrategie muss diesen Umstand berücksichtigen.

Zu 5) Grenzen der Verantwortung

Geographische Grenzen spielen im Cyberraum keine oder nur eine geringe Rolle. Für die Frage der Zuständigkeit von Sicherheitsbehörden bleibt sie aber entscheidend. Man denke hier nur an das BND-Gesetz und seine komplizierten Regeln, wo der Auslandsnachrichtendienst wen und wie überwachen darf. Übertragen auf die Wirtschaft stellt sich damit die Frage, ob der Schutz der IT-Systeme eines deutschen Unternehmens auch dann gilt, wenn zum Beispiel eine Auslandstochter auf das gleiche unternehmensinterne Netz zugreift. Oder etwa, wenn ein ausländischer Nachrichtendienst versucht, sich Zugang zu sensiblen Daten zu verschaffen, die ein deutsches Unternehmen bei einem ausländischen Cloud-Anbieter in Deutschland und im Ausland speichert. Wie weit entlang der Wertschöpfungskette eines systemrelevanten deutschen Unternehmens fühlt sich der Staat zuständig? Bei der Diskussion um Seltene Erden und andere relevante Rohstoffe erkennen wir, dass manchmal ganz am Anfang der Wertschöpfungskette die Kritikalität am höchsten ist.

Sicherheit im Cyberraum ist noch mehr als bei anderen Dimensionen (Land, Wasser, Luft) abhängig von der Leistungsfähigkeit und Verfügbarkeit der Privatwirtschaft sowie knappem Personal. Wie Deutschland ausreichend Zugriff auf diese Fähigkeiten erlangt, auch und gerade im Konfliktfall, ist ein Thema, dem sich die Sicherheitsstrategie widmen muss, um Freiheit und Wohlstand mittelfristig verteidigen zu können.