Zum Auftakt von 49security schrieb Annalena Baerbock, dass die Nationale Sicherheitsstrategie ein Schlüsseldokument für die Garantie der Sicherheit und der freiheitlich-demokratischen Art in Deutschland zu leben sei. Es ginge darin auch darum, der durch Desinformation befeuerten Spaltung der Gesellschaft entgegenzutreten. Sie wies ebenso daraufhin, dass zivile Infrastruktur Ziel von Hackern sein kann. Die Verwundbarkeit der kritischen Infrastruktur (KRITIS) Deutschlands durch Cyber-Attacken ist immer wieder Gegenstand sicherheitspolitischer Debatten. Behörden, Unternehmen und Bevölkerung – alle Bereiche sind bedroht.

Dennoch ist das Thema Cybersicherheit kaum Gegenstand der Debatten auf 49security beziehungsweise fokussierte sich diese bislang eher auf die ​‚harten Aspekte‘ von Sicherheit – etwa auf Cyber War und Cyber Defense im Rahmen der NATO-Abschreckung gegenüber Russland oder auf die Cyber-Sicherheitsarchitektur am Beispiel der Unterseekabel. Die Diskussion beschränkt sich somit viel mehr auf Technologien und auf den Umgang der damit einhergehenden, teils unvermeidlichen wirtschaftlichen Abhängigkeiten. So wird diese Problematik zum Bespiel anhand der Halbleiterproduktion deutlich gemacht. Viele Beiträge befassen sich daher mit Handlungsoptionen, um diesen Interdependenzen entgegenzuwirken. Sei es in Form eines außenpolitischen Doppelcharakters, im Rahmen strategischer Interdependenzsteuerung oder eines klugen Interdependenzmanagements zur kontrollierten Entflechtung extrem asymmetrischer Abhängigkeiten sowie einem umsichtigen Risikomanagements.

Sven Herpig und Alexandar Paulus nehmen immerhin eingehender das Thema Cybersicherheit auf, indem sie Resilienz in den Vordergrund rücken, welche auf einer gestärkten IT-Infrastruktur und Maßnahmen wie Digital Twins und Threat Hunting aufbaut. Aber auch hier bleibt die Befähigung der Gesellschaft zur Umsetzung von herkömmlichen IT-Sicherheitsmaßnahmen weitgehend außen vor. Während also vor allem die Infrastruktur, Technologien und Gegenmaßnahmen von Spezialist:innen im Fokus stehen, spielen Softskills der Digitalkompetenz als gesamtgesellschaftliche Aufgabe noch keine Rolle in der Strategiedebatte. Der Beitrag der Körber-Stiftung greift hier auch nur einen Teilaspekt auf. Neben dem Know-how von IT-Expert:innen und den industriellen Kapazitäten ist das individuelle Verhalten der Bürger:innen als wichtige Säule der Cybersicherheit jedoch unabdingbar. Schließlich sind Risiken mannigfaltig und allgegenwärtig. Sie begegnen uns im beruflichen wie im privaten Bereich.

Twice the Citizen: Die Gesellschaft als kritische Infrastruktur

Cyberattacken haben in allen Bereichen stark zugenommen und sind eine ernste Sicherheitsbedrohung wie das Bundesamt für Sicherheit in der Informationstechnik in seinem Lagebericht ausführt. Auch der Krieg in der Ukraine trägt dazu bei. Außerdem hat das Sicherheitsempfinden in Deutschland bezüglich der IT-Sicherheit abgenommen, wie aus dem Magazin ​„Cybersicherheit in Zahlen“ von G DATA CyberDefense und Statista hervorgeht. In Zeiten des Unfriedens, in denen hybride Kriegführung an der Tagesordnung ist, muss somit ein Umdenken stattfinden, bei dem militärische Fähigkeiten nur einen Teil der Verteidigungsmaßnahmen darstellen. Allein die zunehmende Verbreitung und Nutzung des Internet of Things hat die zivile Angriffsfläche erweitert. Dementsprechend ist auch die Gesellschaft mit allen Bürger:innen gefordert und muss sich den möglichen Bedrohungen sowie den geeigneten Gegenmaßnahmen bewusst sein. 

Da wir alle tagtäglich mit dem Cyberraum interagieren, wären enorme Skaleneffekte selbst mit kleineren, einfachen Maßnahmen möglich. Vor dem Hintergrund, dass das Arbeiten im Home-Office zunehmen wird und dadurch berufliche mit privaten IT-Infrastrukturen kombiniert werden, kommt der Cybersicherheit eine viel stärkere Bedeutung zu. Private und privatwirtschaftliche Cybersicherheit lassen sich daher nicht unabhängig voneinander betrachten.

Sicherheitsbewusste Bürger:innen wären also ein doppelter Gewinn, sozusagen ​„twice the citizen“, wie es Winston Churchill einst über Reservisten sagte. Die Verbesserung der Digitalkompetenz der Bevölkerung kann die erwähnten ​‚harten Aspekte‘ ergänzen. Prävention kann so nachhaltige Resilienz schaffen. Dazu muss die Politik die Gesellschaft jedoch selbst als kritische Infrastruktur verstehen. Die Erkenntnis, dass die Nationale Sicherheitsstrategie alle Gesellschaftsbereiche abdecken muss, ist immerhin vorhanden. Wie solch ein übergreifender Ansatz aussehen könnte, zeigt Minna Ålander am Beispiel Finnlands.

Die cyberpolitischen Maßnahmen müssen neben einer befähigten, selbstständigen IT-Wirtschaft somit auch eine erhöhten Sensibilität und Wachsamkeit der Bürger:innen für Sicherheitsrisiken im Cyberraum herstellen. So stärkt die Bundesregierung die Souveränität der Gesellschaft und reduziert Abhängigkeiten beziehungsweise lässt sie nur dort zu, wo eine gewisse Resilienz gewahrt werden kann.

Vielleicht kein Führerschein, aber ein Erste-Hilfe-Kasten

Als mein Vater seine Führerscheinprüfung in den 1960^er Jahren absolvierte, gab es weder eine Einbaupflicht für Anschnallgurte noch eine Vorgabe, diese auch zu nutzen. Die damalige Promillegrenze war ebenfalls großzügig bemessen. Die heutigen strengeren Vorgaben sind inzwischen selbstverständlich und das allgemeine Verhalten ist diesbezüglich meist verantwortungsvoll. Wenn man sich den Bericht von Bitdefender oder den Bericht zum Digitalen Verbraucherschutz des BSI ansieht, ähnelt das Verhalten von vielen im heutigen Cyberraum jedoch eher dem der Autofahrenden aus den 60ern: Angetrunken und ohne Anschnallgurt surfen wir durch das Internet. 

Sei es bei der Verwendung von sicheren Browsern, VPN-Tunneln, Virenschutzprogrammen oder sicherer Passwörter. Überall ist Luft nach oben. Dabei lauern tagtäglich so viele ernstzunehmende Gefahren, dass eine Art Führerschein für Digitalkompetenz, der die Dos and Don’ts beinhaltet, sicherlich hilfreich wäre. Das muss nicht zwingend mit einer erfolgreich abgeschlossenen Prüfung einhergehen, aber das Aushändigen eines Erste-Hilfe-Kastens für IT-Sicherheit wäre zweckmäßig. 

Seien es banale Dinge wie die Erläuterung zu Sicherheitseinstellungen der heimischen WLAN-Verbindung und dem dazugehörigen Router. Oder Ratschläge zu bewährten und zertifizierten Produkten. Alles für sich genommen nur kleine Stellschrauben, die aber durch 80 Millionen Menschen, die diese anwenden, ein ganz anderes Gewicht bekommen. Ein solches verstärktes Bewusstsein für Gefahren würde auch eine höhere Sensibilität für Cyber-Attacken schaffen und gleichzeitig die Nachfrage nach sicheren IT-Produkten steigern. Insbesondere letzteres führt uns wieder zu den anfangs erwähnten technologischen Interdependenzen. Einen eigenen IT-Markt zu etablieren, der resilient gegenüber Einflussnahmen anderer geopolitischer Akteure ist, lässt sich leichter aufbauen, wenn auch eine heimische Nachfrage besteht. 

Es fehlt in unserer Gesellschaft an Cyber Awareness. Daher muss die Nationale Sicherheitsstrategie unter dem Stichwort der Resilienz auch die Befähigung der Bürger:innen für das Treffen von IT-Sicherheitsmaßnahmen thematisieren. Politische Entscheidungsträger:innen müssen Risiken benennen und relevante Informationen leicht zugänglich machen. Es braucht Maßnahmen, die alle ohne weiteres anwenden können und die ihnen aktiv zur Verfügung gestellt werden. Eine zentrale Koordinierung ist hierzu notwendig. Im Bildungssystem muss dazu bereits früh und wiederholt angesetzt werden, und zwar auf allen Ebenen: von der Grund- bis zur Hochschule. Ein Bewusstsein dauerhaft zu schaffen, ist ein langwieriger und mühsamer Prozess, mit dem wir eher heute als morgen beginnen müssen.