Pro/Matthias Gärtner, BSI:
Cyberangriffe nehmen zu. Die Angreifer haben unterschiedliche Motivationen und richten sich nicht nach Strukturen in der Behördenlandschaft oder im Finanzwesen. Neu als konsequente Fortsetzung der Strategie der Bundesregierung, die mit dem Nationalen Plan zur Sicherung der Informationsinfrastrukturen aus dem Jahr 2005 begann, ist das Nationale Cyber-Abwehrzentrum. Seit dem 1. April 2011 fungiert es unter Federführung des Bundesamtes für Sicherheit in der Informationstechnik (BSI) als Informationsdrehscheibe der Sicherheitsbehörden, um IT-Sicherheitsvorfälle aus den unterschiedlichen Perspektiven zu werten.
Über Begrifflichkeiten kann man trefflich streiten. Solch ein Diskurs ist im akademischen Raum gut platziert; hilft aber gerade in der Praxis der Banking-IT nicht weiter. Fakt ist: Mit dem Cyber-Abwehrzentrum ist eine institutionalisierte Kommunikationsplattform etabliert worden, die schneller als bisherige Behördenkooperationen umfassende Lagebilder zu IT-Sicherheitsvorfällen erstellt. Das konnte das Cyber-AZ bei den IT-Sicherheitsvorfällen in jüngster Zeit unter Beweis stellen.
Die daraus resultierenden Arbeiten sind Aufgaben der nach gesetzlicher Zuständigkeit und Befugnis handelnden Behörden. Keinesfalls darf das Cyber-Abwehrzentrum mit den Aufgaben der beteiligten Behörden gleichgesetzt werden. In der IT-Sicherheit ist das BSI über zwanzig Jahre aktiv und verantwortet unter anderem das Nationale IT-Sicherheitslagezentrum. Allein im BSI sind über 150 Mitarbeiterinnen und Mitarbeiter im Bereich der Cybersicherheit tätig.
Das BSI bietet Lösungsangebote. Mit Entwicklungen wie dem neuen Personalausweis und der De-Mail bietet der Staat für die Wirtschaft die Chance, das IT-Sicherheitsniveau zu steigern. Konkrete Lösungen zu erarbeiten und bereitzustellen, ist jedoch letztlich Aufgabe der Wirtschaft. Gemeinsam können Staat, Wirtschaft und Wissenschaft dazu beitragen, den Standortvorteil IT-Sicherheit zu stärken.
Contra/Dr. Sandro Gaycken, Freie Universität Berlin:
Ein neues Phänomen ist in den Informationsgesellschaften aufgetaucht: der militärische Hacker. Ein gefährlicher neuer Angreifer, denn er kommt an alles heran, kann nahezu alles tun und dabei jede Identifikation oder Detektion vermeiden. Zeit also, zu handeln. Das Nationale Cyber-Abwehrzentrum (NCAZ) ist die erste Antwort des Bundes. Allerdings ist es kein gelungener erster Schritt.
Zuerst ist die Assoziation zu bemängeln, dass etwas abgewehrt wird. Das kann von dort aus kaum erfolgen, denn Abwehr gegen nicht identifizierbare Hacker muss zwangsläufig direkt an den potentiellen Zielen stattfinden, nicht in irgendwelchen Zentren. Aber auch als Stelle für Aufklärung und Krisenmanagement ist das NCAZ schwierig. Selbst wenn man nur erkennen und reagieren will, sind die Optionen angesichts der neuen Angreifer nicht groß.
Deren Angriffe sind nur schwer bis gar nicht zu entdecken. Das belegt die Erfahrung. Die größten Cyber-Vorfälle wurden erst einige Monate bis Jahre nach dem Einbruch entdeckt (wenn überhaupt). Mit dieser Zeitdifferenz werden alle Konzepte der Frühwarnung und des Krisenmanagements hinfällig.
Damit bleiben dem NCAZ nur zwei Optionen. Es kann niederschwellige Angriffe bearbeiten. Das wurde aber vorher schon erfolgreich und gewissenhaft vom BSI unternommen. Oder es kann hochqualifizierte Angriffe ex post facto nachbereiten. Das ist bedingt sinnvoll und hier benötigt man auch die verschiedenen Expertisen im Austausch.
Ein solches „Nationales Cyber-zu-spät-Nachberei-tungszentrum“ liefert aber natürlich weder Schutz noch Vertrauen. Es darf also nicht bei diesem ersten Schritt bleiben. Entschlossenere Maßnahmen sind dringend erforderlich. Dazu wäre es wünschenswert, dass Staat und Wirtschaft sich ernsthafter mit dem Thema auseinandersetzen, als das bislang der Fall ist.