"Also es kann nicht sein, dass die Behörden, das Cyber-Abwehrzentrum, das sich selber Cyber-Abwehrzentrum nennt, nur zehn Mitarbeiter hat und eigentlich auch gar nicht abwehren kann, sondern nur Informationen weitergeben kann. Ich glaube das sind Projekte da, die an sich nicht schlecht gedacht sind, aber die Ausführung, und das ist das entscheidende, die Ausführung und die Implementierung von Strategien, von Projekten und von Geldern dass wird das Entscheidende sein",

sagt Jakob Kullik, Politikwissenschaftler an der Technischen Universität Chemnitz. Er hat die deutsche Cybersicherheitspolitik umfassend untersucht. Herausgekommen ist eine 300 Seiten starke hinausgehende Studie, die in diesen Tagen in den Berliner Ministerien zwar mit großem Interesse, aber vor allen Dingen mit Unbehagen zur Kenntnis genommen wird. Studien zur Cybersicherheit gibt es ja ziemlich viele. Und die meisten werden von ihnen werden nebenher zur Kenntnis genommen. Warum sorgt denn die Arbeit der Chemnitzer Politikwissenschaftler da für mehr Aufsehen, Peter Welchering?

Weil hier die unterschiedlichen Bereiche von Cybersicherheitspolitik endlich mal systematisch und umfassend aufgearbeitet werden. Jetzt nach der NSA-Affäre suchen die politischen Entscheidungsträger nach einem tragbaren strategischen Ansatz. Und da kommen die Chemnitzer Politikwissenschaftlerin Prof. Beate Neuss und ihr Mitarbeiter Jakob Kullik und sagen: Hier haben wir die Defizite und hier haben wir konkrete Handlungsempfehlungen. Und das Ganze beruht auf einer enorm materialreichen Bestandsaufnahme. Und der Clou dabei: Die Chemnitzer Politikwissenschaftler blicken über den Tellerrand ihres Fachs hinaus und haben nicht nur saubere politikwissenschaftliche Analyse betrieben, sondern auch die zugrunde liegenden technischen Fragen sehr detailliert aufgearbeitet.

Und das macht insbesondere den Zuständigen im Bundesinnenministerium mit den nachgeordneten Behörden BSI, BKA, Verfassungsschutz, dem Bundeskanzleramt mit dem BND und dem Verteidigungsministerium mit dem Kommando strategische Aufklärung Kopfzerbrechen. Denn die haben sich bisher immer auf mehr oder weniger unlösbare technische Schwierigkeiten herausgeredet. Und jetzt gibt es den Band 7 der Chemnitzer Studien zur europäischen und internationalen Politik, in dem klar gelegt wird: Das sind die technischen Probleme, und so lassen sie sich fachlich, organisatorisch und vor allen Dingen politisch lösen. Und Jakob Kullig schreibt den politisch Verantwortlichen in den Ministerien auch deutlich ins Stammbuch, dass sie technische Probleme bisher rechtlich lösen wollten. Das funktioniert natürlich nicht. Und deshalb hat die Cybersicherheitspolitik hierzulande so große Defizite.

"Die Sicherheitsbehörden sind angewiesen auf bisher unveröffentlichte Sicherheitslücken, die sie ausnutzen für einen Angriff und mit deren Hilfe sie dann in Computer von verdächtigen, von Straftätern eindringen können und deren Daten dann auch auslesen, auf gesetzlicher Basis, ganz klar. Deren Daten sie auslesen, deren Telefongespräche, deren Internet Telefonie sie unverschlüsselt mithören können."

So bringt der Informatik-Professor Hartmut Pohl von der Hochschule Bonn-Rhein-Sieg das wesentliche Dilemma der Cybersicherheitspolitik auf den Punkt. Das Bundeskriminalamt, der Bundesnachrichtendienst, das Bundesamt für Verfassungsschutz, der Militärische Abschirmdienst oder das Kommando Strategische Aufklärung der Bundeswehr: Diese staatlichen Stellen nutzen Sicherheitslücken in Betriebssystemen, Anwendungssoftware und Protokollen aus, um Datenspionage und Überwachung zu betreiben und um Computersysteme anzugreifen. Datenspionage und Cyberangriffe sind ohne Sicherheitslücken nicht möglich. Als die Angriffe auf Regierungscomputer und IT-Systeme so rasant zunahmen und enorme Schäden verursachten, musste die Politik handeln. Sie griffen einen Vorschlag aus dem Bundesinnenministerium auf, nämlich eine Meldepflicht für Angriffe. Von einer Meldepflicht allein hielten und halten die meisten Computerwissenschaftler und Informatiker aber nur wenig. Sie forderten statt dessen eine Melde- und Veröffentlichpflicht für Sicherheitslücken. Warum wurde auf die Informatiker nicht gehört? Der Chemnitzer Politikwissenschaftler erklärt das so.

"Also ich sehe das Problem nicht so sehr, dass die Informatiker nicht gehört werden, sondern eher darin, dass die entsprechenden Ministerien, wie sie gerade politisch besetzt sind, ihre Interessen und ihre Agenda durchsetzen."

Die Ministerialbeamten aus dem Innen-Ressort setzten sich durch. Der Computerwissenschaftler Hartmut Pohl sieht darin eine Interessenvertretung für Sicherheitsbehörden, die dem Innenministerium nachgeordnet sind. Denn die sind darauf angewiesen, dass die von ihnen genutzten Sicherheitslücken nicht gemeldet und veröffentlicht werden. Für Pohl hat sich das ganz klar nachteilig auf die Cybersicherheit ausgewirkt.

"Es hilft uns überhaupt nicht, wenn wir oder die Sicherheitsbehörden wissen, wer wie oft angegriffen worden ist. Das ist vergleichbar einer Zählung von Bürgern in einer Großstadt, wie vielen ist denn das Portemonnaie am Wochenende geklaut worden. Das nutzt überhaupt nichts.

Die Chemnitzer Politikwissenschaftler nehmen solche Einwände und Vorschläge der Informatiker ernst und bauen sie in ihre Strategieempfehlungen ein. Professor Beate Neuss:

"Wenn man sich die Sicherheitslücken anguckt, wenn man sich die Anfälligkeit der Software ansieht, auch da sind die Techniker gefragt, da ist die Sorgfalt der Programmierer gefragt und da sind Institutionen, die kontrollieren, gefragt, sich diese Vernetzung sehr gut anzuschauen und Schwachstellen zu benennen."

Cyber-Abwehrzentrum könnte Abhilfe schaffen

Das gemeinsame Cyber-Abwehrzentrum sollte hier Abhilfe schaffen, Schwachstellen benennen und entsprechende Strategien erarbeiten, bis hin zur Krisenreaktion. Jakob Kullik:

"Der Ansatz ist dahingehend, dass verschiedene Ministerien und Behörden ihr durch den effizienten Austausch von Informationen und auch Personal sowohl zu einem einheitlichen Lagebild als auch zu einheitlichen und konsistenten Möglichkeiten der Bekämpfung von Unsicherheitsfaktoren, also von Kriminalität, also von Terrorismus vorgehen können und müssen. Aber bisher hat sich eben gezeigt, dass in diesem neuen Politikfeld sowohl auf der strategischen Ebene als auch auf der institutionellen oder auf der Kapazitätsebene große Defizite herrschen und deshalb mehr Unsicherheit herrscht als koordinierte Sicherheit.