(BS) Information ist alles in der Cyber-Sicherheit. Doch das gemeinsame Lagebild lässt zu wünschen übrig. Die deutschen Sicherheitsbehörden teilen ihre Informationen im Nationalen Cyber-Abwehrzentrum, doch das Teilen hat Grenzen.
„Im Nationalen Cyber-Abwehrzentrum müssen wir die Informationen besser zusammenführen“, findet Generalmajor Jürgen Setzer. Der stellvertretende Inspekteur des Kommando Cyber- und Informationsraum (CIR) kritisierte bei der 15-Jahr-Feier des Cyber-Sicherheitsforschungszentrums Fraunhofer Athene: „Die großen Internetprovider haben teilweise bessere und schnellere Lagebilder als wir.“ Die verschiedenen Cyber-Sicherheitsbehörden – BSI, BKA, die Nachrichtendienste und das Militär – müssten sich noch besser vernetzen.
Eine Aufgabe, für die das Nationalen Cyber-Abwehrzentrum (CyberAZ) gegründet wurde. Das ist eine behördenübergreifende Plattform, in die Bundeswehr, Polizei, Nachrichtendienste und das Bundesamt für Sicherheit in der Informationstechnik (BSI) Verbindungsleute entsenden. Hier tauschen die Sicherheitsbehörden ihre Informationen über die Lage im Cyber-Raum aus und koordinieren ihre Maßnahmen und Operationen.
Es gebe Optimierungspotenzial bei Lagebildern, gab die Präsidentin des Bundesamts für Sicherheit in der Informationstechnik (BSI) dennoch unumwunden zu. „Bei der Automatisierung der Lagebilderstellung haben wir auch technisch noch was zu tun“, erläutert Claudia Plattner. Noch habe das Lagebild etwas Anekdotisches. Dennoch gebe es Grenzen des Informationsteilens – mit guten Gründen.
Rechtliche Einschränkungen
Die Weitergabe von Informationen zwischen Behörden unterliegt den Beschränkungen des Rechtsstaats. „Vor die Bemühungen der technischen Umsetzung hat der Gesetzgeber den Juristen gestellt“, scherzt der Koordinator des Zentrums, Matthias Mielimonka (Bundesnachrichtendienst). Es gebe „unverrückbare Grundsätze“ wie das Trennungsgebot. Damit ist die Grundgesetzvorschrift gemeint, dass Polizei und Nachrichtendienste immer zu trennen sind. Außerdem stünden niederschwelligere Gesetze wie die Datenschutz-Grundverordnung (DSGVO) manchen Informationsübermittlungen an andere Behörden im Weg. „Wie soll ich Cyber-Angriffe attribuieren, wenn die DSGVO mir die Übermittlung personenbezogener Daten verbietet?“, fragt Mielimonka.
Doch das CyberAZ erhält auch Lob. „Vor der Gründung des Nationalen Cyber-Abwehrzentrums war es vom Zufall abhängig, ob man eine Information erhält“, sagt Jadran Mesic, der die Cyber-Abwehr des Bundesamts für Verfassungsschutz (BfV) leitet. Die Behörden würden ein gemeinsames Lagebild hinkriegen, „wenn wir ernsthaft zusammenarbeiten“.
