Food for Thought: "Digitale Souveränität" - Zukunftsfähigkeit Deutschlands?

Die Digitalisierung stellt die Handlungsfähigkeit der deutschen Sicherheitsbehörden vor eine Reihe von Herausforderungen, schreibt der Präsident der Zentralen Stelle für Informationstechnik im Sicherheitsbereich (ZITiS) Wilfried Karl.

Programmiersprache auf einem Computerbildschirm (Photo: via Wikimedia Commons).

Der Bundesverband Informationswirtschaft, Telekommunikation und neue Medien e. V. (Bitkom) mahnte bereits 2015 in einem Positionspapier, dass die Digitale Souveränität über die Zukunftsfähigkeit Deutschlands entscheidet. Der damalige Bitkom-Präsident Prof. Dieter Kempf forderte: "Wir müssen unsere digitale Handlungsfähigkeit wiederherstellen. Die digitale Revolution erfordert Digitale Souveränität für Deutschland und Europa".

Was aber bedeutet Digitale Souveränität? Digitale Souveränität hat viele Facetten. Dazu gehören, unter anderem, sichere Transportwege, für die das Thema überprüfbare Cybersicherheit der verwendeten Infrastruktur eine große Rolle spielt. Ebenso zählt dazu eine industrielle Basis, die sichere und innovative Produkte anbieten kann. Dies ist aber nur möglich, wenn durch das Bildungssystem fähige Ingenieure, Mathematiker und Informatiker ausgebildet und darüber hinaus durch eine angemessene Gesetzgebung und Regulierung Innovationen gefördert werden.

An dieser Stelle möchte ich einen Punkt hervorheben, der für die Zukunftsfähigkeit der Sicherheitsbehörden und damit für die Souveränität Deutschlands enorm wichtig ist: eine engere Zusammenarbeit zwischen Industrie, Behörden, Instituten und Universitäten. Dazu muss auch das industrielle Potenzial vorhanden sein. Gemäß einer Studie des Beratungsunternehmen US Cybersecurity Ventures aus dem Jahr 2018 sitzen von den Top 500 Cybersecurity Firmen 358 in den USA, 42 in Israel und 23 in Großbritannien. Deutschland taucht in der Liste mit nur 6 (!) Firmen auf.

Warum dieses Übergewicht der USA?  Warum die überproportionale Repräsentation Israels? Ein Blick in andere Länder, die es besser machen, kann helfen. Die US-Regierung hat schon immer verstanden, sehr stark die Privatwirtschaft in Forschung und Entwicklung einzubinden. Hinzu kommt die schon immer vorhandene Strategie, bei Projekten nationaler Sicherheit im heimischen Markt zu kaufen. Laut Bitkom investierten deutsche Unternehmen 2018 deutlich mehr in IT-Sicherheit. In Deutschland wurden mit Hardware, Software und Services für Cybersicherheit insgesamt 4,1 Milliarden Euro umgesetzt. Ein Anstieg um 9 Prozent. Im Gegensatz dazu hat alleine das Verteidigungsministerium der Vereinigten Staaten ein Cybersicherheits-Budget von ca. 8,5 Milliarden US-Dollar.

Start-Ups und Innovationszentren werden in den Vereinigten Staaten nicht nur beim Aufbau gefördert. Dort werden Risikokapital oder staatliche Aufträge mit weniger Scheu an junge Unternehmen vergeben. Auch bestehende Firmen bekommen für innovative Ideen entsprechende Aufträge.

Ein weiterer wichtiger Punkt: In Israel wie auch in den USA ist es üblich, dass Personal zwischen Behörden und auch zwischen Behörden und der Privatwirtschaft wechselt. In Deutschland herrscht in diesem Zusammenhang jedoch immer noch eine Art Silobildung. Auf jeden Fall zwischen den Behörden und der Industrie, aber auch zwischen den Behörden untereinander. Das ist altes Denken und hemmt die Zukunftsfähigkeit des Landes, weil weniger Know-How-Austausch stattfinden kann. Von einem einfacheren Wechsel der Fachleute zwischen Industrie und Behörden profitieren letztlich alle.

Innovation erfordert gut ausgebildetes Personal in ausreichender Zahl. Zentrale, übergreifende  Forschungs- und Entwicklungsorganisationen wie die Zentrale Stelle für Informationstechnik im Sicherheitsbereich (ZITiS) können helfen, das Personal gezielter einzusetzen und Synergiegewinne durch die interdisziplinäre Zusammenarbeit der Experten zu realisieren. ZITiS muss für die bestmögliche Erfüllung der eigenen Aufträge Forschungsinstitute und industrielle Auftragnehmer nutzen, weshalb die Stelle an einem herausragenden Forschungsstandort für Informations- und Kommunikationstechnologie angesiedelt ist: der Region München. Für das Personal muss es darüber hinaus geeignete Ausbildungseinrichtungen geben, die die benötigten Studieninhalte lehren. Andere Länder haben diese Schritte bereits begonnen. In den USA gibt es seit vielen Jahren sogenannte "Centers for Academic Excellence in Cyber Operations". Das sind zahlreiche Universitäten, die entsprechende Studiengänge eingeführt haben und Personal gezielt ausbilden, welches für den Erhalt der Zukunftsfähigkeit der Sicherheitsbehörden zur Verfügung steht.

Die Cybersicherheitsstrategie der Bundesregierung besteht aus zwei großen Säulen. Einerseits dem Erhalt der Fähigkeiten zum Schutz der digitalen Infrastrukturen und andererseits dem Erhalt der Fähigkeiten der Sicherheitsbehörden zur Detektion und Aufklärung. Beides gelingt nur mit einer leistungsfähigen Industrie und in ausreichender Zahl speziell hierfür ausgebildeten Experten bei den Behörden. Das kontinuierliche Ausbilden einer breiten nationalen Wissensbasis für alle Arten von Cyberoperationen ist essentiell, will man in einem Krisenfall nicht ausschließlich auf Unterstützung aus dem Ausland angewiesen sein. 

In der öffentlichen Wahrnehmung spielt die zweite genannte Säule oft eine kleinere Rolle, ist aber ebenso wichtig wie die klassische IT-Sicherheit. Denn sie stärkt die Handlungsfähigkeit der Sicherheitsbehörden auch in der Zukunft, zum Schutz und für die Sicherheit der Bürgerinnen und Bürger und auch für die Sicherung des Wirtschaftsstandortes Deutschland. Verschlüsselungsverfahren, die vor wenigen Jahren noch dem Militär vorbehalten waren, sind heute für jeden frei verfügbar. Diese Technologie wird beispielsweise bei vielen Messenger Diensten auf Smartphones genutzt – auch von Kriminellen für die Planung und Ausübung von Verbrechen.

Deshalb ist ein wichtiger Punkt in den Diskussionen um Digitale Souveränität, wie die Sicherheitsbehörden vor diesem Hintergrund ihren Auftrag erfüllen können. Es darf keinen Unterschied machen, ob ein Terroranschlag am Telefon geplant wird - und damit für Ermittler technisch zugänglich ist - oder in Chat-Apps, bei denen die Nachrichten Ende-zu-Ende verschlüsselt sind. Die Bürger erwarten, dass Straftaten auch im digitalen Zeitalter ermittelt und aufgeklärt werden. Demgegenüber steht der Schutz der Privatsphäre - an den Eckpunkten der Kryptopolitik der Bundesregierung wird durch die Gründung der ZITiS nicht gerüttelt. Sichere Verschlüsselung, auch Ende-zu-Ende Verschlüsselung ist für jeden verfügbar, es gibt keine Pflichten zur Hinterlegung von Schlüsseln und auch keine Vorgaben zur Schwächung von Kryptosystemen.

Dennoch muss der Staat Methoden finden, um im rechtlich vorgesehenen Fall an die Daten für seine Auftragserfüllung zu gelangen. Eine dieser Methoden ist das verantwortungsvolle Nutzen von Lücken in IT-Systemen, etwa für die gesetzlich geregelte Quellen-Telekommunikationsüberwachung.

Natürlich ergibt sich ein Spannungsfeld zwischen dem Schließen von Sicherheitslücken für den Schutz von IT-Systemen und dem Nutzen einer Sicherheitslücke, um einen Zugriffsschutz zu umgehen, damit Sicherheitsbehörden ihren Auftrag erfüllen können. Der Staat muss verantwortungsvoll mit dieser Thematik umgehen und das Risiko des Offen Haltens von Sicherheitslücken gegen den Nutzen abwägen. Pauschale oder unrealistische Schreckensszenarien helfen in dieser Frage nicht weiter; ZITiS bringt daher gerne die eigene Expertise in die Weiterentwicklung von Kriterien für einen solchen Bewertungsprozess ein. Eines muss allen Beteiligten aber klar sein: Wir können weder einen Stopp der technischen Entwicklung verordnen, noch uns in frühere technologisch leichter beherrschbare Zeiten zurückversetzen. Wir müssen uns im Gegenteil konzentrieren auf den Erhalt der Handlungsfähigkeit vor dem Hintergrund der technologischen Weiterentwicklung.

Die genannten Punkte sind nur ein kleiner Ausschnitt im großen Feld der Digitalen Souveränität, in denen staatliches Handeln gefragt ist. Jetzt gilt es, den Anforderungen, die diese Digitale Souveränität an uns stellt, konsequent zu begegnen, um die Zukunftsfähigkeit nicht nur der Sicherheitsbehörden Deutschlands zu sichern.



Wilfried Karl ist seit 1. Juni 2017 Präsident der Zentralen Stelle für Informationstechnik im Sicherheitsbereich (ZITiS). Von 1993 bis 2017 war Wilfried Karl mit verschiedenen Aufgaben innerhalb der Technischen Aufklärung des Bundesnachrichtendienstes betraut, zuletzt als kommissarischer Abteilungsleiter.

12. Dezember 2018, von Wilfried Karl

Zurück