Cybersicherheit stärken – klare Rollenverteilung zwischen Staat und Wirtschaft notwendig
Cyberangriffe verursachen jedes Jahr Schäden in dreistelliger Milliardenhöhe in der deutschen Wirtschaft. Neben Unternehmen sind zunehmend auch staatliche Institutionen, öffentliche Verwaltungen und kritische Infrastrukturen Ziel komplexer digitaler Angriffe. Vor diesem Hintergrund hat die Bundesregierung einen Gesetzentwurf zur Stärkung der Cybersicherheit vorgelegt, der die Befugnisse staatlicher Behörden im Cyberraum deutlich erweitern soll.
Der Entwurf sieht Änderungen an mehreren zentralen Gesetzen vor, darunter dem Bundespolizeigesetz, dem Bundeskriminalamtsgesetz, dem Telekommunikation-Digitale-Dienste-Datenschutz-Gesetz sowie dem Gesetz über das Bundesamt für Sicherheit in der Informationstechnik. Ziel ist es, Deutschlands Fähigkeit zur Abwehr und Verfolgung von Cyberangriffen zu verbessern und die digitale Sicherheit einer der führenden Volkswirtschaften Europas zu stärken.
Ein wesentlicher Bestandteil des Gesetzes betrifft neue Aufgaben und Kompetenzen für das Bundesamt für Sicherheit in der Informationstechnik. Künftig soll die Behörde auf Anfrage Organisationen dabei unterstützen können, ihre IT-Systeme aktiv auf Hinweise für vorbereitende Angriffsaktivitäten zu untersuchen. Darüber hinaus sollen neue Meldewege sowie eine zentrale Datenbank für Sicherheitsvorfälle eingerichtet werden. Auch die Aufsicht über Betreiber kritischer Infrastrukturen wird erweitert: Das BSI soll künftig stärker überprüfen können, ob vorgeschriebene Systeme zur Angriffserkennung eingesetzt werden und bei Verstößen Sanktionen verhängen dürfen.
Parallel dazu sind erweiterte Befugnisse für das Bundeskriminalamt vorgesehen. Diese betreffen unter anderem Maßnahmen zur Störung krimineller Infrastrukturen im Internet, zur Analyse schädlicher Datenströme sowie zur technischen Bekämpfung von Cyberkriminalität. Auch die Bundespolizei soll ihre Kompetenzen im Bereich digitaler Ermittlungen ausbauen, etwa bei der Sicherung digitaler Spuren, bei forensischen Analysen oder bei der Auswertung sicherheitsrelevanter IT-Vorfälle.
Mit dem Gesetz gehen zudem zusätzliche personelle und technische Ressourcen für Sicherheitsbehörden einher. Neue Stellen bei den beteiligten Behörden sowie Investitionen in technische Infrastruktur sollen die operative Cyberabwehr stärken. Gleichzeitig werden für Unternehmen und Anbieter digitaler Dienste zusätzliche Pflichten vorgesehen, etwa bei der Meldung von Sicherheitsvorfällen oder bei der Zusammenarbeit mit Behörden.
Der Entwurf hat bereits eine breite fachliche Diskussion ausgelöst. Neben Fragen zur Effektivität der geplanten Maßnahmen stehen insbesondere die Abgrenzung zwischen Gefahrenabwehr, Strafverfolgung und nachrichtendienstlicher Tätigkeit sowie mögliche Auswirkungen auf Grundrechte im Mittelpunkt der Debatte. Auch wird diskutiert, wie staatliche Eingriffsbefugnisse mit dem Ziel einer resilienten und vertrauenswürdigen digitalen Infrastruktur in Einklang gebracht werden können.
Aus Sicht der Bundesfachkommission Cybersicherheit des Wirtschaftsrates ist eine Stärkung der staatlichen Fähigkeiten zur Bekämpfung von Cyberkriminalität grundsätzlich notwendig. Gleichzeitig muss jedoch sichergestellt werden, dass neue Befugnisse in ein klar strukturiertes Gesamtsystem der Cyber-Sicherheitsarchitektur eingebettet werden und die Zusammenarbeit zwischen Staat, Wirtschaft und Forschung gestärkt wird.
Die Bundesfachkommission Cybersicherheit des Wirtschaftsrates fordert daher eine klare strategische Gesamtarchitektur für die deutsche Cybersicherheit. Dazu gehören eindeutig definierte Zuständigkeiten zwischen Sicherheitsbehörden, eine konsequente Stärkung präventiver Schutzmaßnahmen sowie deutlich verbesserte Rahmenbedingungen für eine leistungsfähige und souveräne Cybersecurity-Industrie in Deutschland und Europa. Nur durch eine enge Kooperation von Staat und Wirtschaft kann die digitale Resilienz Deutschlands nachhaltig gestärkt werden.