Prävention, Detektion, Reaktion und Beantwortung von Cybervorfällen Wie Cybersicherheits­übungen die deutsche Cyber­sicherheits­politik verbessern können

Autor / Redakteur: Rebecca Beigel / Peter Schmitz

Cybersicherheitsübungen können dazu genutzt werden, die Prävention, Detektion, Reaktion und die Beantwortung von Cyberoperationen zu optimieren. Sie sollten daher unbedingt von der deutschen Bundes­regierung in Erwägung gezogen werden, um die Cyber­sicherheits­politik in Deutschland zu verbessern.

Firmen zum Thema

Cybersicherheitsübungen sind als interaktive Lernerfahrungen ein Weg, um Cybersicherheitspolitik als Ganzes zu verbessern.
Cybersicherheitsübungen sind als interaktive Lernerfahrungen ein Weg, um Cybersicherheitspolitik als Ganzes zu verbessern.
(© kentoh - stock.adobe.com)

Die Gefährdungslage Deutschlands im Cyberraum ist seit Jahren hoch und wurde durch die Umstände der COVID 19-Pandemie, wie zum Beispiel durch den kurzfristigen Umstieg auf digitale Lernumgebungen noch verstärkt. Cybersicherheit zu gewährleisten, ist herausfordernd und beinhaltet die abgestimmte Zusammenarbeit unterschiedlicher Akteure, die zu einer erfolgreichen Prävention, Detektion, Reaktion und Beantwortung von Cybervorfällen beitragen. Um vor dem Hintergrund der Gefährdungslage dieser Herausforderung zu begegnen und die deutsche Cybersicherheitspolitik zu verbessern, muss die Bundesregierung neue Wege gehen.

Cybersicherheitsübungen zur Verbesserung der Zusammenarbeit

Cybersicherheitsübungen sind als interaktive Lernerfahrungen ein Weg, um Cybersicherheitspolitik als Ganzes zu verbessern. Sie können in allen Phasen der Politikarbeit eingesetzt werden - angefangen bei der Identifikation von vorhandenen Problemen und des anschließenden Agenda-Settings über die Formulierung einer Policy, um die zuvor identifizierten Probleme zu beheben, bis hin zur Einführung der Policy, ihrer Implementierung und Evaluierung. Die Zusammenarbeit zwischen verschiedenen Akteuren der deutschen Cybersicherheitsarchitektur , privatwirtschaftlichen und zivilen Akteuren kann durch Übungen erprobt werden. Es können dabei ganz konkret bestimmte Fähigkeiten, Prozesse, Techniken oder Kommunikationsabläufe geübt werden, bevor sie im Ernstfall benötigt werden.

Es gibt unterschiedliche Arten von Cybersicherheitsübungen, zum Beispiel Cyber Wargames, Workshops und Simulationen. Jeder dieser Übungstypen bietet unterschiedliche Vorteile und kann je nach Zielsetzung genutzt werden. Workshops zeichnen sich beispielsweise durch ihr offenes, spekulatives und kollaboratives Format aus. Dies macht ihren Einsatz sinnvoll, wenn zum Beispiel politische Handlungsoptionen besprochen werden sollen, die bisher noch nicht angewendet wurden. Im Gegensatz dazu erlauben Simulationen, Cybervorfälle so realitätsnah wie möglich abzubilden, da sowohl technische als auch nicht-technische Aspekte geübt werden können.

Eine bekannte Übungsveranstaltung ist beispielsweise die internationale Cyberverteidigungsübung Locked Shields. Locked Shields wird vom NATO Cooperative Cyber Defence Centre of Excellence (CCDCOE) organisiert. Dabei werden auf Basis eines realistischen Cybervorfall-Szenarios strategische, rechtliche und kommunikative Fragestellungen trainiert.

Cybersicherheitsübungen in der deutschen Politik

Die Anwendung von unterschiedlichen Typen von Cybersicherheitsübungen für verschiedene Phasen der Politikarbeit.
Die Anwendung von unterschiedlichen Typen von Cybersicherheitsübungen für verschiedene Phasen der Politikarbeit.
(Bild: Ulf Seissenschmidt / CC BY-SA 4.0)

Trotz der vielfältigen Anwendungsmöglichkeiten werden Cybersicherheitsübungen in Deutschland aktuell noch recht wenig genutzt. Die Bundeswehr trainiert beispielsweise die Fähigkeiten der Soldat:innen in kleineren Übungsformaten und auch in großen internationalen Cyber-Abwehrübungen. Diese Veranstaltungen sind bisher jedoch hauptsächlich auf den militärischen Bereich begrenzt. Weiterhin bietet die Bundesakademie für Sicherheitspolitik im Rahmen des Fachseminars Digitalisierung Übungen für Teilnehmende aus unterschiedlichen Sektoren an.

Anwendungsbeispiel: Wie Cybersicherheitsübungen für die deutsche Cybersicherheitspolitik genutzt werden können

Es gibt verschiedene Möglichkeiten, Übungen in der deutschen politischen Landschaft zielführend einzusetzen. Eine nützliche Anwendung für die Politik ist zum Beispiel, Übungen schon im Gesetzgebungsprozess zu nutzen. Hier bieten sie die Möglichkeit, Ideen für Gesetzesinhalte zu testen oder bestehende Gesetzesinhalte zu evaluieren. Das folgende Anwendungsbeispiel zum IT-Sicherheitsgesetz 2.0 soll den möglichen Nutzen von Übungen für die Gesetzgebung im Bereich der IT- und Cybersicherheitspolitik verdeutlichen.

Im Mai 2021 wurde das IT-Sicherheitsgesetz 2.0 vom Bundesrat gebilligt. Zuvor war es trotz teils drastischer Kritik, unter anderem in einer Sachverständigen­anhörung im März 2021, vom Bundestag beschlossen worden. Die Sachverständigen kritisierten unter anderem eine Ausweitung der Befugnisse von Behörden und eine fehlende öffentliche und interdisziplinäre Evaluierung des ersten IT-Sicherheitsgesetzes. Nach Verabschiedung des ersten IT-Sicherheitsgesetzes 2015 und vor Erarbeitung des IT-Sicherheitsgesetzes 2.0 hätten Cybersicherheitsübungen die Möglichkeiten geboten, das zweite Gesetz deutlich zu verbessern. So hätten diskussionsbasierte Formate wie Tabletop Übungen dabei helfen können, die Verantwortlichkeiten von Behörden nachzuvollziehen und kritisch zu diskutieren, bevor die entsprechenden Befugnisse ausgeweitet wurden. Auch technische Übungstypen, wie beispielsweise Simulationen hätten eingesetzt werden können, um im ersten IT-Sicherheitsgesetz getroffene Maßnahmen und Richtwerte zu evaluieren. Verantwortliche Entscheidungsträger:innen hätten nach der Implementierung des ersten IT-Sicherheitsgesetzes so nachvollziehen können, welchen kumulierten Risiken sektorenübergreifende Betreiber kritischer Infrastrukturen (KRITIS) wie Strom- und Wasserwerksbetreiber im Fall einer Cyberoperation ausgesetzt sind. Dies hätte geholfen, zu evaluieren, ob Gefährdungen der Versorgungssicherheit verstanden und durch die im Gesetz getroffenen Maßnahmen adäquat adressiert wurden.

Potenziale von Cybersicherheitsübungen (besser) nutzen

Der Einsatz von Übungen für den Gesetzgebungsprozess bis hin zu Anwendungen für die Verbesserung von Kooperations- und Kommunikationsprozessen zwischen Organisationen und Behörden, die im Fall eines Cybervorfalls zusammenarbeiten müssen, kann für einen signifikanten Erkenntnisgewinn sorgen. Aufgrund dieses Potenzials von Cybersicherheitsübungen für die Verbesserung der Cybersicherheitspolitik sollte die im September gewählte Bundesregierung diese zukünftig zielgerichtet und strategisch einsetzen.

Über die Autorin: Rebecca Beigel ist Projektmanagerin für Internationale Cybersicherheitspolitik bei der Stiftung Neue Verantwortung. Ihre Arbeitsschwerpunkte liegen auf der deutschen Cybersicherheitspolitik sowie auf cybersicherheits­politischen Übungen im länderspezifischen Kontext.

(ID:47550073)