Beantwortung der Mündl. Anfrage der FDP zur Cybersicherheit

Sitzung des Niedersächsischen Landtages am 18. Mai 2017; Fragestunde Nr. 4

Das Niedersächsische Ministerium für Inneres und Sport antwortet namens der Landesregierung auf die Mündliche Anfrage der Abgeordneten Dr. Marco Genthe, Dr. Stefan Birkner, Jörg Bode, Jan-Christoph Oetjen und Gabriela König (FDP) wie folgt:

Vorbemerkung der Abgeordneten

Ende März dieses Jahres traf sich der Bundessicherheitsrat zum Thema Cybergefahrenabwehr. Hintergrund ist die starke Zunahme von virtuellen Attacken auf die deutschen Netze - die Bundeswehr zählt nach Angaben der Verteidigungsministerin von der Leyen allein 4.500 Attacken pro Tag. Der Bundessicherheitsrat beschloss daraufhin den Einsatz von „Computer Network Operations“ - dem virtuellen Gegenschlag -, durch den nach erfolgreicher Abwehr sowohl das Eindringen in fremde Rechner wie auch deren Zerstörung möglich gemacht werden soll, und das nicht nur in Deutschland, sondern auch im Ausland. Da die Gefahrenabwehr jedoch nach dem Föderalismusprinzip der Länderzuständigkeit obliegt, müsste der Bund das Grundgesetz ändern, sollte die Gefahrenabwehr in Bundeszuständigkeit übergehen.

Vorbemerkung der Landesregierung
Der Begriff „Computer Network Operations (CNO)“ ist sprachlich der operativen Cyberverteidigung zuzurechnen. Wikipedia^[1] beschreibt CNO wie folgt: „Computer Network Operations (CNO; deutsch Computer-Netzwerk-Operationen) ist ein militärischer Begriff, der mehrere Unterbegriffe umfasst.“ Konzepte hierfür werden in den Medien auch unter Stichwort „Hack-Back“ diskutiert und gehen von der Überlegung aus, Maßnahmen zur Beeinträchtigung von fremden Informations- und Kommunikationssystemen sowie der darin verarbeiteten Informationen durchzuführen, um fremde Cyberangriffe nachhaltig zu stören. Grundsätzlich geht es dabei um offensive Cyberstrategien, bei denen man bei der Bewertung zwischen Maßnahmen der äußeren Sicherheit (Bundeswehr im Zuständigkeitsbereich des Bundesverteidigungsministeriums) und denen der inneren Sicherheit (Strafverfolgung, Gefahrenabwehr) unterscheiden muss.

In Deutschland liegt die zentrale Zuständigkeit für Cybersicherheit auf Bundesebene beim Bundesministerium des Inneren, im Bereich der Länder bei den Landesinnenministerien. Da Cyberangriffe die Motivation der Angreifer (krimineller, politischer oder militärischer Hintergrund) zumeist nicht sofort erkennen lassen, kann neben der Zuständigkeit der Innenressorts auch eine Zuständigkeit des Bundesverteidigungsministeriums gegeben sein.

In der Antwort der Bundesregierung auf eine kleine Anfrage der Abgeordneten Dr. Alexander S. Neu, Andrej Hunko, Wolfgang Gehrcke, weiterer Abgeordneter und der Fraktion DIE LINKE – Drucksache 18/6496 – Krieg im „Cyber-Raum“ – offensive und defensive Cyberstrategie des Bundesministeriums der Verteidigung heißt es: „Als eine Folge der Durchdringung öffentlichen und privaten Lebens wie auch des Staates durch die vernetzte Informations- und Kommunikationstechnik hat sich auch gezeigt, dass im Cyber-Raum (erweitert verstanden auch als Informationsraum) die Grenzen von Krieg und Frieden, innerer und äußerer Sicherheit sowie kriminell und politisch motivierten Angriffen auf die Souveränität eines Staates zunehmend verschwimmen. Cyberfähigkeiten sind in den letzten Jahren überdies zu einem wichtigen Mittel einiger staatlicher und nichtstaatlicher Akteure geworden, um politische Ziele auf illegitime Art durchzusetzen (bspw. als Teil der hybriden Kriegsführung). Unverändert bleibt es Aufgabe der Sicherheits- und Verteidigungspolitik, die territoriale Unversehrtheit und die Souveränität Deutschlands und seiner Verbündeten auch im Informationsraum zu wahren. Die Verteidigungsaspekte im Rahmen gesamtstaatlicher Cybersicherheit (Cyber-verteidigung) fallen in den Geschäftsbereich des Bundesministeriums der Verteidigung (BMVg).“

Im Kontext der äußeren Sicherheit wurde das Thema u. a. in der Anhörung des Verteidigungsausschusses^[2] am 22. Februar 2016 über die Rolle der Bundeswehr im Cyberspace unter dem Stichwort „Active Defence“ aus Sicht des BMVg diskutiert. Hinsichtlich der rechtlichen Bewertung von Cyber-Gegenmaßnahmen durch die Bundeswehr wird auf die Stellungnahmen im Rahmen der Anhörung verwiesen.

Die Cybersicherheitsstrategie des Bundesministeriums des Innern aus dem Jahr 2016 weist ebenfalls auf die Notwendigkeit zur Prüfung aktiver Cyber-Verteidigungsstrategien hin: „Darüber hinaus sind schwerwiegende Cyberangriffe vorstellbar, gegen die mit den klassischen präventiven Maßnahmen in der notwendigen Zeit nicht nachhaltig vorgegangen werden kann. Die Bundesregierung wird daher prüfen, unter welchen rechtlichen Rahmenbedingungen und mit welchen technischen Möglichkeiten in diesen Fällen durch staatliche Stellen Netzwerkooperationen durchgeführt werden könnten.“

Im Kontext der inneren Sicherheit erfolgte die Abwehr von Cyberangriffen, die beispielsweise von kriminellen Bot-Infrastrukturen ausgehen, nach hier vorliegenden Erkenntnissen bislang lediglich im Rahmen internationaler Strafermittlungen. Im November 2016 wurde z.B. nach mehrjährigen internationalen Ermittlungen niedersächsischer Strafverfolgungsbehörden ein sogenannter „Take-Down“ der Avalanche-Botnetz-Infrastruktur durchgeführt. Nach Einschätzung von Beobachtern gelang damit die wohl bislang größte Aktion gegen Botnetz-Infra-strukturen weltweit. In diesem Verfahren gab es umfangreiche vorherige Abstimmungen im In- und Ausland.

Aufgrund der vorgenannten zurzeit unklaren Rahmenbedingungen für die „Computer Network Operations“ stellt sich die Frage der Beurteilung dieser Maßnahmen hinsichtlich einer möglichen Grundgesetzänderung derzeit lediglich hypothetisch. Auf Basis der bisherigen Erkenntnisse kann die Landesregierung zur Vermeidung von Vorfestlegungen deshalb keine abschließende Beurteilung vornehmen.

1. Wie beurteilt die Landesregierung eine mögliche Grundgesetzänderung?

Siehe Vorbemerkungen.

2. In welche Zuständigkeit (Bund/Länder) fällt nach Ansicht der Landesregierung die Cybergefahrenabwehr?

Siehe Vorbemerkungen.

3. Welche Behörde sollte nach Ansicht der Landesregierung die Aufgabe zum Gegenschlag („Computer Network Operations“) erhalten?

Siehe Vorbemerkungen.

[1] https://de.wikipedia.org/wiki/Computer_Network_Operations, aufgerufen am 11.05.2017

[2] http://www.bundestag.de/ausschuesse18/a12/oeffentliche_anhoerung/cyber1/405094, aufgerufen am 11.05.2017