Am 12.07.2022 hat Bundesinnenministerin Faeser die neue Cybersicherheitsagenda des Bundes für die jetzige Legislaturperiode vorgestellt. Kernpunkte sind neue Aufgabenverteilungen für Sicherheitsbehörden, eine stärkere Rolle des Bundes in der Cybersicherheitsarchitektur, Abwehr von Cyberkriminalität sowie der Schutz des Staates und der kritischen Infrastruktur. Viele Stimmen aus Forschung und Industrie haben bereits Bedenken bezüglich der fehlenden Details zur stärkeren Rolle des Bundesamts für Sicherheit in der Informationstechnik (BSI) geäußert. Hier wollen wir auf, aus unserer Sicht, wichtige Punkte eingehen, die direkt die Widerstandsfähigkeit der deutschen Wirtschaft und Infrastruktur betreffen.
Cyber-Resilienz Kritischer Infrastrukturen stärken
In der vorgestellten Agenda wird eine breite Förderung für Innovationen, eine Erhöhung des Risikobewusstseins, sowie eine schnellere Reaktion auf Cyberbedrohungen durch eine engere Anbindung an Behörden vorgeschlagen. Dadurch sollen existierende Prozesse weiter verbessert und gefestigt werden. Aus unserer Sicht sind diese Maßnahmen aber zu reaktiv, es müssen proaktive Maßnahmen ergriffen werden. Es braucht keine blinden Förderungen, sondern Zuschüsse für konkrete Maßnahmen und strengere gesetzliche Mindeststandards für die IT-Sicherheit um Angriffe auf die kritische Infrastruktur zu minimieren.
Ein wichtiger Faktor ist hier die fragile Lieferkettensicherheit. Die deutsche kritische Infrastruktur ist stark abhängig von außereuropäischen Zulieferern. Es reicht nicht, nur Hersteller bzgl. Sicherheitskriterien zu zertifizieren; es müssen Maßnahmen ergriffen werden, um das nötige (blinde) Vertrauen in die gelieferten Komponenten zu reduzieren. Hier hat die IT-Sicherheitsforschung bereits viele Ansätze zur Isolation solcher Komponenten entwickelt. Diese Maßnahmen würden Angriffe erschweren und die Reaktionszeit deutlich stärker verkürzen als die engere Kommunikation mit Behörden.
Digitale Souveränität in der Cybersicherheit stärken
Die digitale Souveränität wird erst spät in der Agenda angesprochen, ist jedoch eigentlich das Kernproblem dieses Jahrzehnts. Vorschläge in der Agenda reichen von stärkerer (Auftrags-)Forschungsförderung bis hin zu erhöhten Prüfmöglichkeiten von Zulieferern durch das BSI. Aber Forschungsförderung alleine reicht nicht - viele der Vertrauensprobleme bei Software von Drittherstellern sind bereits altbekannte Forschungsfelder. Aus unserer Sicht mangelt es hier eigentlich viel mehr an Transfer und Integration der erforschten Lösungen. Die vorgeschlagene Lösung setzt auf Überprüfungen, doch moderne Software ist so komplex, dass Überprüfungen von Zulieferern unrealistisch sind. Dies führt unweigerlich zum Kontrollverlust, Sicherheitslücken oder Spähangriffen die erst viel zu spät entdeckt werden können.
Gerade im Bereich 5G/6G können diese Vertrauensprobleme nur gelöst werden, wenn die Plattform-Software, also die alles kontrollierende Softwareumgebung, in Europa entwickelt und produziert wird. Mobilfunknetzbetreiber sollten diese Plattform-Software für alle bezogene Hardware selbst bereitstellen und vollständig kontrollieren. Proprietäre Services und Treiber des Hardwareherstellers können dann innerhalb der gesetzten Grenzen darauf laufen. Forschungsansätze zur Isolation und Monitoring solcher Dritthersteller-Software gibt es seit mehr als einem Jahrzehnt. Die klar definierten OpenRAN-Schnittstellen können hier eine wichtige Basis schaffen, um diese Trennung der Verantwortlichkeiten umzusetzen. Solch eine Trennung stärkt die deutsche und europäische Souveränität ohne auf bisherige außereuropäische Zulieferer zu verzichten. Denn diese sind aufgrund mangelnder europäischer Wettbewerbsfähigkeit und globalisierter Lieferketten in naher Zukunft nicht ersetzbar.
