Seite 2: Infrastruktur für Hackbacks schwächt die Defensive

Eine Gretchenfrage ist auch: Sind Hackbacks ein defensives Mittel oder eine Aggression? Dieser Widerspruch wird auch in Formulierungen wie "aktive Cyperabwehr" der Innenministerin offensichtlich. Frau Faeser sagte, man wolle "die Abwehr stärken", aber zugleich "aktive Maßnahmen" ergreifen. Was stimmt denn nun?

Hauke Gierow: "Offense is the best defense" halte ich in diesem Kontext nicht für zielführend. Aus den geschilderten Gründen bin ich davon überzeugt, dass die Infrastruktur für Hackbacks die Defensive nicht stärkt, sondern schwächt.

Außerdem würden durch "offensive Operationen" massiv Ressourcen gebunden. Es ist ja nicht so, dass da mal eben ein Soldat oder eine Soldatin den Laptop aufklappt und ein Ziel angreift. Es müssten Kommandostrukturen gebildet werden, eine komplette Infrastruktur.

Das kostet viel Geld, viel strategische Arbeit und lenkt den Fokus von defensiven Aktionen weg. Denn auch unsere Ressourcen sind nicht unbegrenzt.

Sie haben den Vorstoß als "aktionistisch" kritisiert. Hätte der Bund vorausschauender agieren können, wenn ja, wie?

Hauke Gierow: Wir haben in den vergangenen Jahren in vielen Bereichen gespart. Das zeigt sich auch im Bereich der technischen Infrastruktur. Wenn wir Unternehmen und Betreiber kritischer Infrastruktur mit einem hohen Fokus dabei unterstützen würden, ihr eigenes Sicherheitsniveau zu erhöhen, wären wir ein gutes Stück weiter.

Dabei geht es nicht nur um konkrete Vorschriften für Sicherheitsstandards, wie sie etwa in der Kritis-Regulierung vorgesehen sind. Denn wer nur einen Compliance-Haken setzen will, setzt in der Regel auf die kleinstmögliche Lösung.

Vielmehr sollte es mehr Anlaufstellen geben, um sich umfassend zu Sicherheitsstandards und geeigneten Abwehrstrategien beraten zu lassen. Auch finanzielle Unterstützung oder finanzielle Anreize sollten geprüft werden. Cybersecurity ist in Unternehmen kein Profit-Center, sondern kostet immer erst mal Geld. Hier braucht es sinnvolle Anreizstrukturen für substanzielle Investments.

Der Staat sollte auch seine eigene Infrastruktur in den Blick nehmen. Der Bund ist im Vergleich mit vielen Kommunen vermutlich noch ganz gut aufgestellt, aber auch hier gab es in den vergangenen Jahren ja einige erfolgreiche Angriffe.

Und gerade im kommunalen Bereich ist die Situation oft prekär, was häufig an der finanziellen Ausstattung liegt. Hier müssen unbedingt mehr Mittel für Investitionen eingeplant werden. Dabei geht es nicht nur um die Anschaffung von Hardware wie Firewalls oder ähnlichem, sondern vor allem um Personalkosten. Das wird sehr gern vergessen.

History repeats itself. Der Wissenschaftliche Dienst des Bundestags hat in eine Hackback-Debatte schon 2018 und 2019 deutlich interveniert und sich gegen diese Option ausgesprochen. Halten Sie eine Grundgesetzänderung für realistisch?

Hauke Gierow: Ich halte die Diskussion darum jedenfalls für unnötig. Wir sollten unseren Fokus auf andere Felder legen.

Und wenn es so kommt: Hätte der Bund denn die notwendigen Experten?

Hauke Gierow: Die Gewinnung qualifizierter IT-Fachkräfte ist in allen Sektoren ein Problem, im öffentlichen Bereich umso mehr. Der viel zitierte Fachkräftemangel ist selbst unter den aktuellen geopolitischen Voraussetzungen nicht plötzlich "vorbei". Und selbst wenn es gelingen sollte, entsprechende Fachkräfte einzustellen, sollten sie lieber auf der guten Seite der Macht eingesetzt werden.