Die FDP cybert jetzt!

Gestern bei Johannes Vogel auf einen Beschluss der FDP aufmerksam geworden, der sich mit der "Erhöhung der Resilienz gegen Cyberangriffe" beschäftigt.

Gehen wir direkt mal in den Beschluss rein. Ich zitiere hier auszugsweise, das gesamte Dokument ist unten verlinkt.

1. BSI soll wichtiger werden

"Das BSI soll als zentrale Cybersicherheits-Stelle zusätzliche Kompetenzen im Bund-Länder-Verhältnis erhalten und zu einer selbstständigen Bundesoberbehörde heraufgestuft werden"

Ja, das ist nett. Aber seien wir mal ehrlich: Das BSI erhöht keinesfalls die Cybersicherheit. Es ist ein Puzzlestück, aber kein großes. Es mangelt nicht an Gesetzen, Best Practice oder Kontrollinstanzen im Cybersicherheitsbereich. Es mangelt an Fähigkeiten, Personal und Willen.

2. Sicherheitslücken müssen gemeldet werden

"Weiterhin ist es in Deutschland Praxis, dass zur Ausnutzung durch Sicherheitsbehörden, kritische Schwachstellen offen bleiben bzw. zurückgehalten werden [...] Alle staatlichen Stellen sollen deshalb zukünftig verpflichtet sein, ihnen bekannte Sicherheitslücken beim BSI zu melden."

Auch nett, aber ebenfalls Kleinkram. Ja, es mag sein, dass Geheimdienste auf Sicherheitslücken sitzen und dies riskant wäre - aber dies ist nicht (!) der Auslöser für unsere Cybersicherheitsvorfälle der letzten Jahre. Der Auslöser ist, dass wir in Deutschland viel zu wenig Geld investieren, um unsere IT-Systeme auf einen soliden Zustand zu bringen. Lieber wird nichts angefasst, getreu dem Motto "Never touch a running system", anstatt mit der Zeit zu gehen.

3. Der Bund soll cybern

"Durch eine Verfassungsänderung soll der Bund bundeseinheitliche Regelungen und Lösungen für die effektive Abwehr schwerwiegender, weiträumiger Cybergefahren und für die Zusammenarbeit mit den Ländern bei der Gewährleistung der Sicherheit der Informationstechnik erlassen können"

Bei wem wäre die Cyber-Kompetenz besser aufgehoben als bei der Instanz, die die öffentliche Verwaltung von NIS2 ausnehmen will? Richtig: Bei jedem anderen.

4. Pentests lösen alle Probleme!

"Alle staatlichen Stellen sollen verpflichtend regelmäßige, umfassende externe Sicherheitsüberprüfungen ihrer Hard- und Software sowie der Netzwerke durchführen. Durch sogenannte Penetrationstests können Sicherheitslücken frühzeitig erkannt und geschlossen werden, sodass Cyberangriffe verhindert oder zumindest erschwert werden."

Erzwungene Pentests bringen nichts. Ein Pentest ist nur dann sinnvoll, wenn man zuvor überzeugt war, dass man gut aufgestellt ist. Diesen Zustand haben wir in Deutschland weder in KMUs noch in Behörden.

Dazu kommt, dass Branchensoftware regelmäßig in einem so katastrophalen Zustand ist, dass ein Pentest nur eine unglaublich lange Liste an Problemen erzeugen würde - das hilft niemandem.

Sicherer und intelligente Software- und Netzwerkarchitektur ist das, was hilft.

Das Einzige, was sich durch verpflichtende Pentests ergeben würde, wäre, dass man Geld in die Wirtschaft pumpt. Ein echter Sicherheitsgewinn würde dadurch nur marginal entstehen.

Versteht mich nicht falsch: Pentests sind richtig und wichtig. Aber sie stehen eher im hinteren Drittel der Cybersicherheitsprozesse und sind lediglich ein Werkzeug, keine Lösung.

5. G, die Chinesen und Abhängigkeiten

"Unsere digitale Infrastruktur muss besser geschützt werden. Deshalb sollen Unternehmen wie Huawei, die Einflussmöglichkeiten autoritärer Regime unterliegen, beim Ausbau der digitalen Infrastruktur wie dem 5G-Netz nicht beteiligt werden. [...] Insbesondere im Bereich der kritischen Infrastrukturen darf es keine gefährlichen Abhängigkeiten geben."

Ach, Jesus, warum denn dieses Thema schon wieder?

Wenn die "Chinesen" uns lahmlegen wollen, wird von heute auf morgen keinerlei Export mehr ermöglicht - dann gibt es keine Chips, keine Geräte, gar nichts mehr. Nicht mal geschälte Tomaten bekommen wir dann im Supermarkt.

Grundsätzlich sollte man sich niemals von einem anderen Staat so sehr abhängig machen, dass er einen in die Knie zwingt. Das haben wir beim russischen Gas gesehen und sollten daher auch mit "Vorsichtig" an den 5G Ausbau mit Huawei gehen. Aber: Durch Vermeiden von Abhängigkeiten löst sich dieses Problem und man kann weiterhin Huawei einsetzen. Man braucht nur einen Notfallplan und/oder muss seine Infrastruktur teilweise redundant gestalten.

Und wenn wir bereits über die bösen "Chinesen" sprechen, können wir Cisco ebenfalls direkt rauswerfen, denn die sind sogar zu unfähig ihre Produkte ohne offene (!) Backdoors zu vertreiben.

Ja, wir sollten uns nicht abhängig machen - aber dann ist es auch egal, welche Technikpartner wir zusätzlich (!) einsetzen.

6. Die EU soll auch cybern

"Die Europäische Kommission muss beim Cyber Resilience Act (CRA) die richtige Balance zwischen mehr Cybersicherheit auf der einen und geringer Regulierung bzw. Bürokratie auf der anderen Seite finden. Zu viele Vorschriften würden Unternehmen unnötig belasten."

Unternehmen fühlen sich durch alles belastet, egal ob es sinnvoll oder nicht ist. Manche Unternehmen fühlen sich sogar schon durch den Zwang zur korrekten Buchführung benachteiligt - darauf sollte man also nicht so viel geben.

Natürlich muss irgendwie eine goldene Mitte gefunden werden: Jedoch ist in Deutschland bei vielen Unternehmen IT ein solch unterrepräsentiertes Thema, dass hier von einer "Belastung" noch gar nicht gesprochen werden kann.

7. Wissenschaft und Wirtschaft

Wissenschaft und Wirtschaft müssen stärker in den Austausch gehen und enger kooperieren. Denn Cybersicherheit ist zunehmend ein wichtiger Markt für die deutsche Volkswirtschaft. Wir sind führend in der Forschung in diesem Bereich.

Auf die Gefahr, mich zu wiederholen: Die Cyberattacken gegen Dienstleister sind kein wissenschaftliches Problem. Computer, die vernetzt sind, sind angreifbar. Das Problem ist nicht das "weshalb?", sondern das "was tun, wenn es passiert".

Eine Cyberattacke ist wie ein Brand. Wenn man die Gasflaschen direkt neben dem Kohlegrill lagert, dann ist das Risiko entsprechend hoch. Also würden normal denkende Menschen Risikominimierung betreiben, Brandschutzwände einziehen, Brandmeldeanlagen und Sprinkler installieren, Begehungen mit der örtlichen Feuerwehr durchführen, Personal für den Brandfall schulen, etc. pp.

Während dies bei "Feuer" allgemein Einzug in unseren Verstand erhalten hat, ist dies bei "Cyberangriff" bisher nicht ausreichend geschehen.

8. Bundeswehr cybert ebenfalls?

"Unsere Sicherheit muss durch eine engere Kooperation von ziviler und militärischer Forschung gestärkt werden. Das gilt insbesondere im Hinblick auf Gefahren aus dem Cyberraum. Dafür müssen Zivilklauseln und Kooperationsverbote von Forschungseinrichtungen mit der Bundeswehr aufgehoben werden."

Nein, dies ist bereits der gesamte Abschnitt, kein Teilzitat. Was dieser Beschlusspunkt uns sagen soll, ist mir völlig unklar. Der Cyberraum scheint ein gefährlicher Ort zu sein - vielleicht sollten wir die Tür einfach abschließen?

9. Medien- und Digitalkompetenz

Wir fordern die Bundesländer auf, eine flächendeckende und gemeinsam abgestimmte Verortung von Medien- und Digitalkompetenzen in den Schulen zu implementieren.

Ohja! Und am besten fangen wir direkt mit den Lehrkräften an.

Persönliches Fazit

Ich habe mich selten so gut unterhalten gefühlt wie beim Lesen dieses FDP-Beschlusses. Mir scheint, als würde man nur Geld in die Wirtschaft pumpen wollen, ohne ein tiefgreifendes Verständnis für IT aufzubringen.

Wir müssen festhalten, dass grundlegend alle Ideen sicherlich irgendeine Daseinsberechtigung haben, jedoch am grundlegenden Problem vorbeigehen. Man hätte lieber den Hackerparagrafen § 202c angreifen sollen, damit Sicherheitsforscher nicht automatisch unter Generalverdacht gestellt werden können.

Gleichzeitig sollte man ein klares Signal an die ach so geliebte Wirtschaft senden und unmissverständlich klarmachen, dass IT-Sicherheit mittlerweile einen nahezu ebenbürtigen Rang wie Brandschutz oder Arbeitssicherheit einnimmt.

Ach, und die öffentliche Verwaltung sollte natürlich unter NIS2 fallen - auch wenn dann das Gleiche passieren würde wie mit den erzwungenen Pentests: Alles explodiert. Sofern Manuel 'HonkHase' Atug es nicht vorher anzündet. ;-)

Cyber!

Komplette PDF des Beschlusses