Wissenschaftliche Arbeitsgruppe Nationaler Cyber-Sicherheitsrat

Seit Oktober 2018 unterstützt die ständige Wissenschaftliche Arbeitsgruppe den Nationalen Cyber-Sicherheitsrat. Sie berät aus Perspektive der Forschung zu Entwicklungen und Herausforderungen im Hinblick auf eine sichere, vertrauenswürdige und nachhaltige Digitalisierung.

Der 2011 eingerichtete Nationale Cyber-Sicherheitsrat (NCSR) gestaltet unter dem Vorsitz des Beauftragten der Bundesregierung für Informationstechnik (BfIT), Staatssekretär Dr. Markus Richter vom Bundesministerium des Innern und für Heimat (BMI), die Zusammenarbeit im Bereich Cyber-Sicherheit innerhalb der Bundesregierung sowie zwischen Staat und Wirtschaft.

Der Nationale Cyber-Sicherheitsrat fungiert dabei als strategischer Ratgeber der Bundesregierung und bringt hochrangige Vertreter von Bund, Ländern sowie aus der Wirtschaft an einen Tisch. Er bietet somit ein geeignetes Format, um die für Deutschland im Bereich Cyber-Sicherheit wesentlichen strategischen Themen übergreifend voranzutreiben.

Seit Oktober 2018 unterstützt die ständige Wissenschaftliche Arbeitsgruppe – unter geteilter Leitung von BMI, Referat „Internationale Cybersicherheit und Cybersicherheitsforschung“ und BMBF, Referat „Vernetzung und Sicherheit digitaler Systeme“  – den Nationalen Cyber-Sicherheitsrat. Sie berät aus Perspektive der Forschung zu Entwicklungen und Herausforderungen im Hinblick auf eine sichere, vertrauenswürdige und nachhaltige Digitalisierung.

Mitglieder der Wissenschaftlichen Arbeitsgruppe sind:

  • Thomas Caspers, Bundesamt für Sicherheit in der Informationstechnik
  • Prof. Dr. Gabi Dreo Rodosek, Universität der Bundeswehr München
  • Prof. Dr. Claudia Eckert, Fraunhofer-Institut für Angewandte und Integrierte Sicherheit
  • Prof. Dr. Jörn Müller-Quade, Karlsruher Institut für Technologie
  • Prof. Dr.-Ing. Christof Paar, Max-Planck-Institut für Sicherheit und Privatsphäre
  • Prof. Dr. Alexander Roßnagel, Universität Kassel
  • Prof. Dr. Michael Waidner, Fraunhofer-Institut für Sichere Informationstechnologie

Impulspapiere

Die Wissenschaftliche Arbeitsgruppe erstellt in regelmäßigen Abständen Impulspapiere, die ausgewählte Themen zur Cybersicherheit aus einer Forschungsperspektive beleuchten. Die Papiere geben die Meinung der Autorinnen und Autoren wieder und nicht notwendigerweise die Meinung der Bundesregierung oder der Bundesministerien.  

Neue Veröffentlichung März 2023

Im März 2023 hat die Arbeitsgruppe ein neues Impulspapier veröffentlicht. Das Impulspapier „Aktive Cyberabwehr“ erläutert, welche Technologien und Maßnahmen Behörden der Gefahrenabwehr und der Strafverfolgung dabei unterstützen können, Straftaten im Cyberraum abzumildern, zu verhindern oder zu verfolgen. Das Papier verdeutlicht die rechtlichen und technischen Herausforderungen bei der aktiven Cyberabwehr und schließt mit konkreten Handlungsempfehlungen an die Politik.

Zusammenfassung Impulspapier „Aktive Cyberabwehr“
impulspapier_ac.jpg
© Adobe Stock / Miha Creative

Unter aktiver Cyberabwehr werden eine Reihe von Technologien und Maßnahmen verstanden, die Behörden der Gefahrenabwehr und der Strafverfolgung dabei unterstützen können, Straftaten im Cyberraum abzumildern, zu verhindern oder zu verfolgen.

Das Impulspapier diskutiert vier Klassen solcher Maßnahmen: I) Manipulation des Internetverkehrs, II) Abkoppeln oder Übernehmen von für Angriffe genutzten Netzwerkressourcen, III) Beseitigung von Schwachstellen und Schadsoftware auf den Systemen der Opfer, IV) Eingriffe in für Angriffe genutzte Systeme. Für alle vier Klassen werden Beispiele für konkrete Maßnahmen gegeben.

Aktive Cyberabwehr wird in der Öffentlichkeit häufig mit Hackbacks gleichgesetzt. Unter einem Hackback versteht man allerdings sehr allgemein einen digitalen Gegenangriff, der auch rein auf Rache und Vergeltung angelegt sein kann. Hackbacks in dieser Allgemeinheit werden deshalb von Politik und Wissenschaft nahezu einhellig abgelehnt. Bedauerlicherweise führt die fälschliche Gleichsetzung von aktiver Cyberabwehr und Hackbacks aber dazu, dass auch aktive Cyberabwehr oft pauschal abgelehnt wird. Ein Ziel dieses Impulspapiers ist deshalb, zur Versachlichung der Diskussion zur aktiven Cyberabwehr beizutragen. 

Weitere Impulspapiere

Zusammenfassung Impulspapier „Sichere digitale Identitäten“
impulspapier_di.jpg
© AdobeStock/Kiattiporn

Sichere digitale Identitäten sind wichtige Treiber der Modernisierung der öffentlichen Verwaltung, aber auch der Digitalisierung in Unternehmen. Systeme für den elektronischen Identitätsnachweis (eID) sind Lösungen zur Umsetzung eines digitalen Abbilds für die Anwendung im staatlichen oder privatwirtschaftlichen Umfeld. Derzeit dominieren im privatwirtschaftlichen Bereich die bekannten Anbieter, wie Facebook, Google oder Apple. Diese stellen Bürgerinnen und Bürgern zwar komfortable, einfach zu nutzende Dienste bereit, bieten ihnen jedoch kaum Möglichkeiten, selbstbestimmt zu entscheiden, welche Identifizierungsdaten für welche Dienste genutzt und welche Daten wo gespeichert werden dürfen. Zudem ist das Sicherheitsniveau der Lösungen sehr unterschiedlich; nicht jedes Angebot ist für jeden Onlinedienst oder jede digitale Anwendung geeignet. Ein hohes Sicherheitsniveau bietet die eID-Funktion des elektronischen Personalausweises, der aber noch nicht in der Breite eingesetzt wird.

Lösungen zu selbstbestimmten Identitäten – Self-Sovereign Identities (SSI) – ermöglichen es Bürgerinnen und Bürgern, selbst zu entscheiden, welche Form der digitalen Identität sie gegenüber einem Dienstanbieter nutzen, sei es ein Pseudonym, eine hoheitlich bestätigte Identität oder eine an spezielle Attribute gebundene Identität, wie zum Beispiel den Arbeitgeber. Ein Manko existierender SSI-Ansätze ist, dass sie meist nicht nutzungsfreundlich sind und das Prinzip der Datensparsamkeit missachten. Es gibt derzeit viele Angebote am Markt, die alle jeweils Vor- und Nachteile haben. Eine One-Fits-All-Lösung wird es nicht geben und sollte auch nicht angestrebt werden. Jedoch erschwert der derzeit existierende, stark fragmentierte Markt an eID-/SSI-Lösungen eine breit akzeptierte, nutzungsfreundliche, aber gleichzeitig sichere und selbstbestimmte Verwendung digitaler Identitäten. Dies führt zu Verzögerungen, auch bei der Umsetzung von Onlinediensten in der öffentlichen Verwaltung. Durch gezieltes politisches Handeln kann und sollte hier Abhilfe geschaffen werden. So sollte durch das Setzen eines politischen Rahmens darauf hingewirkt werden, dass die Marktteilnehmerinnen und Marktteilnehmer in den Wettbewerb treten können, wobei ihre Angebote an den Nutzerinnen und Nutzern orientiert sind und gleichzeitig die demokratischen Werte der Sicherheit, des Vertrauens und der Selbstbestimmtheit gewährleisten.
Zusammenfassung Impulspapier „Technologische Souveränität: Voraussetzung für die Cybersicherheit - Update zum Impulspapier vom Dezember 2019
impulspapier_ts.jpg
© AdobeStock/Michael Traitov
Im Dezember 2019 hat die Wissenschaftliche Arbeitsgruppe des Nationalen Cyber-Sicherheitsrats ein Positionspapier zur technologischen Souveränität und deren Bedeutung für die Cybersicherheit in Deutschland und Europa veröffentlicht. Die Entwicklungen in wichtigen Schlüsseltechnologien, aber insbesondere auch die aktuelle geopolitische Lage verdeutlichen die Dringlichkeit des politischen Handelns. Das vorliegende Papier greift deshalb die wichtigsten Empfehlungen des Positionspapiers von 2019 auf und schärft sie nach, soweit dies durch die geänderte Lage geboten erscheint. Bei der Erstellung des Papiers 2019 standen Maßnahmenempfehlungen im Mittelpunkt, um insbesondere mittel- bis langfristig „vor die Lage zu kommen“. Die Empfehlungen sollten Unternehmen, staatliche Institutionen sowie Betreiber kritischer Infrastrukturen darin unterstützen, sich effektiv und nachhaltig vor Cyberattacken zu schützen, die darauf abzielen, zu manipulieren oder Abläufe zu stören. Das ist die Voraussetzung, um europäische Werte wie Freiheit, Fairness und Offenheit nachhaltig zu gewährleisten. Durch die aktuellen geopolitischen Entwicklungen und die erforderliche Reaktion auf einen Angriffskrieg, der auf europäischem Boden geführt wird, müssen nun vermehrt Risiken durch gezielte, staatlich gelenkte Cyberangriffe auf kritische Infrastrukturen und auf Unternehmen in Schlüsselbereichen, aber auch Fragen der gezielten Desinformation betrachtet werden. Die Frage der Resilienz von Unternehmen und Infrastrukturen in nationalen und europäischen Schlüsselbereichen gegen solche gezielten Cyberangriffe wird derzeit stark diskutiert. Die Empfehlungen im Positionspapier von 2019 haben diese relevanten Fragestellungen bereits deutlich und mit hoher Priorität adressiert. Die aktuellen Entwicklungen haben die Dringlichkeit des Handelns leider bestätigt. Um diese Handlungsdringlichkeit noch einmal zu unterstreichen, fassen wir nachfolgend die wichtigsten Empfehlungen und ihre Bedeutung in Bezug auf das Ziel der Erhöhung der Cyberresilienz noch einmal pointiert zusammen.
Zusammenfassung Impulspapier „Auswirkungen ausländischer Gesetzgebung auf die deutsche Cybersicherheit“
impulspapier_recht.jpg
© Adobe Stock / natali_mis
Die Cybersicherheit in Deutschland wird nicht nur durch außereuropäische Nachrichtendienste bedroht, sondern auch durch ausländische Unternehmen, die durch gesetzliche Vorgaben gezwungen sind, die Nachrichtendienste ihres Herkunftsstaates zu unterstützen. Um sich gegen diese Bedrohung zu wehren, ist es notwendig, die technologische und wirtschaftliche Abhängigkeit zu verringern und digitale Souveränität zu stärken. Das vorliegende Impulspapier untersucht, mit welchen Zielsetzungen und Mitteln ausländische Nachrichtendienste − direkt oder über in Deutschland operierende Unternehmen − auf die Cybersicherheit in Deutschland Einfluss nehmen könnten. Hierzu werden die jeweiligen Rechtsgrundlagen und rechtlichen Handlungsmöglichkeiten analysiert, auf deren Grundlage die Geheimdienste agieren. Den Nachrichtendiensten der USA, Russlands und Chinas kommt mit ihren Zielsetzungen und Möglichkeiten in der derzeitigen politischen Weltlage die größte Bedeutung zu. Diese drei Staaten unterhalten die drei weltweit größten nachrichtendienstlichen Infrastrukturen. Daher werden deren Rechtsgrundlagen für Auslandsaufklärung und Cyberspionage, soweit dies auch Deutschland betreffen kann, näher vorgestellt. Zu diesem Zweck werden für alle drei Staaten die gesetzlichen Aufgaben und Befugnisse der Nachrichtendienste analysiert sowie ihre Möglichkeiten, Staatsangehörige und Unternehmen zu ihrer Unterstützung zu verpflichten. Dabei beschränkt sich die folgende Analyse auf die Rechtslage in den drei Staaten und stellt keine Spekulationen an, wie die Nachrichtendienste ihre gesetzlichen Aufgaben in der Praxis erfüllen und von ihren Befugnissen Gebrauch machen.
Zusammenfassung Impulspapier „Handlungsfelder im Bereich IoT-Sicherheit“
Ober Körper einer Person der die Hände ausstreckt. Icons Waschmaschine, Haus, Smartphone
© vegefox.com - stock.adobe.com

Ziel dieses Impulspapiers ist es, Sicherheitsrisiken, die sich durch das Internet der Dinge (Internet of Things, IoT) ergeben, zu diskutieren und Handlungsempfehlungen zum Umgang mit diesen Risiken zu geben. IoT-Geräte sind meist kleine, vergleichsweise leistungsschwache, vernetzte Geräte, welche in allen Lebens- und Produktionsbereichen zu finden sind. Besonders an IoT-Geräten ist, dass sie aufgrund ihrer Allgegenwärtigkeit und Vernetzung nicht nur selbst Angriffen ausgesetzt sind, sondern auch Dritte gefährden können. Ein wesentliches Sicherheitsrisiko ist eine Massenüberwachung der Anwenderinnen und Anwender durch den massenhaften Missbrauch der durch die IoT-Geräte erhobenen Daten. IoT-Geräte können auch ein Einfallstor in das interne Netzwerk darstellen und dieses so gefährden. Fremde Netze können gefährdet werden, wenn IoT-Geräte für verteilte Überlastangriffe (DDoS-Angriff) missbraucht werden. Letztlich können sogar physische Schäden verursacht werden, wenn IoT-Geräte Aktuatoren steuern. Aufgrund dieser vielfältigen Risiken müssen IoT-Geräte besonders gut abgesichert werden. Jedoch unterliegen diese meist sehr kleinen und vergleichsweise günstigen Geräte einem enormen Kostendruck und sehr kurzen Time-to-Market Zyklen, was dazu führt, dass Sicherheit als zunächst unsichtbare Eigenschaft vernachlässigt wird; es kommt zu einem Marktversagen. Da das IoT eine große Chance für wichtige deutsche Industrien wie dem Maschinenbau oder der Haushaltsgeräteindustrie darstellt, ist es auch aus volkswirtschaftlicher Sicht wichtig, dass starke Sicherheitsmechanismen zur Verfügung stehen. Um diese zu erreichen, müssen zunächst Sicherheitsstandards etabliert werden und es bedarf der gezielten Förderung von Sicherheitsforschung für IoT. Diese Förderung muss zum einen gezielt die Besonderheiten von IoT berücksichtigen, auf der anderen Seite jedoch auch für Rechtssicherheit bei Sicherheitsforschung, insbesondere außerhalb von Academia sicherstellen.

Zusammenfassung Impulspapier „Sicherheit von und durch Maschinelles Lernen“
Eine Roboterhand und eine menschlich Hand berühren sich mit den Fingerspitzen.
© ipopba - stock.adobe.com
Das vorliegende Impulspapier adressiert die Schnittstellen von Sicherheit im Sinne von Cybersecurity und maschinellem Lernen aus mehreren Perspektiven: Zum einen wird die Sicherheit bei der Nutzung von Verfahren des maschinellen Lernens betrachtet. Zum anderen wird aber auch maschinelles Lernen als Mechanismus zum Herstellen von IT-Sicherheit beleuchtet. Dabei werden Aspekte herausgegriffen, die aus unserer Sicht von besonderer und aktueller Bedeutung sind: Die Verbesserung der Widerstandsfähigkeit gegen gezielte, teilweise neuartige Angriffe wird im Abschnitt „Härtung“ betrachtet. Herausforderungen hinsichtlich der Privatheit widmet sich der Abschnitt „Datenschutz“. Da es oft schwer ist, Nutzen und Erfolgschancen beim Einsatz von Maschinellem Lernen abzuschätzen, liefert der Abschnitt „Performanz und Vergleichbarkeit“ hierzu Anregungen. Die Ergebnisse, die maschinelles Lernen liefert, werden von Nutzern oft als schwer nachvollziehbar angesehen. Im Abschnitt „Interpretierbarkeit“ finden sich Strategien, ein besseres Verständnis von maschinellem Lernen zu erreichen. Die unerkannte Nutzung von maschinellem Lernen, beispielsweise bei Deep Fakes, wird vielfach als Bedrohung wahrgenommen. Gegenmaßnahmen widmet sich der Abschnitt „Nachvollziehbarkeit“.

Jedem der Abschnitte sind Handlungsempfehlungen an Politik, Behörden, Unternehmen und Wissenschaft nachgestellt, die dazu beitragen können, dass Sicherheit und maschinelles Lernen aufeinander abgestimmt umgesetzt werden können. Die Politik sollte Anreize schaffen, die Chancen durch maschinelles Lernen nicht ohne eine umfassende Betrachtung der Sicherheitsaspekte zu realisieren. Parallel dazu sollten Unternehmen frühzeitig erkennen, welche Risiken beim Einsatz von maschinellem Lernen entstehen können und wie diesen entgegengewirkt werden kann. Diese Prozesse sollten Behörden durch geeignete Rahmenbedingungen und beispielhafte Umsetzungen unterstützen. Der Wissenschaft fällt die Aufgabe zu, bei der rasanten Entwicklung des maschinellen Lernens nicht die Sicherheitsaspekte aus den Augen zu verlieren und frühzeitig über Gefahren, Schwächen und Gegenmaßnahmen zu informieren.

Zusammenfassung Impulspapier „Technologische Souveränität: Voraussetzung für die Cybersicherheit“
platine.jpg
© Andreas Heddergott / TU Muenchen

Die fortschreitende Digitalisierung aller Lebensbereiche erhöht das Risiko einer wachsenden technologischen Abhängigkeit. Die technologische Souveränität, also die Fähigkeit, selbstbestimmt und unabhängig agieren zu können, ist dadurch massiv gefährdet. Jedoch ist es ökonomisch nicht leistbar, alle erforderlichen Informations- und Kommunikationstechnologien (IKT) in Deutschland oder in der EU selber zu entwickeln. Deutschland wird weiterhin auf nicht-europäische IKT-Produkte und -Dienstleistungen angewiesen bleiben. Das Ziel muss es deshalb sein, durch ein abgestimmtes Maßnahmenbündel, das zentrale Technologiefelder abdeckt, die technologische Souveränität zu erhöhen und damit auch ein hohes Maß an Cybersicherheit zu erreichen. Erforderlich sind folgende Maßnahmen:

  • Ein gezielter Kompetenzausbau in Schlüsselbereichen, um mögliche Risiken beurteilen zu können, die durch Abhängigkeiten entstehen (in Bezug auf Hersteller, Herkunftsland, Einsatz, Wechselwirkungen).
  • Für kritische Bereiche müssen alternative Schlüsseltechnologien entwickelt bzw. existierende Technologien erweitert werden, um Abhängigkeiten zu reduzieren und den Einsatz existierender Technologien beherrschbar zu gestalten.
  • Über Regulierungen müssen Vorgaben für den Einsatz von Technologien mit hohem Risikopotenzial für sicherheitskritische Bereiche gemacht und es müssen Prüfverfahren und -techniken für eine kontinuierliche Zertifizierung geschaffen werden, um einen beherrschbaren Einsatz sicherheitskritischer Technologien zu ermöglichen.
  • Zukunftstechnologien müssen frühzeitig gestaltet werden, um Erfahrungen in internationale Standards einfließen zu lassen und die neuen Technologien von Anfang an zu beherrschen.
Zusammenfassung Impulspapier „Gefährdung demokratischer Willensbildung durch Desinformation“
Dorian.jpg
© georgejmclittle/AdobeStock, metamorworks/AdobeStock

Gezielte Desinformation gefährdet zunehmend die demokratische Willensbildung und bedarf daher gesteigerter Aufmerksamkeit und gezielter Gegenmaßnahmen.

Desinformation wird vor allem über das Internet und insbesondere Social Networks als Text- oder Bildnachricht verbreitet. Künftig ist verstärkt mit manipulierten Bild- und Tonaufnahmen („Deep Fakes“) zu rechnen, die durch ihre sinnliche Nachvollziehbarkeit besonders glaubwürdig wirken. Desinformation verfolgt das Ziel, politische Gegner in der öffentlichen Wahrnehmung zu diskreditieren, Stimmung für oder gegen bestimmte Gruppen zu erzeugen und so die öffentliche Meinungsbildung zu beeinflussen. Entscheidend für digitale Desinformation ist, dass jeder sie erzeugen und einfach, kostengünstig und anonym verbreiten kann. Oft findet die Verbreitung auch durch professionelle „Trolle“ oder gar „Trollarmeen“ sowie Social Bots statt, die als Computerprogramme in Social Networks menschliche Nutzer imitieren.

In ihrer Wirkung untergräbt Desinformation das Vertrauen in Institutionen oder Personen, unterstützt Verschwörungstheorien und fördert eine grundsätzliche politische Lagerbildung. Sie erzeugt Unsicherheit darüber, auf welche Wahrheit man sich in der politischen Kommunikation vernünftigerweise einigen kann. Individuell bleibt die falsche Information besser im Gedächtnis als eine nachträglich korrigierte. Social Bots können vermeintliche Mehrheitsverhältnisse vortäuschen und so durch die „Schweigespirale“ das öffentliche Meinungsklima beeinflussen.

Gegenmaßnahmen können auf technischer Ebene wirksam nur die Betreiber von Social Networks ergreifen. Sie können auf Beschwerden schnell reagieren und Inhalte oder Accounts sperren oder löschen. Automatisierte Verfahren werden immer besser, werden aber nie vollständig zuverlässig sein. Auf rechtlicher Ebene sind bei Straftaten Gegenmaßnahmen möglich. Die Betreiber sind hierzu durch das Netzwerkdurchsetzungsgesetz auch verpflichtet. Jenseits des Strafrechts sind alle Regulierungsmaßnahmen aber an der von Artikel 5 Absatz 1 des Grundgesetzes geschützten Meinungsfreiheit zu messen, die nur inhaltsneutrale Maßnahmen erlaubt.

Politische Gegenmaßnahmen helfen, den notwendigen Meinungskampf zu unterstützen:

Bezogen auf Social Networks ist der geltende zivil- und strafrechtliche Rechtsrahmen besser durchzusetzen. Sie sollten auch anders formulierte, aber inhaltsgleiche Inhalte entfernen müssen. Soweit sie automatisierte Verfahren einsetzen, sollten sie ihre Eingreifkriterien veröffentlichen. Strafbare Inhalte sollten sie anzeigen und ihre Autoren aufdecken müssen. Für Social Bots sind Kennzeichnungspflichten vorzusehen. Zum Schutz der Meinungsfreiheit sollten sie ein wirksames und schnelles Beschwerdeverfahren für zu Unrecht gesperrte oder gelöschte Inhalte vorsehen.

Es sind technische und interdisziplinäre Forschungsprojekte zu fördern, die die Erkenntnisse verschiedener Disziplinen (wie Technik, Journalistik, Psychologie, Recht) zusammenbringen, um gesamthaft wirksame und umsetzbare Lösungen zu entwickeln. Zu erforschen ist, wie – auch mit Künstlicher Intelligenz – Desinformation, Deep Fakes, Malicious Social Bots und ihre Verbreitungswege erkannt, gekennzeichnet, gesperrt und gelöscht werden können. Zu untersuchen sind Charakteristika von Desinformation und ihre Wirkungen auf Einzelne und die Gesellschaft sowie politische und rechtliche Gegenmaßnahmen, die eine wirksame Bekämpfung bewirken, ohne Meinungsfreiheit zu behindern. Für diese Forschung sollten Social Networks (zu diesem Zweck geschützt) ausreichende Mengen an – anonymisierten oder pseudonymisierten – Kommunikationsdaten zur Verfügung stellen (müssen).