Wissenschaftliche Arbeitsgruppe Nationaler Cyber-Sicherheitsrat

Seit Oktober 2018 unterstützt die ständige Wissenschaftliche Arbeitsgruppe den Nationalen Cyber-Sicherheitsrat. Sie berät aus Perspektive der Forschung zu Entwicklungen und Herausforderungen im Hinblick auf eine sichere, vertrauenswürdige und nachhaltige Digitalisierung.

Der 2011 eingerichtete Nationale Cyber-Sicherheitsrat (Cyber-SR) gestaltet unter dem Vorsitz des Beauftragten der Bundesregierung für Informationstechnik (BfIT), Staatssekretär Klaus Vitt vom Bundesministerium des Innern, für Bau und Heimat (BMI), die Zusammenarbeit im Bereich Cyber-Sicherheit innerhalb der Bundesregierung sowie zwischen Staat und Wirtschaft.

Der Cyber-SR fungiert dabei als strategischer Ratgeber der Bundesregierung und bringt hochrangige Vertreter von Bund, Ländern sowie aus der Wirtschaft an einen Tisch. Er bietet somit ein geeignetes Format, um die für Deutschland im Bereich Cyber-Sicherheit wesentlichen strategischen Themen übergreifend voranzutreiben.

Seit Oktober 2018 unterstützt die ständige Wissenschaftliche Arbeitsgruppe – unter geteilter Leitung von BMI, Referat „Internationale Cybersicherheit und Cybersicherheitsforschung“ und BMBF, Referat „Vernetzung und Sicherheit digitaler Systeme“  – den Nationalen Cyber-Sicherheitsrat. Sie berät aus Perspektive der Forschung zu Entwicklungen und Herausforderungen im Hinblick auf eine sichere, vertrauenswürdige und nachhaltige Digitalisierung.

Mitglieder der Wissenschaftlichen Arbeitsgruppe sind:

  • Prof. Dr. Gabi Dreo Rodosek, Universität der Bundeswehr München
  • Prof. Dr. Claudia Eckert, Fraunhofer-Institut für Angewandte und Integrierte Sicherheit
  • Dr. Timo Hauschild, Bundesamt für Sicherheit in der Informationstechnik
  • Prof. Dr. Jörn Müller-Quade, Karlsruher Institut für Technologie
  • Prof. Dr.-Ing. Christof Paar, Ruhr-Universität Bochum
  • Prof. Dr. Alexander Roßnagel, Universität Kassel
  • Prof. Dr. Michael Waidner, Fraunhofer-Institut für Sichere Informationstechnologie

 Impulspapiere

Die Wissenschaftliche Arbeitsgruppe erstellt in regelmäßigen Abständen Impulspapiere, die ausgewählte Themen zur Cybersicherheit aus einer Forschungsperspektive beleuchten. Die Papiere geben die Meinung der Autoren wieder und nicht notwendigerweise die Meinung der Bundesregierung oder der Bundesministerien. 

Zusammenfassung Impulspapier „Technologische Souveränität: Voraussetzung für die Cybersicherheit“
© Andreas Heddergott / TU Muenchen

Die fortschreitende Digitalisierung aller Lebensbereiche erhöht das Risiko einer wachsenden technologischen Abhängigkeit. Die technologische Souveränität, also die Fähigkeit, selbstbestimmt und unabhängig agieren zu können, ist dadurch massiv gefährdet. Jedoch ist es ökonomisch nicht leistbar, alle erforderlichen Informations- und Kommunikationstechnologien (IKT) in Deutschland oder in der EU selber zu entwickeln. Deutschland wird weiterhin auf nicht-europäische IKT-Produkte und -Dienstleistungen angewiesen bleiben. Das Ziel muss es deshalb sein, durch ein abgestimmtes Maßnahmenbündel, das zentrale Technologiefelder abdeckt, die technologische Souveränität zu erhöhen und damit auch ein hohes Maß an Cybersicherheit zu erreichen. Erforderlich sind folgende Maßnahmen:

  • Ein gezielter Kompetenzausbau in Schlüsselbereichen, um mögliche Risiken beurteilen zu können, die durch Abhängigkeiten entstehen (in Bezug auf Hersteller, Herkunftsland, Einsatz, Wechselwirkungen).
  • Für kritische Bereiche müssen alternative Schlüsseltechnologien entwickelt bzw. existierende Technologien erweitert werden, um Abhängigkeiten zu reduzieren und den Einsatz existierender Technologien beherrschbar zu gestalten.
  • Über Regulierungen müssen Vorgaben für den Einsatz von Technologien mit hohem Risikopotenzial für sicherheitskritische Bereiche gemacht und es müssen Prüfverfahren und -techniken für eine kontinuierliche Zertifizierung geschaffen werden, um einen beherrschbaren Einsatz sicherheitskritischer Technologien zu ermöglichen.
  • Zukunftstechnologien müssen frühzeitig gestaltet werden, um Erfahrungen in internationale Standards einfließen zu lassen und die neuen Technologien von Anfang an zu beherrschen.

Das Papier identifiziert Schlüsseltechnologien, die für die Cybersicherheit essenziell sind, und leitet Handlungsempfehlungen für die Politik ab. Um die Cybersicherheit substanziell zu stärken und die technologische Souveränität nachhaltig zu verbessern und damit mittel- und insbesondere langfristig „vor die Lage zu kommen“, empfiehlt der Beirat mit hoher Priorität folgende fünf Themenfelder zu adressieren.

  1. Elektronische Hardware entwickeln: Vertrauenswürdige Hardwarekomponenten werden für alle sicherheitsrelevanten Anwendungen benötigt. Unbekannte Funktionen, wie Hintertüren, müssen weitestmöglich ausgeschlossen werden können. Der Markt wird jedoch von nicht-europäischen Herstellern dominiert. Alternativen, die aus vertrauenswürdiger Quelle stammen und nachvollziehbare, überprüfbare Sicherheitseigenschaften aufweisen, fehlen. Solche Alternativen können mit ökonomisch vertretbarem Aufwand als Open- Source-Hardware basierend auf RISC-V entwickelt werden. Zusammen mit Technologien zur Absicherung von Entwicklungs-, Liefer- und Fertigungsketten kann eine nachhaltige Verbesserung der Cybersicherheit erreicht werden.
  2. Daten sicher bereitstellen: Die Gefährdung der Verfügbarkeit der Daten in fremdkontrollierten Cloud-Infrastrukturen, und der damit einhergehende Kontrollverlust, stellt eine massive Bedrohung der Cybersicherheit dar. Deutschland kann keine komplett neue, eigene Infrastruktur schaffen, sondern sollte Technologien zur Ergänzung existierender Infrastrukturen entwickeln, damit ein offenes und vertrauenswürdiges Ökosystem zum sicheren Datenaustausch entsteht, basierend auf zertifizierten Komponenten.
  3. Netzkomponenten beherrschbar einsetzen: Der Markt für 5G-Netzkomponenten wird von nicht-europäischen Anbietern dominiert. 5G-Komponenten dringen tief in Infrastrukturen von Organisationen vor. Daher sind diese Infrastrukturen in hohem Maß von der Verfügbarkeit und Vertrauenswürdigkeit der genutzten Technologie abhängig. Um den Technikeinsatz in sicherheitskritischen Bereichen beherrschbar zu machen, ist deren Einsatz zu regulieren, z. B. ist durch Zertifizierungen und High-Tech-Prüf- und -Evaluierungsmethoden die Einhaltung von Sicherheitsvorgaben kontinuierlich, auch während der Technologienutzung, zu überprüfen.
  4. Systeme der Künstlichen Intelligenz (KI) vertrauenswürdig gestalten: Unternehmerische Entscheidungen basieren zunehmend auf Ergebnissen von KI-Systemen. Die Abhängigkeit von der Korrektheit und Vertrauenswürdigkeit dieser Systeme wächst rasant. Mit Zertifizierungen unterschiedlicher KI-Kritikalitätsstufen, KI-Prüfmethoden und technischen Richtlinien kann ein hoher Sicherheitsstandard für vertrauenswürdige KI geschaffen werden.
  5. Zukunftstechnologien gestalten: Jetzt muss in Forschung und Entwicklung für Technologien wie 6G und Quantencomputing investiert werden, um eigene deutsche bzw. europäische Technologien am Markt zu platzieren und Standards von Beginn an mitzubestimmen.
Zusammenfassung Impulspapier „Gefährdung demokratischer Willensbildung durch Desinformation“
© georgejmclittle/AdobeStock, metamorworks/AdobeStock

Gezielte Desinformation gefährdet zunehmend die demokratische Willensbildung und bedarf daher gesteigerter Aufmerksamkeit und gezielter Gegenmaßnahmen.

Desinformation wird vor allem über das Internet und insbesondere Social Networks als Text- oder Bildnachricht verbreitet. Künftig ist verstärkt mit manipulierten Bild- und Tonaufnahmen („Deep Fakes“) zu rechnen, die durch ihre sinnliche Nachvollziehbarkeit besonders glaubwürdig wirken. Desinformation verfolgt das Ziel, politische Gegner in der öffentlichen Wahrnehmung zu diskreditieren, Stimmung für oder gegen bestimmte Gruppen zu erzeugen und so die öffentliche Meinungsbildung zu beeinflussen. Entscheidend für digitale Desinformation ist, dass jeder sie erzeugen und einfach, kostengünstig und anonym verbreiten kann. Oft findet die Verbreitung auch durch professionelle „Trolle“ oder gar „Trollarmeen“ sowie Social Bots statt, die als Computerprogramme in Social Networks menschliche Nutzer imitieren.

In ihrer Wirkung untergräbt Desinformation das Vertrauen in Institutionen oder Personen, unterstützt Verschwörungstheorien und fördert eine grundsätzliche politische Lagerbildung. Sie erzeugt Unsicherheit darüber, auf welche Wahrheit man sich in der politischen Kommunikation vernünftigerweise einigen kann. Individuell bleibt die falsche Information besser im Gedächtnis als eine nachträglich korrigierte. Social Bots können vermeintliche Mehrheitsverhältnisse vortäuschen und so durch die „Schweigespirale“ das öffentliche Meinungsklima beeinflussen.

Gegenmaßnahmen können auf technischer Ebene wirksam nur die Betreiber von Social Networks ergreifen. Sie können auf Beschwerden schnell reagieren und Inhalte oder Accounts sperren oder löschen. Automatisierte Verfahren werden immer besser, werden aber nie vollständig zuverlässig sein. Auf rechtlicher Ebene sind bei Straftaten Gegenmaßnahmen möglich. Die Betreiber sind hierzu durch das Netzwerkdurchsetzungsgesetz auch verpflichtet. Jenseits des Strafrechts sind alle Regulierungsmaßnahmen aber an der von Artikel 5 Absatz 1 des Grundgesetzes geschützten Meinungsfreiheit zu messen, die nur inhaltsneutrale Maßnahmen erlaubt.

Politische Gegenmaßnahmen helfen, den notwendigen Meinungskampf zu unterstützen:

Bezogen auf Social Networks ist der geltende zivil- und strafrechtliche Rechtsrahmen besser durchzusetzen. Sie sollten auch anders formulierte, aber inhaltsgleiche Inhalte entfernen müssen. Soweit sie automatisierte Verfahren einsetzen, sollten sie ihre Eingreifkriterien veröffentlichen. Strafbare Inhalte sollten sie anzeigen und ihre Autoren aufdecken müssen. Für Social Bots sind Kennzeichnungspflichten vorzusehen. Zum Schutz der Meinungsfreiheit sollten sie ein wirksames und schnelles Beschwerdeverfahren für zu Unrecht gesperrte oder gelöschte Inhalte vorsehen.

Es sind technische und interdisziplinäre Forschungsprojekte zu fördern, die die Erkenntnisse verschiedener Disziplinen (wie Technik, Journalistik, Psychologie, Recht) zusammenbringen, um gesamthaft wirksame und umsetzbare Lösungen zu entwickeln. Zu erforschen ist, wie – auch mit Künstlicher Intelligenz – Desinformation, Deep Fakes, Malicious Social Bots und ihre Verbreitungswege erkannt, gekennzeichnet, gesperrt und gelöscht werden können. Zu untersuchen sind Charakteristika von Desinformation und ihre Wirkungen auf Einzelne und die Gesellschaft sowie politische und rechtliche Gegenmaßnahmen, die eine wirksame Bekämpfung bewirken, ohne Meinungsfreiheit zu behindern. Für diese Forschung sollten Social Networks (zu diesem Zweck geschützt) ausreichende Mengen an – anonymisierten oder pseudonymisierten – Kommunikationsdaten zur Verfügung stellen (müssen).

 WEITERE INFORMATIONEN