Nach den blamablen Veröffentlichungen über von Russland abgehörte Taurus-Gespräche im April
kam nun durch den Verein Netzbegrünung ans Licht, dass die gesamte Bundeswehrinterne Webex
Infrastruktur frei zugänglich und sehr leicht im Internet auffindbar war. Da auch der Bundestag
und Behörden Webex nutzen steht zur Befürchtung, dass auch hier gravierende Sicherheitslücken
bestanden. Auch mit der Aufdeckung dieser Lücken steht zu befürchten, dass weitere
Schwachstellen in der Deutschen IT-Sicherheit bestehen. Dies zeigt einmal mehr, was viele schon
befürchten: Internet ist für die Deutsche Kritische Infrastruktur Neuland. Während jedes
Unternehmen und jede Behörde das Thema IT-Sicherheit ernst nehmen muss, um sich selbst zu
schützen, fehlt uns national im digitalen Raum das, was Bundeswehr und NATO im physischen
Bereich leisten: Verteidigung des eigenen Hoheitsgebiets, Abschreckung von Angriffen und
Aufklärung von Gefahren. Die Bundeswehr besitzt eine viel zu kleine IT-Sicherheitsabteilung, den
Cyber- und Informationsraum (CIR), ihr fehlen die rechtlichen Kompetenzen, um schlagkräftig
gegen Hacker vorzugehen, und vielen Angehörigen der Bundeswehr fehlt offenbar das
Bewusstsein um IT-Sicherheit. Daher fordern die Jungen Liberalen Schwaben:
- Eine klare Aufgabe: Die Sicherung der digitalen Infrastruktur in Deutschland, insbesondere
Internetknotenpunkte, große Serveranlagen, sowie sicherheitsrelevante Netzwerke des
deutschen Staates, wie die des Bundestages, aber auch der Bundeswehr selbst, wollen wir in
den inneren Kompetenzrahmen der Bundeswehr aufnehmen. Damit obliegt ihr hierin die
Verantwortung über den Schutz vor Eindringen, Abhören und Störangriffen durch Dritte. - Ein Schwert gegen Angriffe: Die Bundeswehr soll innerhalb des CIR eine schlagkräftige IT
Verteidigung aufbauen. Hierzu wollen wir einen klaren rechtlichen Rahmen für die benötigten
Maßnahmen schaffen, darunter auch Hack-Backs, also ein Gegenangriff als Reaktion auf Cyber
Angriffe, jedoch lediglich als Reaktion auf nachweisbare Angriffe von außen. Die Ziele eines
Hack-Backs müssen auf Identifizierung der Angreifer, sowie Abwendung des Angriffs und einer
weiter bestehenden akuten Bedrohung beschränkt sein. In einem deutlich engeren Rahmen
sollen Hack-Backs auch für private Akteure legalisiert werden. Private Hack-Backs sollen aber
auch temporär untersagt werden können und immer gemeldet werden müssen, um eine
Eskalationsspirale zu vermeiden. Damit machen wir Deutschland als Ganzes deutlich
unattraktiver für Hacker, rutschen aber gleichzeitig in keinen Cyber-Krieg. - Eine effektive Verteidigung: Nach dem Vorbild von erfahrenen Unternehmen wie Microsoft soll
die Bundeswehr ihre eigenen Systeme konstant auf Sicherheitslücken überprüfen und
dauerhaft nachsichern. Dazu wollen wir ebenfalls im CIR eine zweigeteilte kleine Abteilung
einrichten, welche im Wechsel die bundeswehr-eigenen Systeme angreifen und verteidigen soll.
Üblicherweise bekommt ein Team die Aufgabe, in die Systeme einzudringen, das andere
versucht, diese abzusichern. Nach relativ kurzen Perioden wird ständig getauscht, sodass
OpenSlides – Präsentations- und Versammlungssystem Wissen um Schwachstellen direkt in der Verteidigung implementiert wird. Das Ziel dieses Teams
ist lediglich die Aufdeckung von Angriffen und Sicherheitslücken und die Einleitung schneller
Gegenmaßnahmen. Die Implementierung obliegt weiterhin den Systemadministratoren. Damit
werden auch fremde Angriffe genauso wie die freundlichen schnell von den routinierten Teams
aufgedeckt. Da die Absicherung hierüber nicht zeitnah für die vielen Abteilungen der
Bundeswehr eingeführt werden kann, soll diese duale Abteilung alle zwei Monate einen Bericht
intern herausgeben, in welchem die wichtigsten Sicherheitsmaßnahmen zur Implementierung
in allen Abteilung der Bundeswehr aufgelistet werden. Die Angriffe und Verteidigung sollen sich
zudem nach Veröffentlichung des Berichts auf eine neue Abteilung fokussieren.
Antragsteller: Kilian Baumann