Nach den blamablen Veröffentlichungen über von Russland abgehörte Taurus-Gespräche im April 2024, kam durch den Verein „Netzbegrünung e. V.“ ans Licht, dass die gesamte bundeswehrinterne Webex-Infrastruktur frei zugänglich und sehr leicht im Internet auffindbar war. Da auch der Bundestag und Behörden Webex nutzen, besteht die Befürchtung, dass auch hier gravierende Sicherheitslücken bestanden. Auch mit der Aufdeckung dieser Lücken ist zu befürchten, dass weitere Schwachstellen in der Deutschen IT-Sicherheit vorhanden sind. Dies zeigt einmal mehr, was viele schon fürchteten: Internet ist für die deutsche kritische Infrastruktur Neuland.
Während jedes Unternehmen und jede Behörde das Thema der IT-Sicherheit ernst nehmen muss, um sich selbst zu schützen, fehlt uns national im digitalen Raum das, was Bundeswehr und NATO im physischen Bereich leisten: Verteidigung des eigenen Hoheitsgebiets, Abschreckung von Angriffen und Aufklärung von Gefahren.
Wir wollen die Teilstreitkraft CIR stärken, denn ihr fehlen die rechtlichen Kompetenzen, um schlagkräftig gegen Hacker vorzugehen. Mitarbeiter von Bundesbehörden, die an eingestufte Informationen gelangen können, müssen stärker für Sicherheitsvorschriften sensibilisiert werden.
Daher fordern die Jungen Liberalen Bayern:
- Eine klare Aufgabenverteilung: Der Schutz der digitalen Infrastruktur des deutschen Staates, insbesondere auch das Erkennen und Kommunizieren von aktuellen und kritischen Sicherheitslücken obliegt weiterhin dem Bundesamt für Sicherheit in der Informationstechnik (BSI). Dieses soll künftig enger mit der Bundeswehr zusammenarbeiten und diese ggf. bei der Evaluierung und Umsetzung von Maßnahmen unterstützen.
- Ein Schwert gegen Angriffe: Die Bundeswehr soll innerhalb des CIR eine schlagkräftige IT-Verteidigung aufbauen. Hierzu wollen wir einen klaren rechtlichen Rahmen für die benötigten Maßnahmen schaffen, darunter auch Hack-Backs, also ein Gegenangriff als Reaktion auf Cyber-Angriffe, jedoch lediglich als Reaktion auf nachweisbare Angriffe von außen und unter strengen Entscheidungs- und Dokumentationsrichtlinien. Die Ziele eines Hack-Backs müssen auf die Identifizierung der Angreifer sowie die Abwendung des Angriffs und einer weiter bestehenden akuten Bedrohung beschränkt sein. Sollten Behörden über eine solche Schwachstelle Kenntnis erlangen, so muss diese schnellstmöglich den Entwicklern gemeldet und nach einer in der Branche üblichen Frist veröffentlicht werden.
- Eine effektive Verteidigung: Nach dem Vorbild von erfahrenen Unternehmen, wie etwa Microsoft, soll die Bundeswehr ihre eigenen Systeme konstant auf Sicherheitslücken überprüfen und dauerhaft nachsichern. Dazu wollen wir ebenfalls im CIR eine zweigeteilte kleine Abteilung einrichten, welche im Wechsel die bundeswehr-eigenen Systeme angreifen und verteidigen soll. Üblicherweise bekommt ein Team die Aufgabe, in die Systeme einzudringen, das andere versucht, diese abzusichern. Nach kurzen Perioden wird ständig getauscht, sodass das erworbene Wissen um Schwachstellen direkt in der Verteidigung implementiert wird. Das Ziel dieses Teams ist lediglich die Aufdeckung von Angriffen und Sicherheitslücken sowie die Einleitung schneller Gegenmaßnahmen. Die Implementierung obliegt weiterhin den Systemadministratoren. Damit werden auch fremde Angriffe genauso wie die freundlichen schnell von den routinierten Teams aufgedeckt. Da die Absicherung hierüber nicht zeitnah für die vielen Abteilungen der Bundeswehr eingeführt werden kann, soll diese duale Abteilung alle zwei Monate einen Bericht intern herausgeben, in welchem die wichtigsten Sicherheitsmaßnahmen zur Implementierung in allen Abteilungen der Bundeswehr aufgelistet werden. Die Angriffe und Verteidigung sollen sich zudem nach Veröffentlichung des Berichts auf eine neue Abteilung fokussieren.
Antragsteller: JuLis Schwaben
Gültigkeit: 5 Jahre