geglaubten »Blockbildung« nicht realistisch.
Die NATO Verteidigungsminister haben in ihrer Gipfelerklärung in Wales 2014 bekräftigt, dass auch mit der gleichzeitig beschlossenen, aktuellen Enhanced NATO Cyber Defence Policy, wie bei ihrem Vorläufer von 2008, die vorrangige Aufgabe der NATO im Bereich Cyber-Sicherheit sowie Schutz der eigenen Netze liegt. Zudem wurden auch detaillierte Maßnahmen zur Umsetzung in den einzelnen Vertragsstaaten vereinbart, da es eine Vielzahl von Schnittstellen zwischen nationalen und NATO-Netzen gibt und die nationale Cyber-Sicherheit Auswirkungen auf das gesamte Bündnis haben kann. Bei der Erreichung dieser Planungsziele können sich die Alliierten gegenseitig unterstützen. Ebenso gibt es Unterstützungsmöglichkeiten im Falle von Cyber-Krisen. In ihrer Policy bekräftigt die NATO ausdrücklich die Anwendbarkeit des Völkerrechts auf den Cyber-Raum und stellt klar, dass Cyber-Angriffe auch den Bündnisfall nach Art. 5 des NATO Nordatlantikvertrags begründen können. Die Umsetzung des aus der Policy abgeleiteten Arbeitsplanes wird in regelmäßigen Sitzungen des Cyber Defence Committee (CDC) aus politischer Sicht sowie des Consultation, Command and Control Board (NATO C3B) aus fachlicher Sicht eng begleitet. Vorkehrungen zu Cyber-Defence sind Bestandteil der Einsatzplanungen der NATO. Offensive Cyber-Maßnahmen sind nicht Teil der Policy, wenngleich einige Vertragsstaaten über diese Fähigkeit verfügen und 2018 zugesagt haben, diese auf freiwilliger Basis (als sog. Voluntary National Contribution – VNC) für NATO Operationen und Missionen zur Verfügung zu stellen. Der Schutz der Hauptquartiere und Dienststellen wird zentral durch das NATO Computer Incident Response Capability (NCIRC) sichergestellt. Das NCIRC steht dabei in engem Austausch mit den nationalen Computer Emergency Response Teams (CERT). Im Falle einer Cyber-Krise werden die notwendigen Maßnahmen durch das Cyber Defence Management Board (CDMB) gesteuert und eng mit den nationalen Cyber-Sicherheitsbehörden abgestimmt. Mit dem sog. Cyber Defence Pledge der NATO Verteidigungsminister vom 8. Juli 2016 in Warschau wurden die bisherigen Ziele nochmals bestätigt und gegenseitig versichert, alle notwendigen Anstrengungen zu unternehmen, die nationale Cyber-Sicherheit deutlich zu verbessern und u. a. Kritische Infrastrukturen besser zu schützen.
Außerhalb der NATO Kommandostruktur dient das durch die NATO akkreditierte Cooperative Cyber Defence Centre of Excellence (CCD COE) in Tallinn, Estland, u. a. der Analyse von Bedrohungen und Anwendung relevanten internationalen Rechts im Cyber-Raum, Durchführung von Übungen und internationalen Konferenzen sowie Ausbildung im Bereich Schutz eigener IT-Netzwerke. Es wird getragen von der estnischen Regierung sowie einer steigenden Anzahl (derzeit 29) von Unterstützerstaaten, überwiegend NATO-, aber auch Nicht-NATO-Staaten.
Mit der Herausgabe ihrer ersten Cyber-Sicherheitsstrategie hat die Europäische Union im Jahr 2013 ein umfassendes Verständnis dieses Themenkomplexes gewählt, das von Sicherheit und Widerstandsfähigkeit (Resilienz) der Netze über Cyber-Verteidigung, internationale Zusammenarbeit und Förderung von Technologieentwicklung reicht. Sicherheitspolitisch relevant waren in der Folge aus der Strategie abgeleitete Ratschlussfolgerungen (Dezember 2013) und der EU-Politikrahmen (November 2014), u. a. hinsichtlich des Schutzes der bei GSVP-Operationen und -Missionen genutzten Kommunikationsinfrastruktur, Fähigkeitsentwicklung, Ausbildung und Übungen sowie Zusammenarbeit mit Partnern und hier insbesondere der NATO. Die »Cyber Diplomacy Toolbox« (2017) soll gemeinsame politische Reaktionen u. a. auf Basis einer Abstimmung nationaler, souveräner Attribuierung ermöglichen. Die neue EU-Cyber-Sicherheitsstrategie vom 16.12.2020 zielt insbesondere darauf, die kollektive Abwehrfähigkeit gegen Cyber-Bedrohungen zu stärken. Hierzu schlägt die EU-Kommission vor, die Richtlinie zur Netz- und Informationssicherheit (NIS) von 2016 zu aktualisieren (NIS 2.0), um die Abwehrfähigkeit kritischer öffentlicher und privater Sektoren zu verbessern. Mit einem Netz von Sicherheitseinsatzzentren in der gesamten EU soll mithilfe künstlicher Intelligenz (KI) ein »Cybersicherheitsschutzschild« aufgebaut werden, um so frühzeitig Signale für drohende Cyber-Angriffe zu erkennen und damit Abwehrmaßnahmen zu ergreifen, bevor Schäden verursacht werden. Die Strategie bietet der EU auch die Möglichkeit, ihre Führungsrolle bei internationalen Normen und Standards im Cyber-Raum zu festigen und die Zusammenarbeit mit Partnern in der ganzen Welt zu stärken.
Entwicklungen in Deutschland
Die Cyber-Sicherheitsstrategie (CSS) für Deutschland von 2011 und auch die Neufassung von 2016 zählen die Gewährleistung von Freiheit und Sicherheit, und damit auch den Schutz der Bürger, Institutionen und Unternehmen vor Bedrohungen aus dem Cyber-Raum, zu den Kernaufgaben des Staates. Durch den Einsatz sicherer Systeme, die Anwendung bewährter Basismaßnahmen und vertrauenswürdige und wirksame Sicherheitsprodukte und Standards kann eine Vielzahl von Cyber-Angriffen abgewehrt werden. Für das Jahr 2021 ist eine weitere, durch das Bundeskabinett zu verabschiedende Cyber-Sicherheitsstrategie geplant, die erheblich detaillierter die Vielzahl der Akteure der deutschen Cyber-Sicherheitsarchitektur beschreibt und messbare Weiterentwicklungsziele für deren jeweilige Rolle bzw. die Koordinierung und Zusammenarbeit beschreiben soll.
Ein Schwerpunkt deutscher Cyber-Sicherheitspolitik ist der Schutz Kritischer Infrastrukturen (KRITIS), der aufgrund des Risikos, möglicher Konsequenzen und damit der sicherheitspolitischen Relevanz als ressortgemeinsame und gesamtstaatliche Aufgabe verstanden wird. Als wichtiges Instrument zum Schutz von KRITIS wurde im Jahr 2015 das (erste) IT-Sicherheitsgesetz verabschiedet, das u. a. Mindeststandards für die IT-Sicherheit für die Betreiber sowie eine Meldepflicht erheblicher Störungen der Verfügbarkeit, Integrität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse an das Bundesamt für die Sicherheit in der Informationstechnik (BSI) als zuständige Bundesoberbehörde für Informationssicherheit auf nationaler Ebene vorsieht. Das Nachfolgegesetz (»IT-Sicherheitsgesetz 2.0«) wurde am 23. April 2021 durch den Bundestag verabschiedet. Danach müssen u. a. neben den KRITIS-Betreibern künftig auch weitere Unternehmen im besonderen öffentlichen Interesse (z. B. Rüstungshersteller oder Unternehmen mit besonders großer volkswirtschaftlicher Bedeutung) bestimmte IT-Sicherheitsmaßnahmen umsetzen und werden in die Meldepflicht an das BSI einbezogen.
Wesentliche Institutionen der hochkomplexen und aus einer Vielzahl staatlicher, wirtschaftlicher, wissenschaftlicher und zivilgesellschaftlicher Institutionen auf Bundes- wie Landesebene bestehenden Cyber-Sicherheitsarchitektur sind der bereits seit 2011 existierende Cyber-Sicherheitsrat auf Ebene Staatssekretär, aufgrund des Ressortprinzips jedoch ohne dezidierte Entscheidungsbefugnis, das Nationale Cyber-Abwehrzentrum als ressortgemeinsame Koordinierungs- und Kooperationsplattform, das Computer Emergency Response Team des Bundes (CERT-Bund), angesiedelt im BSI, sowie die Schaffung sog. Mobile Incident Response Teams (MIRT) im BSI zur Analyse und Bereinigung von Cyber-Vorfällen in für das Gemeinwesen besonders bedeutenden Einrichtungen. Diese werden in den jeweiligen Aufgabenbereichen ergänzt durch entsprechende Teams des Bundeskriminalamts, des Bundesamtes für Verfassungsschutz sowie der Bundeswehr.
Das Weißbuch 2016 reflektiert einerseits umfassend die Herausforderungen für die Bundeswehr als Hochwertziel zunehmend komplexer Cyber-Angriffe im Inland und auch in den Einsätzen sowie die notwendigen Fähigkeitsentwicklungen im defensiven wie offensiven Bereich. Andererseits hebt es diesbezüglich aber auch eine schwindende Unterscheidbarkeit zwischen innerer und äußerer Sicherheit und die daraus resultierende Notwendigkeit eines ressortgemeinsamen Ansatzes hervor. Entsprechende Fähigkeiten sind auszubauen und in die gesamtstaatliche Sicherheit kooperativ einzubringen.
Ausgehend von diesen Herausforderungen wurden auch für den Geschäftsbereich des BMVg umfangreiche organisatorische Maßnahmen umgesetzt. Hierzu gehört die Einrichtung einer weiteren Abteilung im Bundesministerium für Verteidigung Cyber/IT (CIT) im Oktober 2016.
Mit der Aufstellung des Organisationsbereichs Cyber- und Informationsraum (OrgBer CIR) im Jahr 2017 sind in einem ersten Schritt alle relevanten Akteure mit ihren jeweils bestehenden Strukturen unter einem Dach – dem Kommando Cyber- und Informationsraum – zusammengeführt worden. Dieses geschah unter gleichzeitiger Sicherstellung der bruchfreien Arbeitsfähigkeit des Organisationsbereichs. Kernelement dieses Prozesses war
