Empfehlungen der Ausschüsse
Gemeinsame Mitteilung an das Europäische Parlament und den Rat - Abwehrfähigkeit, Abschreckung und Abwehr: die Cybersicherheit in der EU wirksam erhöhen JOIN(2017) 450 final

962. Sitzung des Bundesrates am 24. November 2017

A

Der federführende Ausschuss für Fragen der Europäischen Union empfiehlt dem Bundesrat, zu der Vorlage gemäß §§ 3 und 5 EUZBLG wie folgt Stellung zu nehmen:

Begründung zu Ziffern 1 bis 3 und 5 bis 9 (nur gegenüber dem Plenum):

Die Mitteilung ist Teil einer Reihe von Anstrengungen der EU zur Verbesserung der Sicherheit informationstechnischer Systeme. Bei der Qualifizierung werden bereits mannigfaltige Anstrengungen unternommen. Die konzeptionellen Herausforderungen stellen sich dabei über die Grenzen von Nationalstaaten hinweg in vergleichbarer Weise dar.

Dabei gilt es, auch die jenseits des wirtschaftlichen Wachstums bestehende Bedeutung von IT-Sicherheitskompetenzen für das Leben der Bürgerinnen und Bürger hinreichend in die Überlegungen einzubeziehen. Dies gilt auch hinsichtlich des Einsatzes von Verschlüsselungstechnologien, denen eine ganz grundlegende Funktion für die Wahrung von Grundrechten zukommen.

Eine Meldepflicht ist nicht erst bei schweren Vorfällen zu erwägen. Die Meldung von Vorfällen kann und sollte zum normalen und integralen Bestandteil des betrieblichen Sicherheitsmanagements werden.

Die Kommission lässt eine Auseinandersetzung mit der IT-sicherheitspolitischen Bedeutung von Software vermissen, deren Quelltext öffentlich und von Dritten eingesehen, geändert und genutzt werden kann ("open source"). Diese ist oftmals durchaus Basis kommerzieller Nutzungen und bietet den Vorteil, dass der offene Quelltext eine Fehlersuche und -diskussion auch über die Kompetenzen des ihn einsetzenden Akteurs hinaus ermöglicht und beschleunigt.

Eine klar zivile Ausrichtung auf eine Härtung gegen Angriffe bietet den Vorteil, dass entsprechende Konzepte sich nicht auf die Beschaffenheit der Angreifer beziehen müssen - seien es Kriminelle, Nachrichtendienste oder von fremden Mächten beauftragte oder geduldete Angreifer ("hybride Bedrohung"). Insofern kann eine Bündelung über Sektorengrenzen hinweg praktikabel sein.

Demgegenüber muss eine Bündelung ziviler, polizeilicher und militärischer Maßnahmen gegen Angreifer in Deutschland der Verfassungsrechtslage zum "digitalen Bundeswehreinsatz im Innern" gerecht werden. Die Mitteilung zielt darauf ab, zivile und militärische Cybersicherheitsmaßnahmen sowohl im Bereich der Forschung als auch der laufenden Lagebeobachtung (Zusammenarbeit von Europol. INTCEN , EAD, GSVP-Missionen) und mittels einer verstärkten Kooperation von EU und NATO zu verschränken.

Zu hinterfragen ist in diesem Zusammenhang auch, dass das europäische Netz von Cybersicherheitskompetenzzentren sowie das Europäische Kompetenzzentrum für Cybersicherheitsforschung um eine "Cyberabwehrdimension ergänzt werden könnten". Der Kommission geht es hierbei nicht lediglich um Forschung und Entwicklung von Cybersicherheitslösungen. Mit "Informationsaustausch" und "koordinierten Reaktionen" wird auch die Vollzugsebene der Cyberabwehr angesprochen.

Es erschließt sich letzthin nicht, warum die Kommission sich nicht auf die Schaffung effektiver IT-sicherheitsrelevanter Marktzugangsregelungen konzentriert und stattdessen eine EU-Cybersicherheitsindustrie fördern möchte.

B