Dafür will Faeser, das hatte sie bereits früher angekündigt, die Kompetenzen des Bundes stärken und das Grundgesetz ändern. Mit der Cybersicherheitsagenda nehme ihr Haus sich "bewusst viel für diese Legislaturperiode vor", sagte Faeser. "Aber es ist auch notwendig."

Um umständliche, föderale Informationswege abzukürzen und im Krisenfall oder bei schweren Cyberangriffen schneller handlungsfähig zu sein als bisher, soll vor allem das Bundesamt für Sicherheit in der Informationstechnik (BSI) neue Kompetenzen bekommen und zur digitalen Zentralstelle werden. Die Verantwortung für Cybersicherheit liegt aktuell noch bei den Ländern, das BSI kann bei Bedarf nur Amtshilfe leisten. Das sei angesichts der gewachsenen Bedrohung nicht mehr zeitgemäß, sagte die Ministerin am Dienstag in Berlin.

Wie kritisch das Bundesinnenministerium den bestehenden Schutz staatlicher Netze beurteilt, aber auch den von Unternehmenssoftware oder höchstpersönlicher Kommunikation, verrät schon die Länge von Faesers Cyberagenda. Digitale Angriffe auch aus dem Ausland seien geeignet, "die Funktionsfähigkeit unseres Gemeinwesens und unserer Wirtschaft massiv und anhaltend zu beeinträchtigen oder gar zu unterbrechen", heißt es darin.

Die Stärkung der Cyber-Resilienz privater und öffentlicher Infrastrukturen und Sicherheitsbehörden, aber auch Zugang zu sicherer Technologie dulde "keinen Aufschub", das habe auch der Krieg in der Ukraine deutlich gemacht. Nicht nur lebenswichtige Lieferketten der Energie- oder Ernährungswirtschaft, auch die offene pluralistische Gesellschaft im Cyberraum "gilt es zu schützen", sagte IT-Staatssekretär Markus Richter.

Nun ist es kein Geheimnis, dass die Deutschen im internationalen Vergleich als digitale Spätzünder gelten und wichtige Strukturen oder Behörden als verwundbar. Zudem hat der Ukraine-Krieg für Cyber-Attacken gesorgt. Die kriegsbedingte Zunahme von Schadsoftware allerdings, deren Urheber in Russland vermutet werden, fiel weit weniger heftig aus als von Sicherheitsbehörden zunächst befürchtet. Faesers Präsentation einer Cyberagenda am Dienstag dürfte neben dem Ukraine-Krieg also noch einen anderen Anlass haben: Beim Thema IT-Sicherheit stand die Ministerin zuletzt unter Druck.

Streit über die Finanzierung der Cybersicherheit

Grund war das 100-Milliarden-Euro-Paket für die Bundeswehr, über das die Parteien über Wochen verhandelt haben. Zu den Streitpunkten zählte die Forderung der Grünen, mit dem Sondervermögen auch zivile Cybersicherheit zu finanzieren - also jenen Teil der IT-Sicherheit, der nicht der militärischen Aufklärung dient, sondern dem Schutz etwa von Elektrizitätswerken oder Krankenhäusern. Die Grünen scheiterten mit ihrem Finanzierungsvorschlag. Aber auch die SPD-Innenministerin, die die Stärkung der Cybersicherheit nun aus dem eigenen Etat bezahlen muss, geriet bei den Verhandlungen zeitweilig in die Defensive. Die Grünen monierten, Faeser habe gar nicht benennen können, wie ihre Cyberabwehrstrategie eigentlich aussehe - und was sie koste.

Faeser hat sich geärgert über den Vorwurf, denn es gebe doch längst eine Cyberstrategie der Bundesregierung. Nun hat sie aber doch noch eine Agenda zur Bekämpfung von Internetkriminalität präsentiert, die ihres eigenen Hauses. Konkrete Zahlen, etwa zur nötigen Aufstockung des Personals in Behörden, finden sich in der Auflistung der Vorhaben nicht. Faeser betonte am Dienstag aber, um die Netze zu stärken, seien in diesem Jahr bereits 115 Millionen Euro zur Verfügung gestellt worden. Fürs kommende Jahr seien im Haushalt 300 Millionen Euro eingestellt. Insgesamt gehe sie von einem Investitionsbedarf von 20 Milliarden Euro aus. "Aber da reden wir von einem längeren Zeitraum."

Zunächst will das Bundesinnenministerium nun Kompetenzen bündeln, zugunsten des Bundes. Denn Dutzende Gremien, Hierarchieebenen und Behörden verlangsamen derzeit wichtige IT-Entscheidungen in Deutschland, auch die Digitalisierung der Verwaltung. Im Krisenfall kann das gefährlich werden. Die Kommunikation des Bundes soll nicht mehr auf dem Weg der Amtshilfe laufen, sondern auf eigener rechtlicher Basis stehen.

Zuständig für Gefahrenabwehr sind bislang eigentlich die Länder

Das Vorhaben allerdings rührt an föderale Empfindlichkeiten. Denn zuständig für Gefahrenabwehr sind bislang die Länder und ihre Polizei. Ihnen Zuständigkeiten zu entziehen könnte - ähnlich wie beim Katastrophenschutz - für langwierige Dispute sorgen. Entsprechend vorsichtig heißt es in Faesers Agenda, ihr Haus werde die Effektivität aktueller Zuständigkeiten "prüfen". Die Ministerin allerdings zeigte sich optimistisch. Das Problembewusstsein in den Ländern sei hoch, die Signale von dort seien "sehr positiv".

Geplant ist die Einführung eines zentralen Videokonferenzsystems für die Bundesverwaltung, das höchsten Sicherheitsanforderungen entspricht. Beim BSI soll eine Plattform für den Austausch von Informationen zu Cyberangriffen entstehen. Darüber hinaus sollen Investitionen in sogenannte Cyber-Resilienzmaßnahmen bei kleinen und mittleren Unternehmen gefördert werden, wenn diese zur "kritischen Infrastruktur" gehören - also zu Branchen wie Verkehr, Ernährung, Gesundheit, Energie oder Wasserversorgung. Das Bundesamt für Sicherheit in der Informationstechnik, das dem Bundesinnenministerium nachgeordnet ist, soll zudem unabhängiger werden.

Geplant ist aber auch, Hackerangriffe aus dem Ausland aktiver als bisher abzuwehren. Die Bundesinnenministerin lehnt sogenannte Hackbacks zwar weiter ab, also die aggressive Zerstörung gegnerischer Server bei einem Angriff: "Das will niemand." Dennoch sei es möglich, die Abwehrmaßnahmen hochzufahren, etwa indem Cyberattacken umgeleitet würden oder der Staat dafür sorge, dass Server abgeschaltet werden. Aus der Opposition kam prompt Kritik. "Wie genau soll ein fremder Server abgeschaltet werden, ohne über ihn Kontrolle zu erhalten?", fragte die Digitalexpertin der Linkspartei, Anke Domscheit-Berg, auf Twitter. Die Bundesregierung habe Hackbacks im Koalitionsvertrag ausgeschlossen. Faeser habe nun aber genau ein solches Szenario beschrieben.

Dem Bundesamt für Verfassungsschutz stellt Faeser die Erstellung einer "umfassenden Digitalisierungsstrategie" in Aussicht und "verbesserte Befugnisse zur Aufklärung technischer Sachverhalte bei Cyberangriffen fremder Mächte". Auch das Anliegen, sexualisierte Gewalt effektiver zu bekämpfen und Täter im Netz zu identifizieren, ist Teil der Cyberagenda. Die Ministerin will hierzu eine "personelle und technische Stärkung des Bundeskriminalamtes" - in welcher Höhe, lässt die Agenda allerdings offen.

Weiträumig umschifft wird auch der Punkt, der in der Koalition noch für Ärger sorgen dürfte. Faeser hatte angekündigt, IP-Adressen speichern zu lassen, um Missbrauchstäter identifizieren zu können. FDP-Justizminister Marco Buschmann allerdings lehnt das strikt ab, auch die Grünen sind dagegen. Hier heißt es in Faesers Cyberagenda nur vage, "digitale Ermittlungswerkzeuge für die Sicherheitsbehörden" würden ausgebaut. Mit weiteren Debatten darf gerechnet werden.