Diesen Monat haben wir so viel Gesetzestexte und harten Tobak durchzukauen, dass ich Ihnen bewusst kleine Leseoasen eingebaut habe, damit Sie mir nicht nach der Hälfte des Briefings verlustig gehen.
Es geht um nationale Sicherheit (puuh), Cyberkrieg (puuuuuuh) Security by Design (inklusive Routern mit Sonnenbrille), das NIS2UmsuCG (puuuuuuuuh), elegantes Engineering (echt jetzt!) und am Ende retten wir noch gemeinsam die Welt (yay!). Ich hab uns Brote geschmiert, wir können los.

In dieser E-Mail gibt es Neuigkeiten und Lesestoff zu folgenden Themen:

1. Nationale Sicherheitsstrategie der Bundesregierung
2. Cyberkrieg, nüchtern betrachtet
3. Security-by-Design Tool: Erste Validierungsrunde abgeschlossen
4. Referentenentwurf zum NIS2-Umsetzungsgesetz
5. Elegantes Engineering
6. Workshop: Security für die (schnell wachsende) Wasserstoff-Branche

1. Nationale Sicherheitsstrategie der Bundesregierung

Die deutsche Bundesregierung hat am 14. Juni die Nationale Sicherheitsstrategie beschlossen. Sicherheit ist natürlich viel mehr als Cybersecurity, und es streiten sich die Gelehrten (und wohl auch die Politiker), wie viel Cybersecurity überhaupt in das Thema reinmuss - siehe dazu auch unser Thema 2.

Aber in der Sicherheitsstrategie ist nun sogar recht viel "Cyber" - und die Passagen dazu waren umstritten, wenn man dem Tagesspiegel glauben darf, sogar ein Grund für die um drei Wochen verschobene Veröffentlichung des Papiers. Daher lohnt auch für uns ein Blick darauf.

Zunächst einmal ist wichtig zu wissen, dass so eine Nationale Sicherheitsstrategie nicht alle Tage erscheint - genauer gesagt: Eine deutsche Bundesregierung hat so etwas zum ersten Mal veröffentlicht. Dass sie eine Sicherheitsstrategie veröffentlichen wollen, hatte die Ampel-Koalition schon im Koalitionsvertrag festgeschrieben. Aber, wie wir alle wissen: Kurz nach dem Koalitionsvertrag kam der russische Angriffskrieg, und der hat dem Thema nationale Sicherheit natürlich noch einmal eine ganz neue Bedeutung verliehen.

Bislang gab es natürlich auch Sicherheitsstrategien, auch wenn sie nicht so hieß. Bislang war diese Strategie aber Sache allein des Verteidigungsministeriums und nicht der ganzen Regierung. So darf man das Wort "integriert" im Titel auch verstehen: Die Strategie trägt nämlich den Titel "Integrierte Sicherheit für Deutschland", und "integriert" meint "alle Ressorts haben mitgearbeitet" und auch "es geht auch um Polizei, Feuerwehr, Technische Hilfswerke, Entwicklungszusammenarbeit, Resilienz von Lieferketten und Cybersicherheit". Kurz: Es geht nicht mehr nur um die Bundeswehr.

Die Sicherheitsstrategie gibt sich auch ansonsten staatstragend. Sie sogar hat eine eigene Website (mitsamt eigener Domain: nationalesicherheitsstrategie). Organisiert ist sie entlang dreier Adjektive, zwei davon Buzzwords der Stunde (resilient, nachhaltig), das dritte hätte es womöglich ohne den Krieg in der Ukraine nicht an so zentrale Position geschafft: wehrhaft. Im Lesestoff ist das ganze Dokument verlinkt.

Für die Freunde von Strg+F-Journalismus: Das Wort "Cyber" kommt 62 Mal im Text vor und der Abschnitt "Schutz vor Bedrohungen aus dem Cyberraum" nimmt vier Seiten ein. Wir Cybersecurity-Menschen finden unsere Themen im Abschnitt "resilient" wieder - da fühlen wir uns natürlich heimisch, ohne resilient geht ja in der Cybersecurity in letzter Zeit auch gar nichts. Weil all diese Metadaten natürlich rein gar nichts über die Inhalte aussagen, picken wir uns nun die Themen heraus, die Security industrieller Anlagen berühren:

1. NIS2: Bei der Umsetzung der NIS2-Richtlinie soll ein besonderer "Fokus auf die verbesserte behördliche Zusammenarbeit" gelegt werden - welche Behörden damit genau gemeint sind, bleibt offen.
2. Cyber-Soforthilfe: Für "Partner und Verbündete, die von massiven Cyberangriffen betroffen sind", soll eine Cyber-Soforthilfe aufgebaut werden - klingt in etwa so wie ein (inter)nationales Incident Response Team.
3. Ganzheitliches Cyberlagebild: "Ganzheitlich" bedeutet hier vor allem, dass Informationen verschiedener Akteuere an einem Lagebild zusammenarbeiten sollen. Gemeint ist das BSI, vor allem aber auch explizit die Nachrichtendienste. Das ist so etwas wie staatliche Threat Intelligence. Das Ganze soll vom Nationalen Cyberabwehrzentrum koordiniert werden. Kennen Sie nicht? Da sind Sie nicht allein. Gibt's aber schon seit 2011.
4. Mehr Threat Intel für KRITIS: KRITIS-Betreiber sollen "informatorisch" an das BSI-Lagezentrum angebunden werden (und somit mutmaßlich schneller, direkter und mehr Bedrohungsinformationen erhalten). Außerdem gibt es eine Überlegung, sektorspezifischer CERTs einzurichten - also eine Aufbereitung von Bedrohungs- und Schwachstelleninformationen und Lösungsvorschlägen speziell für einzelne Sektoren.
5. Finanzielle Unterstützung für KRITIS: Investitionen von KRITIS-Betreibern in Cybersicherheit und Incident Response sollen unterstützt werden.
6. Prüfmöglichkeiten für systemkritische Komponenten: Die bisherigen Prüfmöglichkeiten sollen "rasch" überprüft und angepasst werden, und insbesondere soll das BSI "gestärkt werden". Kritische Komponenten gibt es seit dem IT-Sicherheitsgesetz 2.0 - eine Prüfung aber bislang nicht. Das BSI arbeitet aber seit Längerem an einem Standard für die Cybersecurity-Prüfung von Komponenten, der "beschleunigten Sicherheitszertifizierung" und zertifiziert Prüfstellen dafür. Vielleicht geht es darum.
7. Sanktionen: Die Urheber von Cyberangriffen sollen sanktioniert werden. Das geht natürlich nur, wenn man die Urheber kennt, weshalb eine "Attribuierung auf nationaler Basis" "wo immer möglich" angestrebt wird. Also: Man möchte ausfindig machen, aus welchem Land die Hacker kommen. Wer solche Versuche in der Vergangenheit verfolgt hat, weiß: Das ist sehr, sehr schwierig (und am Ende vermuten immer alle, dass es bestimmt Russland war).

Insgesamt sind das durchaus keine schlechten Pläne. Die meisten Punkte sind klug gewählt - es sind solche, bei denen der Staat eine Aufgabe effizienter zentral lösen kann als jedes Unternehmen einzeln: Das Zusammentragen von Bedrohungsinformationen, das Bereitstellen von Incident-Response-Teams, die Prüfung häufig verbauter Komponenten. Auch die finanzielle Unterstützung klingt hoffnungsvoll, aber:

Aus der öffentlichen Anhörung zur Nationalen Sicherheitsstrategie gab es vor allem Kritik an der Wahrscheinlichkeit der Umsetzung: Es sei eine "Ankündigungsstrategie", die vor allem weitere Strategien ankündige - für die Umsetzung sind keine zusätzlichen finanziellen Mittel im Bundeshaushalt eingeplant.

Ach so, was war da jetzt eigentlich so umstritten? Das waren natürlich mal wieder die Hackbacks, also die Frage, ob Deutschland auf einen Cyberangriff mit einem Cyberangriff reagieren darf. Der Koalitionsvertrag war dagegen. Ansonsten verläuft die Linie zwischen SPD / Grünen und FDP: SPD-Innenministerin Nancy Faeser ist dafür und möchte sogar das Grundgesetz ändern, um Hackbacks möglich zu machen, auch Baerbock (Grüne) ist eher für mehr Hackback-Möglichkeiten, Buschmann (FDP) ist dagegen. Und die Nationale Sicherheitsstrategie? Die hat ein kleines Kunststück geschafft, dem man an der Nasenspitze ansieht, dass hier um jedes Wort gefeilscht wurde: Hackbacks lehne man prinzipiell ab, steht da. Spannender ist der Satz direkt davor: "Die Bundesregierung wird die erforderlichen Fähigkeiten und rechtlichen Befugnisse zur Abwehr von Gefahren im Cyberraum – dazu zählt die Abwehr eines laufenden oder unmittelbar bevorstehenden Cyberangriffs – unter Wahrung des Verhältnismäßigkeitsgrundsatzes prüfen und Maßstäbe für deren Einsatz, im Einklang mit unseren völkerrechtlichen Pflichten und den Normen verantwortlichen Staatenverhaltens im Cyberraum, entwickeln."
tl;dr: Da muss noch einiges geprüft und entwickelt werden. Klar, man kann die "Abwehr eines laufenden oder unmittelbar bevorstehenden Cyberangriffs" auch ohne Hackback bewerkstelligen, aber ich beneide die Menschen nicht, die die Grenzen dafür definieren (und ausdiskutieren) müssen.

2. Cyberkrieg, nüchtern betrachtet

Nach all dem Sicherheitssprech der nationalen Sicherheitsstrategie kommt in unserem zweiten Lesestoff eine wohltuende Abkühlung (und ein fader Beigeschmack zum Thema Hackbacks):
In einem Working Paper mit dem Titel "The Absolute Ideal: Military Cyber Capabilities in War and Society" nimmt Mika Kerttunen von der Stiftung Wissenschaft und Politik (SWP) die Begriffe (und die empirischen Fakten) rund um Cyberkrieg und Cyberwaffen auseinander. Die SWP ist eine Forschungseinrichtung, die Politiker zu Außen- und Sicherheitspolitik berät.

Das ganze Paper ist eher etwas für Liebhaber, aber es lohnt sich und enthält einige Juwelen.
Unter anderem, weil der Autor die Rolle von "Cyber"-Waffen im russischen Angriffskrieg untersucht hat. Seine Schlüsse decken sich nicht unbedingt mit dem, was man landläufig über "Cyber" als Waffe hört. Weil es so wunderschön geschrieben ist, lasse ich Ihnen unten einige längere Zitate im Original stehen und kommentiere sie nur. Kerttunen entkräftet drei Mythen über Cyberkrieg und spricht am Ende eine Warnung aus:

1) Cyberkrieg ist nicht so effektiv wie oft behauptet.
Wie oft haben wir gelesen, was alles möglich wäre: Stromnetze ausknocken,Trinkwasser vergiften, Kraftwerke in die Luft jagen. Das Bild: Ganze Gesellschaften verschwinden im Chaos. Oder?
Kerttunen: "Military cyber capabilities are primarily employed for espionage, oppression, subversion, and destabilisation. [...] Kinetic militarily-significant effects are still far easier and more effective projections of political power. If death, destruction, and black smoke are deemed necessary, cyber is not the choice. In the light of Russian war against Ukraine in 2022, cyber-attacks, military or otherwise, do not appear to be capable of creating political or strategic effects in armed conflict."

2) Cyberkrieg ist weder so einfach noch so effizient wie oft behaupet.
Man muss nicht mal mehr hin zum Ziel. Ein Mausklick, kein Materialeinsatz, und alles ist erledigt. Oder?
Kerttunen: "The military operational utility of cyber operations has been exaggerated. Cyber operations cannot be prepared, planned, or implemented at the speed of light. Similarly, infantry does not advance at the speed of bullets and air operations are not conducted at Mach 1."

Und vielleicht am überraschendsten in einer Welt, in der schlaue Sprüche wie "Angreifer müssen nur einmal gewinnen, Verteidiger die ganze Zeit" längst zur Phrase geworden sind:
3) Cyber-Verteidigung ist einfacher als Angriff: Ja, Sie haben richtig gelesen.
Kerttunen dazu: "Perhaps the Ukrainian campaign/war teaches us that cyber defence prevails over cyber offence. Two intertwined factors, one quantitative, the other qualitative, justify the assertion. To maintain the momentum of a cyber operation or campaign in a target-specific environment, requiring target-specific intelligence and payloads, the attacker needs a higher volume and rate of production than the defender. Stockpiling malware will not do much to solve the sustainability problem, as software vulnerabilities may be fixed or software may be changed. Unlike the enduring war horses like the Lee-Enfield m/1895 or the AK-47, malware has a much shorter shelf life."

So, und nun zur Warnung. Wenn wir das zu Ende denken, wenn Cyber-"Waffen" am Ende vor allem gut für Ausspähen, Manipulation und Destabilisierung sind, dann hat das zwei Konsequenzen, schreibt Kerttunen.

Erste Warnung: Keine Cyber-Verharmlosung. Auch wenn Cyber-Tools "nur" für Operationen ohne physische Zerstörung eingesetzt werden, ist das alles andere als harmlos und sollte auch nicht so dargestellt werden - vielmehr kann es eine Kriegsvorbereitung sein:
Kerttunen: "The relative ease of employing cyber capabilities for peacetime espionage and “grey zone” subversion should remind us not only of the need for resilience and cybersecurity, but also of the importance of conflict prevention. We should not celebrate cyber operations as a harmless expeditionary, fleet-in-being-type of enterprise, imposing an ideal way of affairs."

Zweite Warnung: Warum wollte ihr eigentlich unbedingt Cyber-Waffen, liebe Regierungen? Dass Cyber-Waffen als physische Waffen so ineffektiv sind, wirft ein anderes Licht auf diejenigen, die sie unbedingt haben wollen. Ausspägen, Manipulation und Destabilisierung - von wem genau eigentlich? Es ist öffentliche Aufgabe, dabei hinzusehen, schreibt Kerttunen:
"As it is temptingly easy and sufficiently-effective to conduct peacetime network espionage, data theft, and date destruction operations, parliaments, people, and the press should critically question national and governmental motives for developing national or military cyber capabilities. In some countries, cyber commands and other cyber units may be developed for domestic political purposes."

3. Security-by-Design-Tool: Erste Validierungsrunde abgeschlossen

So, nach viel hartem Tobak nun ein Themenwechsel zu etwas Fröhlichem.

Unser Forschungsteam mit Mitgliedern von admeritia, der Hochschule Pforzheim, INEOS und HIMA hat aufregende Wochen hinter sich: Seit zweieinhalb Jahren basteln wir an unserer Vision, wie Automatisierungsingenieure während der Designphase selbst Security berücksichtigen können.

Und wie das so ist mit neuen Methoden: Sie sind auf Basis von Texten und Folien echt schwierig erklärbar. Irgendwie bleibt das doch alles immer abstrakt. Deswegen war es für alle Beteiligten sowohl eine Feuerprobe als auch ein großer Aha-Moment, als wir zum ersten Mal Teile unserer Methode in ein Software-Tool gegossen sehen, anfassen und benutzen konnten.
So ein Stück Software, das stellte sich schnell heraus, ist ein Segen: Es gibt nicht nur Leitplanken vor, sodass es leichter wird, einer Methode zu folgen - es ermöglicht auch Funktionen, die vorher nur träumbar waren. Große, interaktive Diagramme zum Beispiel. Wir sind noch ganz hin und weg.

Nun ja, aber das Stück Software diente natürlich nicht der Befriedigung unseres persönlichen Spieltriebs, sondern der wissenschaftlichen Erkenntnisfindung. Wir haben damit nämlich die erste von vier Validierungen durchgeführt: Bei unserem Anwendungspartner HIMA haben echte Ingenieure ein echtes Projekt mit unserem Tool noch einmal bearbeitet. Wir haben so viele Erkenntnisse mitgenommen, dass sie hier nicht alle hinpassen. Je nach Ihrem Zeitkontingent hätte ich zwei Darreichungsformen anzubieten:

• das komplette wissenschaftliche Paper im Lesestoff 1 oder
• die kurze Zusammenfassung einiger wichtigen Erkenntnisse als Blog im Lesestoff 2 (inklusive meiner ersten Gehversuche mit KI-generierter Bebilderung...grüßen Sie den Router mit Sonnenbrille, wenn Sie ihn treffen)

4. Referentenentwurf zum NIS2 Umsetzungsgesetz

So, Sie müssen nun stark sein, es gibt eine neue Abkürzung zu lernen. Nix mit "IT-Sicherheitsgesetz 3.0" (das wäre ja auch zu einfach gewesen). Nein hier kommt das NIS2-Umsetzungs- und Cybersicherheitsstärkungsgesetz. Aus Gründen, die sich wohl nur Juristen erschließen, hat es die wunderschönen Abkürzung NIS2UmsuCG bekommen. Ich hoffe, ich bin nicht die einzige, die dabei eher an türkische Knoblauchwurst als an kritische Infrastrukturen denkt, aber hey: Wir können mittlerweile alle flüssig "Uniböfi" sagen, das wird schon noch mit dem NIS2UmsuCG.

Durch die 243 Seiten hat sich mein Kollege (und Jurist!) Peter Breidbach für Sie gekämpft. Wie immer: Es ist ein Referentenentwurf, da fließt noch viel Wasser den Rhein hinunter, bis das Gesetz wird. Aber ein bisschen Sneak Preview gönnen wir uns trotzdem - hier in Kurzform, ausführlicher im Lesestoff.

Also, Schnelldurchlauf:

• Neue Betreiberkategorien: Kritische Infrastrukturen sollen kritische Anlagen heißen, und Uniböfi (schnüff, adé) "(besonders) wichtige Einrichtungen".
  (Ich nehme Wetten für die Abkürzung entgegen und werfe selbst meinen Hut für "WichtEi" und "BeWichtEi" in den Ring). Betroffen werden also auch Logistik, Siedlungsabfall, Produktion, Chemie, verarbeitendes Gewerbe, Forschung und "Vertrauensdiensteanbieter" sein.
• Konkrete Maßnahmen"vorschläge": Was mit den Systemen zur Angriffserkennung begann, könnte sich auswachsen - konkrete Maßnahmen, die heranzuziehen sind. Darunter die üblichen Verdächtigen: Risikoanalysen, Vorfallsmanagement, Notfallpläne, Lieferketten-Security, Schulungen, Kryptografie, .....
• Geschäftsführer haften für Security. (Kein Pardon).
• Dienstleister- und Komponentenprüfung: Die Lieferkette wird nicht mehr dem Zufall überlassen. Zertifizierungen von Dienstleistern und Komponenten werden wichtiger.
• Engere Fristen für die Meldung von Vorfällen: 24h, nachdem man von einem Vorfall erfahren hat, muss eine Meldung erfolgen, nach 72h ein neuer Zwischenstand, nach einem Monat eine Abschlussmeldung.

5. Elegantes Engineering

Nach den vielen trockenen Gesetzestexten kommt hier wieder eine kleine Oase: Ein schöner Text, der mit vielen Beispielen (und Bildern) der Frage nachgeht, was eigentlich Eleganz ist (Link im Lesestoff).

Warum finden wir eine mathematische Formel, ein Stück Quellcode, eine Lösung, eine Bewegung, eine Einrichtung, einen Menschen elegant?

Ich, die ich immer propagiere, Security by Design bedeute, elegantere Security-Lösungen direkt ins System einzubauen anstatt unelegantere Lösungen hinterher aufzuflanschen, habe den Text mit Genuss gelesen.
Ich kann mich nicht entscheiden, welche Definition ich am besten finde:

• least possible solution
• the most ordered solution at a given level of information
• hidden order within incredibly complex systems
• maximum effect, minimum effort

Übrigens: Elegant ist nicht unbeding gleich "einfach": "One might mistake elegance for simplicity, but elegance is really about order. Remember that elegance is about how information is ordered and so, with increasing amounts of information, something elegant isn’t necessarily ‘simple’."

Letztes Fun Fact, bevor wir uns wieder handfesteren Themen zuwenden: Es gibt sogar einen "Engineering Elegant Systems"-Guide von der NASA. (Strg+F-Journalismus: 216 Seiten). Hier ist der Link. Danken Sie mir später, denn darin findet sich eine sehr gute Frage, die ich ab jetzt jedem stellen werde, der mit einer Lösung um die Ecke kommt: “Is it an elegant solution to a real problem?”

Was meinen Sie, ist mehr Eleganz ein gutes Ziel für Security-Lösungen?

6. Workshop: Security für die (schnell wachsende) Wasserstoff-Branche

Und dann gibt es noch einen Termin zum Abschluss. Als ich mich damals für Maschinenbau eingeschrieben habe, wollte ich natürlich die Welt retten, und zwar mit erneuerbaren Energien. Viele Wege führen nach Rom: Im Juli darf ich nämlich tatsächlich an einem Workshop zur Wasserstoffwende teilnehmen. Na gut, zur Sicherheit von Wasserstoff.

Ich darf mir der Security den Abschluss machen und bin irre gespannt auf die Beiträge meiner Vorredner. Schon bei den Vorbereitungstreffen habe ich jede Menge gelernt.

Den Workshop organisiert Dr. Manuela Jopen von der Gesellschaft für Reaktorsicherheit, er ist am 6. Juli vormittags, online und kostenlos. So einfach konnten Sie noch nie beim Welt-Retten dabei sein! Anmeldung habe ich Ihnen unten verlinkt.

Stay secure!
Sarah Fluchs