Das Bundesinnenministerium und das Bundesamt für Sicherheit in der Informationstechnik (BSI) wollen eine Art freiwillige Feuerwehr gegen Cyberangriffe aufbauen. Das BSI hofft, dass sich Unternehmen daran beteiligen und dafür ihre IT-Fachleute kostenlos ausleihen. Das geht aus einem internen Konzeptentwurf hervor, der ZEIT ONLINE und netzpolitik.org vorliegt.

"Kooperationsvereinbarung Cyberwehr" heißt das Papier. Es ist eine Art Vertrag, den interessierte Firmen mit dem Innenministerium und dem BSI schließen sollen. Darin erklären sie sich bereit, Mitarbeiter für diese Cyberfeuerwehr abzustellen.

Das Innenministerium arbeitet seit einiger Zeit daran, die gesamte deutsche Sicherheitsinfrastruktur umzubauen. So will man besser und schneller auf Angriffe reagieren können, die auf digitale Strukturen zielen. Teil dieser "Cybersicherheitsstrategie für Deutschland 2016" sind auch Einheiten, die der Wirtschaft gegen Angriffe helfen sollen.

Maximal 20 Personentage im Jahr

Bisher klang es so, als sollten diese sogenannten Mobile Incident Response Teams (MIRT) mit BSI-Beamten besetzt und dazu beim Bundesamt entsprechende Stellen geschaffen werden. Doch der Cyberwehrvertrag zeigt etwas anderes. Das BSI will offenbar nur die Einsatzleitung übernehmen, die Feuerwehrleute selbst soll die Wirtschaft zur Verfügung stellen.

In Paragraf vier des Vertragsentwurfes heißt es: "Die Kooperationspartner erklären sich bereit, die Arbeitskraft geeigneter Mitarbeiter aus ihrem Unternehmen als technische Experten (Cyberwehr-Team-Mitglieder) für die Cyberwehr kostenlos zur Verfügung zu stellen. (...) Die Kooperationspartner sichern ein Abrufkontingent für Einsätze in Höhe von bis zu 20 Personentagen im Kalenderjahr zu." Unternehmen, die mitmachen, sollen außerdem "zum Zwecke der Alarmierung der jeweiligen Cyberwehr-Team-Mitglieder" eine Kontaktstelle einrichten, die an sieben Tagen rund um die Uhr besetzt ist.

Wer dem BSI helfen will, IT-Angriffe zu erkennen und zu bekämpfen, muss also mindestens einen Mitarbeiter dafür einplanen, der ständig erreichbar ist. Und der entweder selbst 20 Tage im Jahr für das BSI arbeitet oder Kollegen schickt.

Das BSI bestätigte diese Pläne. Es würden derzeit "Überlegungen angestellt, wie man Fachleute aus der Wirtschaft zur Unterstützung der im BSI geplanten Mobile Incident Response Teams (MIRT) einbinden kann", antwortete das Bundesamt per Mail. "Die Arbeiten erfolgen unter dem Projektnamen 'Cyberwehr'." Die Überlegungen seien jedoch noch nicht abgeschlossen, daher könne man nicht zu Details Stellung nehmen.

Bei der Feuerwehr funktioniert das Konzept

An diesen Details könnte sich allerdings entscheiden, ob die Idee Erfolg haben wird. Warum sollten sich Unternehmen an der Cyberabwehr beteiligen? Wie schützt man angegriffene Unternehmen davor, dass Helfer aus anderen Firmen nebenbei internes Wissen abgreifen? Und warum sollten sie hochbezahlte Fachleute kostenlos an das BSI ausleihen?

Eine Vergütung ist in dem Vertrag nicht vorgesehen. Die Teilnehmer müssen sich vielmehr verpflichten, dass sie den Feuerwehreinsatz ihrer Angestellten als Arbeitszeit verbuchen und dass sie ihre Leute für die Leihdauer weiterbezahlen. Die Ausgeliehenen bekommen lediglich eine Verpflegungspauschale nach dem Bundesreisekostengesetz, im Inland sind das maximal 24 Euro pro Tag.

Die Idee folgt der freiwilligen Hilfe, wie sie auch bei der freiwilligen Feuerwehr oder beim Technischen Hilfswerk greift: Ich helfe, weil ich weiß, dass auch mir geholfen wird, wenn es mal darauf ankommt. Im Brandschutz funktioniert dieses Prinzip gut. In gerade einmal fünf Prozent aller deutschen Städte gibt es eine Berufsfeuerwehr. Kritische Infrastrukturen auch durch Freiwillige zu schützen, erscheint also sinnvoll. Und um kritische Infrastrukturen geht es bei der Cyberwehr, also um Unternehmen, die auf den Feldern Gesundheit, Transport, Lebensmittel, Energie, Geld oder Kommunikation aktiv sind.

Allerdings dürfen sich die Arbeitgeber von freiwilligen Feuerwehrleuten die Kosten der Ausfallzeiten vom Staat erstatten lassen. Wenn ihre Mitarbeiter den Arbeitsplatz verlassen, um zu einem Einsatz zu eilen, übernimmt die Feuerwehr zumindest teilweise den Lohnausfall. IT-Experten sind teuer. Möglicherweise hat das BSI diese Rückzahlungsmöglichkeit daher nicht ohne Grund weggelassen.

Als Gewinn ihres Einsatzes dürfen die ausgeliehenen Mitarbeiter Informationen über den Angriff mitnehmen und das Wissen, wie sie ihre eigenen Unternehmen davor schützen können. Angesichts der Konkurrenz im IT-Sicherheitsmarkt ist das aber nicht so einfach, daher enthält der Vertragsentwurf mehrere Klauseln zur Vertraulichkeit. Doch können die nicht garantieren, dass jemand bei einem Hilfseinsatz die Konkurrenz ausspäht. Strafen zumindest sind in einem solchen Fall bislang nicht vorgesehen.

BSI will Informationen verschweigen dürfen

Ein weiteres Problem: Das BSI will den angegriffenen Unternehmen im Zweifel nicht alles verraten, was es über die Angreifer erfahren hat. In Paragraf 19 des Vertragsentwurfes heißt es: "Die durch die Cyberwehr erlangten Erkenntnisse über den IT-Vorfall werden dem Betroffenen zur weiteren Verwendung (...) zur Verfügung gestellt, soweit dem keine sicherheitsrelevanten Gründe entgegenstehen." Was wohl bedeutet, dass das BSI der betroffenen Firma im Zweifel Informationen vorenthalten kann. Welche Informationen das sein könnten und warum es diese Klausel gibt, wollte niemand sagen. Weder das BSI noch das Innenministerium beantworteten entsprechende Fragen.

Dabei sollten diese Mobile Incident Response Teams, zu denen die Cyberwehr gehört, eigentlich eine vertrauensbildende Maßnahme sein. Laut dem seit 2015 geltenden IT-Sicherheitsgesetz sind Unternehmen, die als kritische Infrastruktur gelten, verpflichtet, "erhebliche Störungen" ihrer Dienste an das BSI zu melden. Doch die meisten Unternehmen verschweigen es, wenn ihre Computer angegriffen werden. Nicht einmal dem BSI wollen viele sagen, dass sie Probleme haben, aus Angst, dass diese bekannt werden und zu einem Imageschaden führen. Obwohl das Bundesamt viel Expertise besitzt, wenn es um Cyberangriffe geht, wenden sich Firmen also nicht unbedingt an die Behörde. 

Mit den Mobile Incident Response Teams soll eine Möglichkeit geschaffen werden, Betroffenen auch tatsächlich helfen zu können, um so das Vertrauen zu steigern. Doch der Entwurf der Kooperationsvereinbarung Cyberwehr versucht, die Last dieser MIRTs an die Wirtschaft zurückzugeben.

Bisher wird offenbar nur mit ausgewählten Vertretern der IT-Sicherheitsindustrie gesprochen, ob sie denn bereit wären, eine solche Cyberwehr mitaufzubauen. Die beiden digitalen Branchenverbände Bitkom und eco haben von dem Plan noch nie gehört. Auch bei der Telekom, einem der größten Arbeitgeber, wenn es um IT-Sicherheit geht, weiß man davon nichts. Genua hingegen bestätigt, das Konzept zu kennen. Das Unternehmen ist Teil der Bundesdruckereigruppe, die dem Staat gehört.