Pflichtfreiwilligendienst für IT-Personal?
Die Bundesregierung hat sich eine neue Art der Dienstverpflichtung für IT-Personal ausgedacht: die Cyberwehr.
Demnach sollen „IT-Spezialisten“ aus privaten Unternehmen vom Bund zu Hilfe gerufen werden, wenn auf „betroffene Unternehmen der sogenannten kritischen Infrastrukturen und bei Bundes- und Landesinstitutionen“ Cyberangriffe resigniert werden.
Nun könnte man sagen: ja, es gibt ja auch eine freiwillige Feuerwehr, und warum sollte es dann nicht auch einige freiwillige Cyberwehr geben? Man könnte auch argumentieren, dass Feuer ja auch plötzlich ausbricht, häufig durch Unachtsamkeit.Und dass es dann richtig ist, wenn ausgebildete Bürger die unvorsichtigen Bürger schützen.
Doch wie ist es wirklich? Wir erkennen schnell: In Wahrheit benötigt man erst einmal einen verlässlichen Schutz gegen Cyberangriffe. Versagt dieser, was ja nun tatsächlich vorkommt, dann muss erst mal die „Werks-Cyberwehr“ ran, die sich mit der hauseigenen (Un-)Sicherheitsstrategie auskennt, dann der externe Sicherheitsexperte. Heißt im Klartext: Selbstschutz zuerst, dann Experten vor Ort und dann ausgewiesene Spezialisten.
Der Knackpunkt liegt ganz offensichtlich bei „ausgewiesenen Spezialisten“. Da die Regierung dafür möglichst wenig Geld ausgeben will, hat sie eine komplizierte „Cyberwehr“ angedacht, deren Einsatz schon organisatorisch ausgesprochen schwierig ist. Und zahlen will der Bund auch nicht dafür, wenn „Institutionen der Bundes- und Länderverwaltung, Betreibern Kritischer Infrastrukturen (KRITIS) und anderen Institutionen im staatlichen Interesse (INSI)“ angegriffen werden. Die Unternehmen sollen vielmehr ihre in der Regel höchstbezahlten Sicherheitsexperten für’n Appel und nen Ei ausleihen.
Nehmen wir einmal an, das gelänge tatsächlich, dann müsste allerdings eine „schnelle Eingreiftruppe“ her, die innerhalb weniger Stunden einsatzbereit wäre – und die sich mit den Sicherheitsstrategien des Geschädigten auch sofort auskennt. Da ergibt sich schon die Frage, ob die entsprechende Behörde oder Organisation überhaupt ein Konzept für den Notfall hat. Denn wenn Feuerwehrleute gerufen erden, können sie anhand des Augenscheins recht schnell beurteilen, was noch zu retten ist und wie man es erretten könnte. IT-Experten können dies nicht ohne Weiteres, weil sie die Notfallstrategien der entsprechenden Behörden und Unternehmen erst einmal kennen müssten. Um nur ein Beispiel zu nennen: Was hätte denn Priorität? Den Diebstahl der Daten zu verhindern oder dafür zu sorgen, dass die IT wenigstens einige Stunden später wieder stabil läuft?
Und so bleibt die Frage, ob das Konzept einer „Cyberwehr“ eventuell nur Augenwischerei ist. Und das weiß man erst, wenn man realitätsnah erprobt hat, ob das Konzept bei einem tatsächlich existierenden Unternehmen funktioniert. Und genau das ist es, was der Staatsbürger fordern sollte.
Mehr in der ZEIT.
Mehr auch in NETZPOLITIK.
Demnach sollen „IT-Spezialisten“ aus privaten Unternehmen vom Bund zu Hilfe gerufen werden, wenn auf „betroffene Unternehmen der sogenannten kritischen Infrastrukturen und bei Bundes- und Landesinstitutionen“ Cyberangriffe resigniert werden.
Nun könnte man sagen: ja, es gibt ja auch eine freiwillige Feuerwehr, und warum sollte es dann nicht auch einige freiwillige Cyberwehr geben? Man könnte auch argumentieren, dass Feuer ja auch plötzlich ausbricht, häufig durch Unachtsamkeit.Und dass es dann richtig ist, wenn ausgebildete Bürger die unvorsichtigen Bürger schützen.
Doch wie ist es wirklich? Wir erkennen schnell: In Wahrheit benötigt man erst einmal einen verlässlichen Schutz gegen Cyberangriffe. Versagt dieser, was ja nun tatsächlich vorkommt, dann muss erst mal die „Werks-Cyberwehr“ ran, die sich mit der hauseigenen (Un-)Sicherheitsstrategie auskennt, dann der externe Sicherheitsexperte. Heißt im Klartext: Selbstschutz zuerst, dann Experten vor Ort und dann ausgewiesene Spezialisten.
Der Knackpunkt liegt ganz offensichtlich bei „ausgewiesenen Spezialisten“. Da die Regierung dafür möglichst wenig Geld ausgeben will, hat sie eine komplizierte „Cyberwehr“ angedacht, deren Einsatz schon organisatorisch ausgesprochen schwierig ist. Und zahlen will der Bund auch nicht dafür, wenn „Institutionen der Bundes- und Länderverwaltung, Betreibern Kritischer Infrastrukturen (KRITIS) und anderen Institutionen im staatlichen Interesse (INSI)“ angegriffen werden. Die Unternehmen sollen vielmehr ihre in der Regel höchstbezahlten Sicherheitsexperten für’n Appel und nen Ei ausleihen.
Nehmen wir einmal an, das gelänge tatsächlich, dann müsste allerdings eine „schnelle Eingreiftruppe“ her, die innerhalb weniger Stunden einsatzbereit wäre – und die sich mit den Sicherheitsstrategien des Geschädigten auch sofort auskennt. Da ergibt sich schon die Frage, ob die entsprechende Behörde oder Organisation überhaupt ein Konzept für den Notfall hat. Denn wenn Feuerwehrleute gerufen erden, können sie anhand des Augenscheins recht schnell beurteilen, was noch zu retten ist und wie man es erretten könnte. IT-Experten können dies nicht ohne Weiteres, weil sie die Notfallstrategien der entsprechenden Behörden und Unternehmen erst einmal kennen müssten. Um nur ein Beispiel zu nennen: Was hätte denn Priorität? Den Diebstahl der Daten zu verhindern oder dafür zu sorgen, dass die IT wenigstens einige Stunden später wieder stabil läuft?
Und so bleibt die Frage, ob das Konzept einer „Cyberwehr“ eventuell nur Augenwischerei ist. Und das weiß man erst, wenn man realitätsnah erprobt hat, ob das Konzept bei einem tatsächlich existierenden Unternehmen funktioniert. Und genau das ist es, was der Staatsbürger fordern sollte.
Mehr in der ZEIT.
Mehr auch in NETZPOLITIK.
Trackbacks
Keine Trackbacks
Kommentare
Ansicht der Kommentare: Linear | Verschachtelt