Schlüsselfähigkeiten in Deutschland erhalten! Interview mit Brigadegeneral Armin Fleischmann (AFCEA Bonn/Kdo CIR) und Eugenio Carlon (Materna)
Sehr geehrter Herr General, wie definieren wir in Deutschland den Cyber- und Informationsraum?
Fleischmann: Beginnend 2015/16 im Aufbaustab Cyber haben wir diesen aus drei Elementen definiert. Der Cyber- und Informationsraum (CIR) ist der als militärischer Operationsraum erschließbare, zugleich virtuelle, physische und kognitive Raum, der aus dem Cyberraum, dem Elektromagnetischen Umfeld sowie dem Informationsumfeld besteht. Risiken und Bedrohungen im CIR sind eine wesentliche gesamtstaatliche Herausforderung, jetzt und in der Zukunft. Die Einbindung der Bundeswehr in einen gesamtstaatlichen Ansatz, um auf diese Herausforderung zu reagieren, sowie der Ausbau von CIR-Fähigkeiten für militärische Szenarien sind bestimmend für die Weiterentwicklung des militärischen Organisationsbereiches CIR. NATO und andere Nationen betrachten oftmals nur Facetten davon bzw. haben diese in unterschiedlichen Zuständigkeiten. Hybride Kriegführung in der Landes- und Bündnisverteidigung ist dabei das wahrscheinlichste und auch komplexeste Szenar künftiger Konflikte. Dieses haben wir damals auch so ins Weißbuch und in die deutsche Cybersicherheitsstrategie 2016 eingebracht.
Ist Deutschland in diesen Bereichen allein handlungsfähig? Wie stellt sich digitale Souveränität aus dem Bereich der Industrie dar?
Carlon: Für uns sind zwei Gesichtspunkte sehr wichtig: Wir sind selbst als Cyber Security-Dienstleister unterwegs. Wenn wir von digitaler Souveränität sprechen, gibt es für uns einen deutschen und einen europäischen Rahmen, in den wir eingebettet sind. Dabei ergibt sich die Frage „Wie stark dürfen wir auf deutsche und europäische Services setzen, um unsere Dienstleistungen zu erbringen?“. Die meisten kommerziellen Produkte, z. B. in der Big Data-Analysis und im Bereich der Künstlichen Intelligenz, werden gar nicht in Deutschland oder Europa entwickelt, sondern in den USA und künftig sicherlich auch in China.
Um die digitale Souveränität im deutschen und europäischen Rahmen ernst zu nehmen, muss die hiesige Entwicklung von technischen Lösungen und Plattformen gezielt gefördert werden. Außerdem braucht es regulatorische oder kommerzielle Anreize, damit Behörden, Streitkräfte und auch die Industrie bevorzugt nationale Anbieter und Dienstleister im Umfeld Cyber Security auswählen und beauftragen. Industrie und Staat müssen hier entweder regulatorisch eingreifen oder kommerzielle Anreize schaffen, um die Entwicklung und Nutzung von deutschen bzw. europäischen Lösungen weiterzuentwickeln. Das Strategiepapier der Bundesregierung beschreibt es als Gemeinschaftsaufgabe von Staat, Wissenschaft und Industrie, und fordert dazu auf, dass wir uns gemeinsam aufstellen müssen. Der zweite Punkt ist ein bisschen im Gegensatz zu dem ersten: Die Wirtschaft will natürlich Zugang haben zu neuesten Technologien, auch wenn sie nicht im deutschen oder europäischen Rahmen entwickelt wurden. Das ist ein Spannungsfeld, das sich künftig noch verstärken wird, wenn nicht ausschließlich befreundete Nationen die neuen Technologien entwickelt haben. Zu erwarten ist, dass Technologien rund um Machine Learning und KI künftig auch stärker aus China kommen.
Mit Spannung verfolgen wir daher, was der Staat für politische Leitplanken setzt. Rein technologisch gesehen, können wir solche Entwicklungen ja nicht ignorieren. Auch können wir als mittelständischer IT-Dienstleister nicht alles selbst erfinden, was unsere Kunden benötigen. Wir sind darauf angewiesen, Fremdprodukte nutzen zu können und zu dürfen. Dennoch müssen wir für unsere Kunden erreichen, dass auch beim Einsatz solche Fremdprodukte, die Daten und Informationen im von unseren Kunden kontrollierten Bereich verbleiben.
Auf der 34. AFCEA Fachausstellung in Bonn sprach Chefredakteur Burghard Lindhorst (re.) mit Brigadegeneral Armin Fleischmann und Eugenio Carlon.
Foto ©Stefan Veres
Und digitale Souveränität für die Bundeswehr?
Fleischmann: Wir betrachten natürlich – vor allem im BMVg – auch die Frage der digitalen Souveränität. Dazu gab es auch mehrere interne und externe Arbeitsgruppen zusammen mit BDSV und Bitkom. Wir unterstützen national unsere entsprechenden Stakeholder. Ein absolutes No-Go für uns ist beispielsweise die Verwendung ausländischer Krypto-Technologie, außer im Rahmen von Allianzen oder Bündnissen. Es gibt Schlüsselelemente in der deutschen Industrie, die wir erhalten müssen. Wir haben in den letzten 20 Jahren rund 80 Prozent unserer IT-Industrie in Deutschland abgebaut. Da haben wir wichtige Fähigkeiten verloren. Schauen wir uns nur 5G oder andere IP-Systeme an. In nahezu jedem IT-System ist heute z.B. ein Router. Wir haben aber fast keine deutschen Hersteller mehr und müssen diese Technik extern einkaufen. Da brauchen wir Hersteller, denen wir vertrauen können oder Hersteller, die Techniken haben, mit denen wir selbst sichere Netze aufbauen können. Wir brauchen natürlich auch Systemintegratoren bei uns, die diese Komponenten in ein System integrieren können. Das sind Schlüsselfähigkeiten im IT-Bereich, die wir in Deutschland einfach erhalten müssen.
Ist in diesem Zusammenhang das Thema Open Source Initiative ein Widerspruch zur digitalen Souveränität?
Fleischmann: Nein. Die weltweit größten Software-Firmen kommen nicht aus Deutschland. Gleichwohl haben wir Deutschen im Industriebreich eine bedeutende Software-Expertise, im Maschinenbau und vielen anderen Bereichen, wo wir weltweit immer noch führend sind. Da gilt es natürlich, Kapazitäten zu erhalten. Open Source spielt da eine Rolle, weil wir damit flexibler sind und genau auf uns zugeschnittene Lösungen entwickeln können, was mit einer Standardsoftware nicht so einfach geht. Von daher ist Open Source auch für uns ein Thema.
Carlon: Die Open Source Initiative ist auch für mich ein wichtiges Thema, das es weiter zu stärken gilt. Hier muss mehr investiert werden, damit solche Lösungen auch bei uns entwickelt werden. Es heißt oft, die größten Softwareentwicklungsfirmen stammen aus dem Ausland. Aber stimmt das wirklich? Wenn man die Masse der Softwareentwickler nimmt, also insbesondere im Bereich Operational Technology, also zum Beispiel Software für die Anlagensteuerung und von Produktions- und Fertigungsmaschinen, sind wir immer noch weltweit marktführend. Gerade für unsere Kunden in Deutschland und Europa ist Open Source sehr wichtig. So hat z. B. die Lizenzpolitik der weltweit großen Datenbankanbieter unsere Kunden in der Vergangenheit dazu getrieben, Open Source-Lösungen einzusetzen. Das spart die Lizenzkosten und die Organisationen erhalten im Gegenzug ihre Souveränität über das eingesetzte Produkt zurück. Man muss allerdings „etwas“ von den eingesparten Lizenzkosten in die Entwicklung und den Betrieb investieren. Da kann man dann entscheiden, ob man dies mit eigenen Kräften durchführt oder dafür einen vertrauenswürdigen IT-Dienstleister beauftragt. Der große Vorteil für mich als Cyber Security-Experte ist, dass ich bei Open Source alles überprüfen kann. Wenn wir beispielsweise mit der Bundeswehr, den Bundesbehörden oder anderen Kunden in Deutschland Projekte umsetzen, liegt die Überprüfungsgewalt immer unmittelbar bei unseren Kunden. Deshalb sind diese Initiativen für mich ein elementarer Bestandteil des Weges zur digitalen Souveränität. Dazu noch eine Anmerkung: Wenn man alle Fachexpertisen des Bundes zusammennimmt, und das sind nicht wenige, dann wären die Organisationen dazu in der Lage, solche komplexen Open Source Systeme wie Security Information Event Management (SIEM) oder auch Auswertesysteme eigenständig weiterzuentwickeln, aufzubauen und zu kontrollieren. Und genau solche Lösungen werden im Umfeld Cyber Security dringend gebraucht.
Brigadegeneral Armin Fleischmann ist im Kdo CIR Abteilungsleiter Planung CIR und Digitalisierung Bundeswehr. Zudem ist er Vorsitzender AFCEA Bonn e.V.
Foto ©Stefan Veres
Stellt sich die Zusammenarbeit mit der Industrie für Sie ähnlich dar?
Fleischmann:Das ist vergleichbar. Wir haben viele Kooperationen in militärischen Bereichen mit Vereinen, Instituten und Verbünden, wie z.B. im Rahmen von CERT (Computer Emergency Response Teams). Eine der besten Kooperationen, die wir momentan haben, ist für unser eigenes Netz die Zusammenarbeit mit der BWI, als Systemhaus des Bundes. Die BWI ist der starke Partner an unserer Seite. Da gehen wir in eine gemeinsame Richtung mit gleichen Produkten zwischen Bundeswehr und BWI.
Eugenio Carlon ist Vice President Cyber Security & Defence bei Materna Information & Communications SE
Foto ©Stefan Veres
Carlon: Sie haben gerade den CERT-Verbund angesprochen, der wirklich erfolgreich arbeitet, sich eng austauscht und vertrauensvoll mit anderen Behörden zusammenarbeitet. Dazu noch zwei weitere Ideen: Aus meinen internationalen Erfahrungen, zum Beispiel mit Frankreich und Großbritannien, würde ich mir wünschen, dass man zumindest die vertrauenswürdige deutsche Industrie stärker mit einbezöge und informierte. Die Angreifer sind ja nicht nur aus Deutschland, sondern kommen in der Masse aus dem Ausland. Wir bekommen zwar hin und wieder Hinweise vom BSI, was gut ist. Aber da würde eine intensivere Kooperation auf technischer Basis unsere Schnelligkeit in der Detektion und unsere Reaktionsfähigkeit deutlich erhöhen. Da empfinde ich die deutschen Behörden als eher zurückhaltend im europäischen Vergleich.
Der zweite Wunsch: In Großbritannien durfte ich das Cyber Defence Center der Streitkräfte besuchen. Dort arbeiten die Streitkräfte, die Dienste und die Industrie in einem riesigen Center zusammen und bearbeiten in Echtzeit die Cyber Sicherheitslagen. Jeder liefert seinen Beitrag, die Industrie natürlich nur unterstützend. Aber alle arbeiten dort Hand in Hand. Das fand ich sehr beeindruckend und stellt sich für mich als ein gutes Vorbild dar, um ggf. auch den Wettbewerb um die Cyber Security Experten ein bisschen zu entlasten.
Fleischmann: Dabei muss man aber folgendes bedenken: Die Bundeswehr hat bis 2016 bei diesem Thema „Cyber“ ressortübergreifend keine Rolle gespielt. Erst mit der Cybersicherheitsstrategie Deutschlands 2016 hat das Ressort unter der Überschrift Cyberverteidigung eine Rolle erlangt, die sowohl defensiv als auch offensiv sein kann. Die neue Cybersicherheitsstrategie wurde gerade überarbeitet und neu herausgegeben. Für das, was Sie eben beschrieben haben, ist in Deutschland das Bundesministerium des Inneren (BMI) zuständig. Bei dieser ressortübergreifenden Herausforderung ist die Bundeswehr ein Partner, der auch im Nationalen Cyberabwehrzentrum sehr aktiv mitarbeitet. Das kann nur ressortgemeinsam gelöst werden. Hier sind wir aber mit der derzeit angestoßenen Weiterentwicklung des Nationalen Cyberabwehrzentrums zu der zentralen Kooperationsplattform auf einem guten Weg!
Sehr geehrte Herren, herzlichen Dank für das informative Gespräch!