Cyberabteilungen im Zuständigkeitsbereich der Bundesministerien
der Abgeordneten Jimmy Schulz, Manuel Höferlin, Grigorios Aggelidis, Renata Alt, Christine Aschenberg-Dugnus, Jens Beeck, Nicola Beer, Dr. Jens Brandenburg (Rhein-Neckar), Mario Brandenburg, Christian Dürr, Dr. Marcus Faber, Daniel Föst, Otto Fricke, Katrin Helling-Plahr, Markus Herbrand, Katja Hessel, Dr. Christoph Hoffmann, Reinhard Houben, Ulla Ihnen, Olaf in der Beek, Gyde Jensen, Thomas L. Kemmerich, Daniela Kluckert, Pascal Kober, Wolfgang Kubicki, Konstantin Kuhle, Alexander Kulitz, Ulrich Lechte, Michael Georg Link, Till Mansmann, Alexander Müller, Roman Müller-Böhm, Dr. Martin Neumann, Dr. h. c. Thomas Sattelberger, Christian Sauter, Frank Schäffler, Matthias Seestern-Pauly, Frank Sitta, Judith Skudelny, Bettina Stark-Watzinger, Dr. Marie-Agnes Strack-Zimmermann, Benjamin Strasser, Katja Suding, Michael Theurer, Manfred Todtenhausen, Dr. Andrew Ullmann, Gerald Ullrich, Johannes Vogel (Olpe) und der Fraktion der FDP
Vorbemerkung
In der „Frankfurter Allgemeinen Zeitung“ vom 18. März 2018 erklärte Kanzleramtsminister und Bundesminister für besondere Aufgaben Helge Braun, im Nachgang an die am 28. Februar 2018 (vgl. www.faz.net/agenturmeldungen/dpa/ kanzleramtschef-pruefen-moeglichkeit-von-cyber-gegenangriffen-15500829.html, zuletzt aufgerufen: 22. März 2018) bekanntgewordene Hackerattacke auf den Informationsverbund Berlin-Bonn (IVBB), die Möglichkeiten für Cyber-Gegenangriffe, sogenannte Hack Backs prüfen zu wollen. Bisher sieht die aktuelle Rechtslage solche Hack Backs nach Auffassung der Fragestellerinnen und Fragesteller nicht vor.
Das Thema Cybersicherheit betrifft die Zuständigkeit verschiedener Bundesministerien und Institutionen, so z. B. das Bundesamt für Sicherheit in der Informationstechnik (BSI), das Bundesamt für Verfassungsschutz oder der Bundesnachrichtendienst, um nur einige zu nennen. Angesichts des Querschnittscharakters des Themas ist für die Fragestellerinnen und Fragesteller nicht klar ersichtlich, welche Abteilungen in den verschiedenen Bundesministerien, Abteilungen und nachgeordnete Behörden mit der Abwehr von Cyberattacken befasst sind und welche über die fachlichen Kompetenzen für Cyber-Gegenangriffe, wie sie laut Bundesminister Helge Braun aktuell geprüft werden, verfügen würden.
Daher fragen wir die Bundesregierung:
Fragen10
Welche Abteilungen der Bundesministerien und nachgeordneten Behörden befassen sich mit Cyberabwehr oder Cyber-Gegenangriffen, bzw. arbeiten daran, diese Fähigkeiten aufzubauen (bitte nach einzelnen Ressorts und Fachkompetenzen inkl. BSI aufschlüsseln)?
Wie viele Mitarbeiter sind in den in Frage 1 erfragten Abteilungen mit der Cyberabwehr oder Cyber-Gegenangriffen befasst?
Wie ist die Zusammenarbeit zwischen den einzelnen Abteilungen innerhalb der jeweiligen Bundesministerien und zwischen den einzelnen Bundesministerien ausgestaltet (z. B. in Form regelmäßiger Treffen, Jour Fix, anderer Formate)?
Beabsichtigt die Bundesregierung den Aufbau weiterer Institutionen bzw. Abteilungen, die sich mit Cyberabwehr oder Cyber-Gegenangriffen befassen sollen?
Falls ja, in welchem Zeitrahmen und mit welcher Personalausstattung ist dies geplant?
Mit welchen Abteilungen auf Landesebene stehen die in Frage 1 erfragten Abteilungen im Austausch (bitte nach einzelnen Ressorts und Fachkompetenzen aufschlüsseln)?
Welche Bundesministerien und Abteilungen erstellen regelmäßig Cyberlagebilder, und welchen Bundesministerien werden diese zur Verfügung gestellt?
Welche Bundesministerien und Ressorts betreiben Cyberlagezentren, und wie werden die Aufgaben zwischen den verschiedenen Cyberlagezentren aufgeteilt?
Welche rechtlichen Grundlagen zur Durchführung von Cyber-Gegenangriffen werden nach Ankündigung von Bundesminister Helge Braun aktuell geprüft?
Wie gedenkt die Bundesregierung im Falle einer potentiellen Einführung von Hack Backs sicherzustellen, dass unbeteiligte Akteure, wie z. B. Krankenhäuser oder Stromnetze, sowie alle anderen ausländischen informationstechnischen Systeme, die in Deutschland zur kritischen Infrastruktur (nach der Verordnung zur Bestimmung Kritischer Infrastrukturen nach dem BSI-Gesetz) gehören würden, nicht zu Kollateralschäden eines von der Bundesrepublik Deutschland initiierten Cybergegenangriff werden?