© 2019 Deutscher Bundestag WD 3 - 3000 - 084/19 Nationale Cybersicherheitsbehörden in ausgewählten Staaten Sachstand Wissenschaftliche Dienste Die Wissenschaftlichen Dienste des Deutschen Bundestages unterstützen die Mitglieder des Deutschen Bundestages bei ihrer mandatsbezogenen Tätigkeit. Ihre Arbeiten geben nicht die Auffassung des Deutschen Bundestages, eines seiner Organe oder der Bundestagsverwaltung wieder. Vielmehr liegen sie in der fachlichen Verantwortung der Verfasserinnen und Verfasser sowie der Fachbereichsleitung. Arbeiten der Wissenschaftlichen Dienste geben nur den zum Zeitpunkt der Erstellung des Textes aktuellen Stand wieder und stellen eine individuelle Auftragsarbeit für einen Abgeordneten des Bundestages dar. Die Arbeiten können der Geheimschutzordnung des Bundestages unterliegende, geschützte oder andere nicht zur Veröffentlichung geeignete Informationen enthalten. Eine beabsichtigte Weitergabe oder Veröffentlichung ist vorab dem jeweiligen Fachbereich anzuzeigen und nur mit Angabe der Quelle zulässig. Der Fachbereich berät über die dabei zu berücksichtigenden Fragen. Wissenschaftliche Dienste Sachstand WD 3 - 3000 - 084/19 Seite 2 Nationale Cybersicherheitsbehörden in ausgewählten Staaten Aktenzeichen: WD 3 - 3000 - 084/19 Abschluss der Arbeit: 24. April 2019 Fachbereich: WD 3: Verfassung und Verwaltung Wissenschaftliche Dienste Sachstand WD 3 - 3000 - 084/19 Seite 3 1. Einleitung Gefragt wurde nach den Aufgaben und behördlichen Strukturen der nationalen Behörden für Cybersicherheit in Großbritannien, Frankreich und den USA. Die Ausführungen dazu basieren auf den Informationen, die aus den o.g. Staaten eingeholt wurden. Eine Antwort aus den USA lag bis Fertigstellung des Sachstandes nicht vor. 2. Deutschland In Deutschland ist das Bundesamt für Sicherheit in der Informationstechnik (BSI) die nationale Cyber-Sicherheitsbehörde. Das BSI unterstützt die Verwaltung, Wirtschaft und Gesellschaft in dem Bereich der IT-Sicherheit. Das BSI wird von einem Präsidenten geleitet und hat über 940 Beschäftigte, die in fünf Fachabteilungen tätig sind. Das BSI ist eine nachgeordnete Behörde des Bundesministeriums des Innern, für Bau und Heimat, welches die Fachaufsicht führt. Die Aufgaben des BSI sind im Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSI-Gesetz) festgelegt. Das BSI erarbeitet praxisorientierte Mindeststandards und zielgruppengerechte Handlungsempfehlungen zur IT- und Internet-Sicherheit, um Anwender bei der Vermeidung von Risiken zu unterstützen. Das Bundesamt ist auch für den Schutz der IT-Systeme des Bundes verantwortlich. Hierbei geht es um die Abwehr von Viren, Trojanern und anderen technischen Bedrohungen gegen die Computer und Netze der Bundesverwaltung. Zu den Aufgaben des BSI gehören weiterhin: – Prüfung, Zertifizierung und Akkreditierung von IT-Produkten und -Dienstleistungen – Warnung vor Schadprogrammen oder Sicherheitslücken in IT-Produkten und -Dienstleistungen – IT-Sicherheitsberatung für die Bundesverwaltung und andere Zielgruppen – Information und Sensibilisierung der Bürger für das Thema IT- und Internet-Sicherheit – Entwicklung einheitlicher und verbindlicher IT-Sicherheitsstandards – Entwicklung von Kryptosystemen für die IT des Bundes – Zentrale Meldestelle für die Sicherheit in der Informationstechnik des Bundes – Zentrale Stelle für die Sicherheit in der Informationstechnik Kritischer Infrastrukturen Wissenschaftliche Dienste Sachstand WD 3 - 3000 - 084/19 Seite 4 3. Vereinigtes Königreich Das National Cyber Security Centre (NCSC)1 ist die nationale technische Behörde für Cybersicherheit in Großbritannien, die den öffentlichen und privaten Sektor bei der Vermeidung von Angriffen auf die IT-Sicherheit berät und unterstützt. Sie ist die „zentrale Anlaufstelle“ der Regierung in Bezug auf Cybersicherheit. Zu ihren Aufgaben gehört jedoch nicht die politische Zielsetzung; sie ist auch keine Regulierungsbehörde (d.h. sie verfügt nicht über Durchsetzungsbefugnisse). Das NCSC ist Teil des Government Communications Headquarters (GCHQ). Das GCHQ liegt in der Verantwortung des britischen Außenministeriums2, die Aufsicht wird durch den Geheimdienstund Sicherheitsausschuss des britischen Parlaments (Intelligence and Security Committee - ISC)3 wahrgenommen. Das NCSC arbeitet mit anderen Organisationen zusammen, z. B. mit der National Crime Agency (NCA), die für Cyberkriminalität und Strafverfolgung im Bereich der Cybersicherheit zuständig ist und dem Innenministerium als leitende Regierungsabteilung berichtet. Das Cabinett Office (zentrale Behörde der britischen Regierung) leitet die britische nationale Strategie für Cybersicherheit4; die für die unterschiedlichen Bereiche der Cybersicherheit zuständigen Ministerien verantworten jeweils ihren Bereich. Der Gemeinsame Ausschuss für die nationale Sicherheitsstrategie des britischen Parlaments hat einen Sonderbericht5 veröffentlicht, der eine Erklärung der Regierung und einen Überblick über die Regierungsführung in Bezug auf die Cybersicherheit , einschließlich Tabellen mit einer Aufschlüsselung von unterschiedliche Verantwortlichkeiten , enthält. Der Bericht enthält auch Informationen zur Rolle des NCSC. 4. Frankreich Die nationale Agentur ANSSI (Agence nationale de sécurité de systèmes d’information)6 ist speziell für die Cybersicherheit zuständig. Mit dem Gesetz Nr. 2013-1168 vom 18. Dezember 2013 wurde beschlossen, dass „der Premierminister Maßnahmen in den Bereichen Cybersicherheit und Cyberverteidigung festlegt und koordiniert. Zu diesem Zweck verfügt er/sie über eine französische nationale Cybersicherheitsbehörde“. 1 National Cyber Security Centre, abrufbar unter: https://www.ncsc.gov.uk/. 2 Foreign and Commonwealth Office, abrufbar unter: https://www.gov.uk/government/organisations/foreign-commonwealth -office. 3 Intelligence and Security Committee, abrufbar unter: http://isc.independent.gov.uk/. 4 Grundsatzpapier Nationale Strategie für Cybersicherheit 2016 bis 2021, abrufbar unter: https://www.gov.uk/government/publications/national-cyber-security-strategy-2016-to-2021. 5 3. Sonderbericht des Gemeinsamen Ausschusses 2017-2019, abrufbar unter: https://publications.parliament .uk/pa/jt201719/jtselect/jtnatsec/2003/2003.pdf. 6 Französische Cybersicherheitsbehörde ANSSI, abrufbar unter: https://www.ssi.gouv.fr/. Wissenschaftliche Dienste Sachstand WD 3 - 3000 - 084/19 Seite 5 ANSSI ist eine Abteilung des Generalsekretariats für Verteidigung und nationale Sicherheit (Secrétariat général de la défense et de la sécurité nationale - SGDSN)7. SGDSN ist ein interministerielles Gremium, das dem französischen Premierminister unterstellt ist. Es berät und unterstützt den Regierungschef bei der Entwicklung und Umsetzung der Sicherheits- und Verteidigungspolitik und bei politischen Entscheidungsprozessen. Zu seinen Fachgebieten gehören alle strategischen Verteidigungs- und Sicherheitsfragen, z. B. Militärprogramme, nukleare Abschreckung, innere Sicherheit als Teil der nationalen Sicherheit, Wirtschafts- und Energiesicherheit, Terrorismusbekämpfung und Krisenreaktionspläne. *** 7 Generalsekretariat für Verteidigung und nationale Sicherheit SGDSN, abrufbar unter: http://www.sgdsn.gouv.fr/.