Das erste Panel, moderiert von Oliver Rolofs (Pressesprecher der Münchner Sicherheitskonferenz), setzte sich einleitend mit der Frage der Begrifflichkeiten auseinander und gab einen Überblick über die sicherheitspolitische Dimension der Bedrohung aus dem Cyberspace.

Prof. Peter Sommer (London School of Economics and Political Science) machte deutlich, dass verbale Abrüstung betrieben werden müsse. Zu schnell und leichtfertig werde über „Krieg“ im Cyberraum gesprochen. Als Cyberwar könne nur ein Angriff klassifiziert werden, der in Schadensumfang, -intensität, und -dauer einem konventionellen, kinetischen Angriff entspricht.

Reinhard Hutter (Centre for European Security Strategies, München) betonte, dass der Terminus Cyberwar noch nicht generell einheitlich definiert sei – dazu sei das Phänomen noch zu neuartig. Es stelle eine Herausforderung dar, das nur ressortübergreifend, in Kooperation mit der Wirtschaft und mit Hilfe internationaler Zusammenarbeit, begegnet werden könne.

„We need a culture of cyber security to be competitive”, so Dave Clementes (Chatham House, London) zentraler Apell. Dies gelte sowohl für die Gesellschaft, die Wirtschaft und die staatlichen Ebenen. Erst auf dieser Grundlage könnte mehr Sicherheit im Cyberaum geschaffen werden und vor allem mittels internationaler Partnerschaften und Allianzen auf einer tragfähigen Grundlage zu deren Abwehr und Bekämpfung entstehen.

Im zweiten Panel diskutierten die Experten unter der Leitung von Dietrich Läpke (Deutschen Hochschule der Polizei) Methoden des Angriffs und Strategien der Abwehr.

Prof. Dr. Peter Martini (Universität Bonn/ Fraunhofer Institut FKIE) definierte eingangs vier Ziele von Cyberattacken: Den Verlust von erstens der Integrität, zweitens der Verfügbarkeit, drittens der Vertraulichkeit sowie viertens physische Zerstörung. Den Angreifern stände zur Erreichung dieser Ziele eine Vielfalt von Schadprogrammen zur Verfügung. Die Besonderheit liegt dabei in der Asymmetrie zwischen Angreifern und Verteidigern. Bisher sei auch nur eine passive Verteidigung möglich; besonders erfolgreich seien dabei Maßnahmen der Härtung der Computersysteme und Netze sowie die Förderung der Resilienz der Systeme.

Die Arbeit des neu geschaffenen Nationalen Cyber-Abwehrzentrum, die Andreas Könen (Bundesamt für Sicherheit in der Informationstechnik) vorstellte, ist in diesem Zusammenhang ein wichtiger erster Schritt: Es ist eine Informationsdrehscheibe, die die Zusammenarbeit der staatlichen Stellen optimiere und deren Schutz- und Abwehrmaßnahmen koordiniere. Zudem werden dort IT-Vorfälle analysiert und bewertet.

Dr. Sandro Gaycken (Freie Universität Berlin) stellte einleitend fest: „Die Informationsgesellschaften sind extrem verwundbar.“ Bisher seien die IT-Strukturen von Staat und Wirtschaft so wenig geschützt, dass Angreifer unbemerkt ohne größeren Aufwand eindringen könnten. Sabotage und Spionage sind zugleich einfach und profitabel. Waren es bisher hauptsächlich sogenannte schwache Angreifer, wie Kleinkriminelle und Teenager, werden verstärkt starke Angreifer aus dem Bereich der organisierten Kriminalität und des Militärs aktiv. Zentral ist für Gaycken: „Die Attribution ist unhintergehbar.“ Daher ist auch die Verfolgung der Täter schwierig. Als „To Dos“  identifiziert Gaycke u.a. die Entwicklung von Sicherheitsmetriken und einem Verständnis für die Offensive sowie die Weiterentwicklung der Fähigkeiten der Aufklärung und Forensik.

Roland Schulze (Bund Deutscher Kriminalbeamter) zielte in seinen Ausführungen vor allem auf das mangelnde Problembewusstsein der Politik ab und forderte in vielen Bereichen einen pragmatischen Ansatz. Er ist sich sicher „Wir sind mitten in der digitalen Auseinandersetzung.“

Dr. Hans-Peter Uhl (MdB,  Innenpolitischer Sprecher der CDU/CSU-Fraktion) zeigte doch eben dieses Problembewusstsein. Er forderte ein verstärktes Engagement der Hersteller in Bezug auf die Produzentenhaftung, des Staats in Hinblick auf zuverlässige Empfehlungen und Zertifizierungen, der Wissenschaft in Forschung und Beratung und der Gesellschaft, die Risiken aus dem Netz zu erkennen und sensibel damit umzugehen. Abschließend hinterfragte er das Trennungsgebot zwischen Polizei und Militär mit Blick auf die zukünftigen Herausforderungen aus dem Cyberraum. Das Nationale Cyber-Abwehrzentrum sei ein bedeutender erster Schritt, auf den weitere folgen müssten.

Mit Strategien für Cyberkonflikte beschäftigte sich das dritte Panel, das von Paul-Anton Krüger (Süddeutsche Zeitung, München) moderiert wurde. In seinem Vortrag plädierte Alexander Klimburg (Österreichisches Institut für Internationale Politik, Wien) für die Verwendung des Begriffs Cyberpower, um u.a. die Versachlichung der Diskussion weiter voranzutreiben. Er zeigte auf, dass nicht die staatlichen, sondern die nicht-staatlichen Akteure eine Schlüsselfunktion in Cyberkonflikten zukomme. Er plädierte für einen „Whole-of-Nation-Approach“, durch den nationale Fähigkeiten zusammengefasst werden. Klimburg unterstrich die Unterschiede im Umgang mit nicht-staatlichen Cyberangriffen in liberalen Demokratien und Ländern China und Russland, die die Akteure ungestraft gewähren ließen.

Dr. Olaf Theiler (Internationaler Stab des NATO-Hauptquartiers, Brüssel) legte die Kernaussagen des neuen Konzeptes zur Cyber-Defence der NATO dar: Wichtig sei, dass eine zentralisierte Cyberabwehr aller NATO-Netzwerke entstehe, die unter der Cyber Defence Management Authority agiere. Dazu müssten auch gemeinsame Minimumstandards, Prinzipien und Kriterien im Rahmen des Defence Planning Systems entwickelt werden. Durch diese robusten und vielschichtigen Abwehrfähigkeiten könnten auch potentielle Angreifer abgeschreckt werden. „Mit den Beschlüssen von Lissabon hat die NATO den Schritt hin zu einer eigenbestimmten, besonnenen und zukunftsorientierten Beschäftigung mit dem Thema Cyber-Defence vollzogen.“, so Theiler.

„No network is secure“ konstatierte Dr. James A. Lewis (Center for Strategic & International Studies, Washington) am Beginn seines Vortrags. Da einzelne Akteure Sicherheitslücken nach wie vor nutzen, um sich einen Vorteil zu verschaffen, müssten Nationalstaaten durch diplomatische Bemühungen verbindliche Abkommen schaffen. Die Vereinigten Staaten streben staatliche Regelungen für die Nutzung des Internets an. Eine Nationalisierung des Netzes, wie es in China bereits der Fall ist, hält Lewis nicht für zielführend. Er betonte, dass die Cyber-Strategie der USA einen Gegenschlag nur dann vor sehe, wenn es sich um einen Angriff mit militärischer Dimension handle, der massiven Schaden anrichte und daher mit einem kinetischen vergleichbar sei.