Q1/2020 - Cyberspace Solarium Commission

Am 11. März 2020 präsentierte die „Cyberspace Solarium Commission“ in Washington ihren Schlussbericht. Die Kommission war vom US-Kongress 2018 mit der Aufgabe gegründet worden, eine langfristige Strategie zur Stärkung der US-amerikanischen Cybersicherheit zu entwickeln. Der Name der Kommission – Solarium – erinnerte an eine ähnliche Kommission, die US-Präsident Dwigth D. Eisenhower in den 1950er Jahren berufen hatte, um Empfehlungen erarbeiten zu lassen, wie die USA mit der nuklearen Bedrohung durch die Sowjetunion umgehen sollten. Die neue Solarium Kommission wurde von Senator Angus S. King und Michael J. Gallagher, Mitglied des Repräsentantenhauses, geleitet. Ihr gehörten zwölf weitere hochrangige Parlamentarier, Regierungsvertreter, Militärs und Experten an, darunter Christopher A. Wray, Direktor des FBI. Die Kommission hat in den zwei Jahren ihrer Tätigkeit rund 400 Experten-Interviews geführt. Der Schussbericht gliedert sich in sechs Abschnitte (Pillars) und enthält 78 Empfehlungen[1].

Kernbotschaft des Berichts ist, dass die USA eine neue Abschreckungsstrategie für den Bereich des Cyberspace brauchen. Der Status Quo würde Amerikas Feinde einladen, amerikanische Einrichtungen anzugreifen, geistiges Eigentum zu stehlen und sich in inner-amerikanische demokratische Vorgänge – wie Wahlen – einzumischen, ohne Konsequenzen fürchten zu müssen. Die Bedrohung Amerikas sei real[2]. Die USA befänden sich in einem „strategischen Dilemma“: Je mehr die amerikanische Wirtschaft und Gesellschaft digitalisiert werde, desto größer würde ihre Verwundbarkeit. Dabei ginge es nicht nur um die Gefahr einer „katastrophalen Cyberattacke“, sondern um die tagtägliche millionenfache Einmischung in die inneren amerikanischen Angelegenheiten – vom Finanzwesen bis zu Wahlen.

Als Antwort schlägt die Kommission eine „abgestufte Abschreckung“ (Layered Deterrence) mit offensiven und defensiven Elementen vor. Der Bericht enthält fünf Kernbotschaften:

  1. Abschreckung im Cyberspace ist möglich;
  2. Abschreckung ist von einer widerstandsfähigen Wirtschaft abhängig;
  3. Abschreckung benötigt eine Reform des Regierungsstruktur;
  4. Abschreckung benötigt neue Formen der Zusammenarbeit zwischen Regierung und dem Privatsektor und
  5. der Schutz von Wahlen in den USA hat oberste Priorität.

Die neue Abschreckungsstrategie für den Cyberspace schlägt Aktivitäten in drei Richtungen für den Umgang mit potentiellen Gegnern vor:

  1. Die Beeinflussung des Verhaltens (Shape Behavior),
  2. die Reduzierung von Privilegien (Deny Benefits) und
  3. die Bestrafung bei Fehlverhalten (Impose Costs).

Daraus würden sich für die USA sechs Bereiche ergeben, in denen Aktionen notwendig sind:

  1. Reform the U.S. Government's Structure and Organization for Cyberspace;
  2. Strengthen Norms and Non-Military Tools;
  3. Promote National Resilience;
  4. Reshape the Cyber Ecosystem;
  5. Operationalize Cybersecurity Collaboration with the Private Sector;
  6. Preserve and Employ the Military Instrument of National Power[3].

Für jeden der sechs Bereiche gibt die Kommission konkrete Handlungsempfehlungen. Darunter sind Vorschläge wie:

  1. die Ausarbeitung einer „National Cyber Strategy“,
  2. die Installierung eines „National Cyber Director“ im Weißen Haus,
  3. die Schaffung von zwei Kongressausschüssen im US-Repräsentantenhaus und im US-Senat zu Cybersicherheit (Committees on Cybersecurity),
  4. die Stärkung der bereits existierenden „Cybersecurity and Infrastructure Security Agency“ (CISA),
  5. die Berufung eines stellvertretenden Außenministers für Cybersicherheitsfragen,
  6. die Gründung einer „National Cybersecurity Certification and Labeling Authority und
  7. die Gründung eines Büros für Cyberstatistik.

Vorgeschlagen werden Maßnahmen im Bereich von Bildung (Digital Literacy, Civic Education and Public Awareness) und der Risikofolgeabschätzung (Identification, Assessment and Management of National and Sector-Specific Risks). Überprüft werde müsste, inwiefern das amerikanische Militär ausreichend gegen Cyberattacken geschützt ist und welche Formen einer abgestuften Reaktion es auf Angriffe geben sollte (defend forward).  


Der US-Kongress wird zum Bericht der Cyberspace Solarium Commission im 2. Quartal 2020 eine Reihe von Anhörungen durchführen. Er wird die Umsetzung der Empfehlungen überwachen und in zwei Jahren (2022) einen Implementierungsbericht vorlegen.

Mehr zum Thema
Cyberspace Solarium CommissionQ1/2020
  1. [1] Siehe: Final Report of the US Cyberspace Solarium Commission, Washington, 12. März 2020, in: https://www.solarium.gov/
  2. [2] Siehe: Final Report of the US Cyberspace Solarium Commission, Executive Sumary, p.iii, Washington, 12. März 2020: „The status quo is inviting attacks on America every second of every day. The status quo is a slow surrender of American power and responsibility. We all want that to stop.“, in: https://www.solarium.gov/
  3. [3] Siehe: Final Report of the US Cyberspace Solarium Commission, Washington, 12. März 2020, Executive Summar, Roll Up of Recommendations: „PILLAR 1: REFORM THE U.S. GOVERNMENT’S STRUCTURE AND ORGANIZATION FOR CYBERSPACE; 1.1: Issue an Updated National Cyber Strategy; 1.2: Create House Permanent Select and Senate Select Committees on Cybersecurity, 1.3: Establish a National Cyber Director, 1.4: Strengthen the Cybersecurity and Infrastructure Security Agency, 1.5: Diversify and Strengthen the Federal Cyberspace Workforce; PILLAR 2: STRENGTHEN NORMS AND NON-MILITARY TOOLS, 2.1: Create a Cyber Bureau and Assistant Secretary at the U.S. Department of State; PILLAR 3: PROMOTE NATIONAL RESILIENCE, 3.1: Codify Sector-specific Agencies into Law as “Sector Risk Management Agencies” and Strengthen Their Ability to Manage Critical Infrastructure Risk; 3.2: Develop and Maintain Continuity of the Economy Planning, 3.3: Codify a “Cyber State of Distress” Tied to a “Cyber Response and Recovery Fund”Enabling Recommendation 3.4: Improve the Structure and Enhance Funding of the Election Assistance Commission, 3.5: Build Societal Resilience to Foreign Malign Cyber-Enabled Information Operations; PILLAR 4: RESHAPE THE CYBER ECOSYSTEM TOWARD GREATER SECURITY, 4.1: Establish and Fund a National Cybersecurity Certification and Labeling Authority; 4.2: Establish Liability for Final Goods Assemblers; 4.3: Establish a Bureau of Cyber Statistics; 4.4: Resource a Federally Funded Research and Development Center to Develop Cybersecurity Insurance Certifications; 4.5: Develop a Cloud Security Certification; 4.6: Develop and Implement an Information and Communications Technology Industrial Base Strategy; 4.7: Pass a National Data Security and Privacy Protection Law; PILLAR 5: OPERATIONALIZE CYBERSECURITY COLLABORATION WITH THE PRIVATE SECTOR; 5.1: Codify the Concept of “Systemically Important Critical Infrastructure”; 5.2: Establish and Fund a Joint Collaborative Environment for Sharing and Fusing Threat Information; 5.3: Strengthen an Integrated Cyber Center within CISA and Promote the Integration of Federal Cyber Centers; 5.4: Establish a Joint Cyber Planning Cell under the Cybersecurity and Infrastructure Security Agency; PILLAR 6: PRESERVE AND EMPLOY THE MILITARY INSTRUMENT OF POWER; 6.1: Direct the Department of Defense to Conduct a Force Structure Assessment of the Cyber Mission Force; 6.2: Conduct a Cybersecurity Vulnerability Assessment of All Segments of the NC3 and NLCC Systems and Continually Assess Weapon Systems’ Cyber Vulnerabilities; in: https://www.solarium.gov/