Aufgaben, parlamentarische Kontrolle und Kooperationen der Cyberagentur des Bundesministeriums des Innern, für Bau und Heimat und des Bundesministeriums der Verteidigung
der Abgeordneten Jimmy Schulz, Frank Sitta, Manuel Höferlin, Grigorios Aggelidis, Renata Alt, Nicole Bauer, Jens Beeck, Mario Brandenburg (Südpfalz), Dr. Marco Buschmann, Dr. Marcus Faber, Daniel Föst, Otto Fricke, Thomas Hacker, Katrin Helling-Plahr, Markus Herbrand, Torsten Herbst, Katja Hessel, Dr. Christoph Hoffmann, Reinhard Houben, Ulla Ihnen, Olaf in der Beek, Gyde Jensen, Dr. Christian Jung, Thomas L. Kemmerich, Dr. Marcel Klinge, Daniela Kluckert, Pascal Kober, Carina Konrad, Konstantin Kuhle, Alexander Graf Lambsdorff, Ulrich Lechte, Christoph Meyer, Roman Müller-Böhm, Dr. Martin Neumann, Dr. Wieland Schinnenburg, Judith Skudelny, Bettina Stark-Watzinger, Dr. Marie-Agnes Strack-Zimmermann, Benjamin Strasser, Linda Teuteberg, Michael Theurer, Stephan Thomae, Dr. Florian Toncar, Gerald Ullrich und der Fraktion der FDP
Vorbemerkung
Am 29. August 2018 beschloss das Bundeskabinett die Gründung einer neuen Agentur für Innovation in der Cybersicherheit (auch genannt „Cyberagentur“), um die Forschung im Bereich Cybersicherheit zu fördern und den Wissenstransfer von der Forschung in die Praxis zu beschleunigen (siehe Pressemitteilung vom 29. August 2018, www.bmvg.de/de/aktuelles/bundeskabinett-beschliesst-cyberagentur-27392). Im Koalitionsvertrag zwischen CDU, CSU und SPD wurde die Bezeichnung „Agentur für Disruptive Innovationen in der Cybersicherheit und Schlüsseltechnologien“ verwendet. Im gemeinsamen Zuständigkeitsbereich des Bundesministeriums der Verteidigung (BMVg) und des Bundesministeriums des Innern, für Bau und Heimat (BMI) liegend, soll in Ergänzung zum „Cyber Innovation Hub“ (CIH) und der „Zentralen Stelle für Informationstechnik im Sicherheitsbereich“ (ZITiS) durch die neue Agentur Wagniskapital in die Förderung und Erforschung von Schlüsseltechnologien und Sprunginnovationen investiert werden. Laut dem Bundesminister des Innern, für Bau und Heimat Horst Seehofer soll Deutschland „mit der Einrichtung der Agentur […] bei der Cybersicherheit im internationalen Vergleich die Führung, aber zumindest eine Spitzenposition übernehmen“. Zudem dürfe die Bundesregierung nicht zusehen, „wenn der Einsatz sensibler Informationstechnik mit hoher Sicherheitsrelevanz in Deutschland von Drittstaaten kontrolliert wird“ (siehe www.bmi.bund.de/SharedDocs/kurzmeldungen/DE/2018/08/cyberagentur.html).
Die Agenturgründung wird aus der Überzeugung angestrebt, dass die traditionelle deutsche Forschungslandschaft „zu langsam“ sei und Deutschland eine entsprechende Behörde benötige, um die digitale Souveränität zu wahren. Zusätzlich steigt laut den Bundesministern die Vulnerabilität der deutschen Zivilgesellschaft, insbesondere im digitalen Cyberspace. Nach Vorbild der US-amerikanischen Forschungseinrichtung DARPA (Defense Advanced Research Projects Agency) soll u. a. durch kurze Entscheidungswege das Fundament der exzellenten Grundlagenforschung Deutschlands genutzt werden, um entsprechende Schlüsseltechnologien und Sprunginnovationen in der IT-Sicherheitstechnik für die innere und äußere Sicherheit gezielt zu fördern.
Um dieses Ziel zu erreichen hat sich die Bundesregierung dazu entschlossen, die neue Cyberagentur als sog. Inhouse-Gesellschaft, eine GmbH in Verantwortung von BMI und BMVg, zu gründen (www.bmvg.de/de/aktuelles/technologie-souveraenitaet-erlangen-die-neue-cyberagentur-27996). Die gewählte Rechtsform wirft Fragen bezüglich einer parlamentarischen Kontrolle oder Transparenzpflichten gegenüber der Öffentlichkeit auf.
Wir fragen die Bundesregierung:
Fragen27
Was ist die konkrete Aufgabenstellung und Zielsetzung der neuen Cyberagentur im Bereich staatliches Schwachstellenmanagement, Technologieentwicklung, offensive Technologien und defensive Technologien (bitte für jeden Bereich die Aufgaben und Zielsetzungen separat auflisten)?
Was ist aus Sicht der Bundesregierung eine bahnbrechende technologische Neuheit? Was charakterisiert eine solche Technologie?
Für welche Bundesministerien, für welche den Bundesministerien nachgeordneten Behörden und sonstige staatlichen Stellen ist die Verwendung von Software oder Technologien, an deren Ankauf oder Entwicklung die Cyberagentur mitgewirkt hat oder mitwirken soll, vorgesehen?
Auf welche Weise kooperiert die Cyberagentur mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI)?
Auf welche Weise kooperiert die Cyberagentur mit den Inlands- und Auslandsgeheimdiensten?
Auf welche Weise kooperiert die Cyberagentur mit Landes- und Bundespolizeibehörden?
Bestehen zwischen dem Aufgabenbereich der Cyberagentur und der Zentralen Stelle für Informationstechnik im Sicherheitsbereich (ZITiS) Überschneidungen? Wenn ja, in welchen Bereichen? Wenn nein, wie werden die einzelnen Aufgabenbereiche voneinander abgegrenzt?
Wie unterscheiden sich die Aufgaben der Cyberagentur von den Aufgaben des Forschungsinstituts Cyber Defence CODE, welches im Auftrag der Bundeswehr ebenso im Bereich der Cybersicherheit Forschung durchführt?
Wie unterscheiden sich die Aufgaben der Cyberagentur von den Aufgaben des Cyber Innovation Hub, welcher als Teil des BMVg ebenso wie die Cyberagentur im Bereich der Cybersicherheit mit Start-ups kooperiert?
Welcher Austausch und welche Kooperationskanäle sind zwischen der neuen Cyberagentur und anderen, bereits bestehenden Einrichtungen wie insbesondere ZITiS, CODE, dem Cyber Innovation Hub und der Agentur zur Förderung von Sprunginnovationen im Geschäftsbereich des Bundesministeriums für Bildung und Forschung, zur Vermeidung von doppelter Arbeit, vorgesehen?
Mit welchen deutschen Behörden und Institutionen, außer den in den Fragen 4 bis 10 genannten, soll die Cyberagentur auf welche Weise kooperieren? Hat eine Kooperation bereits stattgefunden, oder ist diese bisher nur geplant (bitte auflisten)?
Mit welchen europäischen Behörden soll die Cyberagentur auf welche Weise kooperieren? Hat eine Kooperation bereits stattgefunden, oder ist diese bisher nur geplant (bitte auflisten)?
Mit welchen Behörden, Organisationen oder Unternehmen außerhalb Europas soll die Cyberagentur auf welche Weise kooperieren? Hat eine Kooperation bereits stattgefunden, oder ist diese bisher nur geplant (bitte auflisten)?
Wie unterscheidet sich der Aufgabenbereich der Cyberagentur von den Aufgaben der staatlich finanzierten Forschungszentren Center for IT-Security, Privacy and Accountability (CISPA), dem Nationalen Forschungszentrum für angewandte Cybersicherheit (CRISP) und dem Kompetenzzentrum für angewandte Sicherheitstechnologie (KASTEL), die ebenso im Bereich der Cybersicherheit Forschung betreiben?
Wer koordiniert die Forschungsvorhaben und Initiativen übergreifend zwischen CODE, CISPA, CRISP, KASTEL und der Cyberagentur?
Welche Kontrollmöglichkeiten besitzen die deutschen Parlamente (Länder und Bund) gegenüber der Cyberagentur? Wie wird durch die gewählte Unternehmensform (GmbH) eine parlamentarische Kontrollmöglichkeit realisiert?
Welche Informations- und Transparenzpflichten bestehen seitens der Cyberagentur gegenüber den Parlamenten (Länder und Bund)?
Inwieweit ist der Bundesminister für besondere Aufgaben und Chef des Bundeskanzleramtes Prof. Dr. Helge Braun in die Entscheidungsprozesse der Cyberagentur eingebunden?
Inwieweit ist die Staatsministerin für Digitalisierung bei der Bundeskanzlerin Dorothee Bär in die Entscheidungsprozesse der Cyberagentur eingebunden?
Mit welchen Unternehmen haben sich Vertreter der Cyberagentur seit Gründung ausgetauscht?
Welche (Software-)Produkte, Innovationen oder Unternehmensanteile hat die Cyberagentur seit Gründung im Sinne ihrer Aufgabenbeschreibung konkret erworben bzw. gefördert?
Anhand welcher Kriterien wählt die Cyberagentur ihre Projekte zur Förderung aus?
Ist ein Controlling bzw. Evaluationsmechanismus für die weitere Förderung von Projekten vorgesehen? Wann stellt die Cyberagentur die Förderung für Projekte ein? Nach welchen Kriterien werden Projekte eingestellt?
Über welche Mittel zur Erfolgskontrolle der geförderten Projekte der Cyberagentur verfügen BMI und BMVg?
Wie will die Bundesregierung die Vereinbarkeit zwischen der Gewährung eines wirtschaftlichen und wissenschaftlichen Freiraums, in dem sich die Cyberagentur bewegen soll, und den vorhandenen gesetzlichen Grenzen herstellen bzw. sicherstellen?
Gehört es zu den Aufgaben der Cyberagentur, offensive Wirkmittel für den Cyberraum zu fördern, zu erforschen, zu akquirieren oder für das BMI oder das BMVg oder nachgeordnete Stellen bereitzustellen?
Da die Bundesregierung in ihrer Vorbemerkung auf Bundestagsdrucksache 19/2645 schreibt, dass rechtliche Prüfungen zum Einsatz von aktiver Cyberabwehr nicht abgeschlossen sind, offene Fragestellungen bestehen und gesetzgeberischer Handlungsbedarf besteht,
a) sind diese Prüfungen inzwischen abgeschlossen?
b) Wie lautet das Ergebnis dieser Prüfung?
c) Wenn nein, welche Maßnahmen hat die Bundesregierung ergriffen damit die Cyberagentur keine Investitionen in Forschung in diesem Bereich tätigt, deren Folgeprodukt aufgrund der andauernden rechtlichen Prüfungen nicht einsetzbar ist?