In 24 Vorträgen, 11 Postersessions und 6 Diskussionsrunden bekamen die rund 250 Teilnehmenden der zweitägigen Veranstaltung viel Input geboten. Das Maritim Hotel im alten Bonner Regierungsviertel bot mit dem Beethovensaal eine geeignete Kulisse für die fachlich anspruchsvolle Konferenz. Nach der Begrüßung des Veranstalters – Geschäftsführer der DWT, Oberst a. D. Bernd Kögel – folgten drei Kurzvorträge, um sich auf das übergeordnete Thema einzustimmen. Generalmajor Dr. Michael Färber vom Kommando Cyber- und Informationsraum berichtete vom Aufbau einer Multi-Cloud der Bundeswehr, Dr. Gerhard Schabhüser, Vizepräsident des BSI, brachte die Sichtweise seiner Behörde zum Thema Sicherheit in der Cloud ein und BWI-CDO Dr. Christian Marwitz ging auf der Cyber Defence Conference 2023 der Frage nach, wie maximale Sicherheit und Resilienz realisiert werden könne.

„Die Cloud als sichere Plattform ist machbar.“

„Es gibt keine absolute Sicherheit“, stellte Dr. Marwitz in seiner Key Note auf der Cyber Defence Conference 2023 fest, „selbst wenn wir alle Dinge wieder auf Papier schreiben und einschließen würden.“ Schließlich könne auch von innen eine undichte Stelle im Sicherheitsgefüge entstehen – egal ob an der Tür zum Aktenschrank oder in der Cloud. Bei der Entwicklung der pCloudBw, für die das BWI derzeit zuständig ist, gehe es also darum, die Hürden so hoch wie möglich zu setzen. Neben Verschlüsselungstechnologien und strikt angewandter Zero-Trust-Architektur seien das im Falle der Bundeswehr beispielsweise verlegefähige Rechenzentren ­– auch im Ausland.

Gleichzeitig müsse die pCloudBw viel leisten können: Herausfordernd sei beispielsweise die Interoperabilität, denn die Bundeswehr solle eben auch mit anderen Cloud-Initiativen auf nationaler (z. B. BMI, BMWi) und internationaler Ebene (z. B. EU, NATO) zusammenarbeiten können.

Sabine Kammerhofer von der Unternehmensberatung CGI Deutschland betrachtete die Möglichkeiten der Cloud wiederum optimistischer. Sie meinte: „Die Cloud als sichere Plattform ist machbar.“ Dazu müssten jedoch die nötigen Schritte gegangen werden. In ihrem Vortrag nannte Kammerhofer eine ganze Reihe an Maßnahmen, die für eine sichere Cloud notwendig seien. Von der Datensicherung, über Verschlüsselungen beim Überqueren von Schnittstellen bis zum eingesetzten Personal, welches ebenfalls qualifiziert werden müsse.

Grundlage ist für alle Maßnahmen der vom BSI definierte IT-Grundschutz. Im Abschnitt OPS 2.2 finden sich die gesetzlich vorgegebenen Bestimmungen. Hier zeige sich jedoch der Nachteil einer fehlenden Geschwindigkeit, den Sabine Kammerhofer in der anschließenden Podiumsdiskussion offen ansprach: „Technologie und Gesetze müssen gleichzeitig vorangetrieben werden, nicht erst die Gesetze und dann die Technologie.“

Von der Grundgesetzänderung zum Postervortrag

Auch in anderen Vorträgen wurde – teils direkt, teils indirekt – der rechtliche Rahmen beanstandet. So erinnerte Ramon Mörl von der itWatch GmbH beispielsweise daran, dass sogenannte Hackbacks, bei denen während eines laufenden Cyberangriffs auf den angreifenden Server eingewirkt wird, um den Angriff abzuwehren, verfassungswidrig seien. Das stimmt nur bedingt, denn nach einer Einzelfallprüfung, bei der die Verhältnismäßigkeit in Bezug auf Art. 26 GG geprüft werden muss, sind sie theoretisch möglich. Eine solche Prüfung würde jedoch zu viel Zeit kosten. Somit ist der Wunsch nach eindeutiger Legalisierung von Hackbacks verständlich. Schließlich sollte „nicht nur auf Linie verteidigt werden“, so Mörl.

Die anderen Vorträge auf der Cyber Defence Conference 2023 der DWT konzentrierten sich wieder stärker auf das übergeordnete Thema Cloud. Es wurde beispielsweise die Frage diskutiert, ob eigene Software-Lösungen sinnvoller seien als die Benutzung von bereits bestehenden Angeboten der Hyperscaler.