Hacking the State: Fortschritte, Kritik und was die Federal Cybersecurity Agency zur nationalen Strategie sagt
Ein Bericht , der verschiedene Cybersicherheitsrichtlinien in Lateinamerika vergleicht, hebt hervor, dass in Argentinien „die Strategien zwar gut definiert sind, ihre Umsetzung jedoch aufgrund fehlender technischer und personeller Ressourcen mit Herausforderungen verbunden ist“. Darüber hinaus bestehen Zweifel hinsichtlich eines im vergangenen Monat eingeführten Präsidialerlasses , der der Federal Cybersecurity Agency (AFC) mehr Macht verleiht. Die AFC ist eine Einrichtung, die im Juli 2024 im Umfeld des State Intelligence Secretariat (SIDE) gegründet wird .
Der von der Nichtregierungsorganisation Derechos Digitales veröffentlichte Bericht untersucht chronologisch die in Lateinamerika verabschiedeten öffentlichen Maßnahmen zur Cybersicherheit. Einer der bedeutendsten Schritte wurde von Chile im März 2024 mit der Verabschiedung des Rahmengesetzes über Cybersicherheit und kritische Informationsinfrastruktur unternommen.
Die Analyse des argentinischen Falls dreht sich um die sogenannte Zweite Cybersicherheitsstrategie , die im September 2023 verabschiedet wurde. „Die kürzlich durch das Dekret 274/2025 eingeführte Änderung, die die Cyber-Governance nach der Gründung der AFC modifiziert, erzeugt Unsicherheit über die Kontinuität des rechtebasierten Ansatzes bei der Umsetzung der Strategie durch diese Einrichtung“, sagte Juan Carlos Lara, Co-Geschäftsführer der NGO und Autor der Studie, gegenüber Clarín .
„Während der Inhalt der Strategie einen normativen und diskursiven Fortschritt darstellt, bestehen weiterhin erhebliche Zweifel hinsichtlich ihrer praktischen Umsetzung. Darüber hinaus teilen wir die von argentinischen Organisationen nach der Gründung des AFC geäußerten Bedenken, insbesondere hinsichtlich seiner Kontrollbefugnisse “, fügte er hinzu.
Informationssicherheit und Hacking sind in Argentinien kein kleines Problem. Im Einklang mit der weltweiten Zunahme von Cyberangriffen und der Professionalisierung von Gruppen , die mit der Infrastruktur einer kriminellen Organisation operieren, genügt es, sich an einige Hackerangriffe der letzten Jahre zu erinnern: Die Nationale Migrationsdirektion , der Senat der Nation , PAMI und die Nationale Wertpapierkommission wurden Opfer verschiedener Varianten von Ransomware , einer Schadsoftware, die Informationen verschlüsselt, um sie unzugänglich zu machen und im Gegenzug ein Lösegeld zu verlangen.
Letztes Jahr wurde die gesamte Renaper-Datenbank geleakt , wodurch Daten von Millionen Argentiniern sowie Fotos von Führerscheinen offengelegt wurden, die schließlich auf einem Telegram-Kanal zum Verkauf angeboten wurden – um nur zwei Fälle mit Medienecho zu nennen.
Santiago Caputo, Architekt des neuen Geheimdienstsekretariats. Foto: Emmanuel Fernández
Neben der AFC gab es in Argentinien bereits zwei Einheiten, die Teil der Struktur zum Schutz der digitalen Vermögenswerte des Staates sind: CERT.ar , das Team für die Reaktion auf Vorfälle und die Überwachung von Schwachstellen, und die Nationale Direktion für Cybersicherheit ( DNC ), die die Cybersicherheitsstrategie für das gesamte Gebiet koordiniert und entwirft.
„Wir sind uns bewusst, dass noch viel zu tun bleibt. Wir müssen Ressourcen investieren, um die Widerstandsfähigkeit der kritischen Infrastruktur des Staates zu verbessern und die Cybersicherheit zu erhöhen, die das ganze Land betrifft“, erklärten Beamte der Bundesagentur für Cybersicherheit gegenüber Clarín .
„Andererseits reagierte CERT.ar nicht auf Vorfälle (sie erfuhren nur von sehr wenigen relevanten Ereignissen, halfen selten bei der Wiederherstellung und führten keine Untersuchungen durch); das Cybersicherheitskomitee traf sich 2024 nicht – und selten zuvor – und es fehlte an Investitionen , was dazu führte, dass keine Kartierung kritischer Infrastrukturen und keine nationalen Sensibilisierungsmaßnahmen stattfanden“, fuhren sie fort.
Die Aussage des Digital Rights-Berichts über einen Mangel an „technischen und personellen Ressourcen“ wird von der Agentur bestätigt. Leider starteten wir letztes Jahr mit einem praktisch nullstelligen Budget. Die vorherige Regierung hatte das Budget der SIDE von seinem historischen Wert auf 25–30 % gekürzt, und dabei waren die neuen Cybersicherheitsfunktionen der AFC noch gar nicht berücksichtigt. Wir hatten weniger Budget als eine kleine Bank, um das Land zu sichern. Wir haben mit so wenig Geld weder Firewalls noch Switches [Geräte zur Steuerung und zum Schutz des Datenverkehrs] gekauft. Dieses Jahr ist es zwar leicht gestiegen, aber im Vergleich zu den Ausgaben eines multinationalen Konzerns ist es immer noch gering“, so das Fazit.
Am 16. April erlangte diese Agentur, ein Novum in unserem Land, größeren Einfluss, und dies geschah nicht ohne Kritik aus der Bevölkerung. „Argentinien hat einen Schritt gegen den Strom oder vielmehr aus der Zeit gefallen, indem es die AFC (Vereinigung des Generalstaatsanwalts) der SIDE zum Leitungsgremium für Cybersicherheitsprävention und -sicherheit ernannt und die meisten Funktionen aus dem nationalen Büro des Stabschefs entfernt hat (Dekret 274/2025)“, sagte Marcela Pallero, eine Spezialistin für Cybersicherheitsregulierung im öffentlichen Sektor, dieser Zeitung.
Andere Quellen aus der Welt der staatlichen Cybersicherheit versicherten dieser Zeitung, dass „die Entscheidung, dem AFC mehr Einfluss auf das DNC zu geben, zunächst nicht gut aufgenommen wurde “, weil das AFC „viele Funktionen“ der Direktion kopiere. Allerdings würdigen sie auch die Ausbildung innerhalb der Agentur: „Die Leute, die in diesem Bereich arbeiten, und insbesondere zwei Leute, verfügen über ein hohes Maß an technischem Können“, versicherten sie gegenüber Insidern.
„Es wird interessant sein, die Ergebnisse des aktuellen Experiments zu beobachten, wenn man bedenkt, dass die geheime Natur der SIDE-Operationen schwer mit den Prinzipien des digitalen Vertrauens vereinbar ist, die von internationalen Organisationen wie der OECD und der ECLAC und der Welt im Allgemeinen gefördert werden, insbesondere bei dringenden nationalen Fragen der digitalen Sicherheit“, warnt Pallero.
Patricia Bulrich, Ministerin für Sicherheit, mit Verteidigungsminister Luis Petri. Foto: EFE
Die Cybersicherheit im Staat steht vor denselben Problemen wie die öffentliche Verwaltung in Argentinien: unzureichende oder schlecht ausgegebene Budgets.
„Ich habe die letzten 27 Jahre dem gewidmet, was heute Cybersicherheit genannt wird, davon 15 Jahre im Staat. Es gibt ein sehr fähiges technisches Team, aber es fehlt an den notwendigen materiellen, personellen und politischen Ressourcen. Gelder werden für Lizenzen für vielversprechende „Blackbox“-Lösungen bereitgestellt, die aber Zertifizierungen und Zeit erfordern, die sich staatliche Mitarbeiter nicht leisten können“, sagte Arturo Busleiman, Cybersicherheitsspezialist bei Buanzo Consulting, gegenüber dieser Zeitung.
Andere kritisieren das Lizenzierungsverfahren: „Das Geld ist da, wird aber für proprietäre Lösungen befreundeter Unternehmen ausgegeben . Oft nehmen ehemalige Führungskräfte derselben Technologieunternehmen an den Ausschreibungen teil: Red Hat, IBM, Oracle, Microsoft, Fortinet, Cisco und andere“, sagt ein ehemaliger Auftragnehmer, der 12 Jahre lang für den Staat arbeitete und jetzt in der Privatwirtschaft tätig ist.
Im Vergleich zu Lateinamerika hinkt Argentinien ein paar Schritte hinterher , während sich die Region noch in der Anfangsphase befindet und einige Pioniere hervorbringt: „Während die Europäische Union stetige Fortschritte bei der Gesetzgebung zur Cybersicherheit und zum Schutz personenbezogener Daten erzielt, befindet sich Lateinamerika im Großen und Ganzen noch in der Phase der Ausarbeitung nationaler Richtlinien und Strategien durch die Exekutive, mit Ausnahme von Chile und El Salvador , die erst seit kurzem über ein nationales Cybersicherheitsgesetz verfügen“, sagt Pallero.
„Wir sind davon überzeugt, dass die regionale Zusammenarbeit im Bereich der Cybersicherheit nicht nur in technischer Hinsicht voranschreiten muss, sondern auch bei der Gewährleistung eines rechtebasierten Ansatzes. Dies erfordert Mechanismen zur Kapazitätsteilung und gegenseitige Unterstützung , aber auch gemeinsame Grundsätze, die den Schutz der Privatsphäre, die Meinungsfreiheit und die digitale Inklusion gewährleisten“, stimmt Lara von der NGO, die den Bericht erstellt hat, zu.
Busleiman ist überzeugt, dass neben der Gründung einer Schule auch die Einstellung qualifizierter Fachkräfte von entscheidender Bedeutung ist: „Wir müssen das Programm professionalisieren, die Budgetverteilung ändern , die drei Regierungszweige koordinieren, diejenigen einstellen, die wirklich wissen, was sie tun, und – was am wichtigsten ist – der staatlichen Politik Vorrang vor parteipolitischer Logik geben“, sagt er.
Für einige in der Community ist die Schaffung eines Leitungsgremiums für Cybersicherheit wie der AFC ein Fortschritt. In diesem Sinne hebt Digital Rights einen positiven Aspekt hervor.
„Wir von Derechos Digitales schätzen, dass Argentiniens Zweite Strategie explizit Menschenrechte, Inklusion und eine Genderperspektive beinhaltet, was sie innerhalb der Region positiv hervorhebt. Darüber hinaus sind Prozesse wie öffentliche Konsultationen und partizipative Räume wertvoll, die einen offeneren und inklusiveren Ansatz begünstigt haben, obwohl es hinsichtlich dieser Beteiligung immer noch Kritik gibt“, sagt Lara.
Die Herausforderung scheint in der Transparenz des AFC und seiner Beziehung zu den beiden anderen bestehenden Einheiten, CERT.ar und DNC, zu liegen. Dabei stellt sich die Frage, ob eine Zusammenarbeit möglich ist oder ob es sich um ein Puzzle handelt, dessen Teile aus Akronymen bestehen, die nicht zusammenpassen.
„Cybersicherheit in Lateinamerika: Nationale Strategie 2024“ analysiert die öffentlichen Cybersicherheitsrichtlinien von Argentinien, Brasilien, Chile, Kolumbien, Costa Rica, Ecuador, Guatemala, Mexiko, Nicaragua, Panama, Paraguay und der Dominikanischen Republik.
Den vollständigen Bericht können Sie unten oder unter diesem Link lesen.
Clarin
