zurück zur Übersicht

IT-Sicherheit stärken, Freiheit erhalten, Frieden sichern

12. November 2018

IT-Sicherheit stärken, Freiheit erhalten, Frieden sichern

Foto: piick | Shutterstock

Dringend gefordert: Maßnahmen zum Schutz unserer digitalen Infrastrukturen und privater Kommunikation

Von Konstantin von Notz

Vor einigen Monaten gelang es Hackern, in das hochgesicherte Netz des Bundes einzudringen und sich darin mindestens ein halbes Jahr unentdeckt zu bewegen. Dabei wurde das Netzwerk des Bundes von der Bundesregierung nach einem ähnlich verheerenden Angriff auf den Deutschen Bundestag als eines der sichersten Netze überhaupt gepriesen. Der Angriff kann nicht als singuläres Ereignis betrachtet werden. Er reiht sich in eine ganze Kette vergleichbarer Attacken auf digitale Infrastrukturen und IT-Systeme ein, die von Staaten, öffentlichen Einrichtungen, Unternehmen und Privatpersonen genutzt werden. Deutlich wurde erneut: Insgesamt steht es schlecht um die IT-Sicherheit in Deutschland.

Seit Jahren weisen wir darauf hin, dass in unserer zunehmend vernetzten Welt auch die Bundesregierung in der Pflicht steht, einen hohen Schutz von Netzen, IT-Systemen und privater Kommunikation zu garantieren. Eine solche Schutzverpflichtung lässt sich, darauf haben Verfassungsrechtler wiederholt hingewiesen, direkt aus unserem Grundgesetz ableiten.

Dennoch wird die Bundesregierung dieser Schutzverantwortung bis heute nicht gerecht. Dies ist insofern auch vollkommen unverständlich, als dass Vertrauen in gute IT-Sicherheit und die Privatheit von Kommunikation nicht nur die Voraussetzung für die gemeinwohlorientierte Gestaltung der Digitalisierung, sondern auch für die Akzeptanz in neue digitale Angebote und E-Government ist.

Maßnahmen unzureichend

Die bisherigen Maßnahmen der Bundesregierung zum Schutz der IT-Sicherheit sind absolut unzureichend: Erst wurde die IT-Sicherheit über Jahre der Selbstregulierung der Wirtschaft überlassen. Dann wurde von der letzten großen Koalition ein IT-Sicherheitsgesetz verabschiedet, das seinen Namen kaum verdient. Insgesamt bleibt die IT-Sicherheitspolitik der Bundesregierung höchst widersprüchlich. Um nur ein Beispiel zu nennen: Ob man Verschlüsselung nun politisch unterstützen oder mit neuen Behörden wie ZITIS lieber flächendeckend brechen will, man scheint es selbst nicht genau zu wissen.

Im Bereich der IT-Sicherheit irrlichtert die Bundesregierung orientierungslos durch den digitalen Raum. Erst vor wenigen Wochen musste sie erneut einräumen, dass sie auf zentrale, verfassungsrechtlich heikle Fragen auch weiterhin keine Antworten hat. Dies gilt u.a. für weiterhin hochumstrittene „Hackbacks“, also offensive Gegenschläge, aber auch den staatlichen Umgang mit IT-Sicherheitslücken.

Rechtliche Klarstellungen sind seit Jahren überfällig, werden aber bewusst verschleppt. Dies ist schlecht für die Rechtssicherheit von Unternehmen und die Akzeptanz digitaler Innovationen. Zudem gefährdet es Grundrechte und bestärkt Staaten wie China, denen man so ganz gewiss kein Entgegenkommen bei gerade gescheiterten, aber weiterhin dringend benötigten neuen Abkommen, beispielsweise zur Ächtung von Cyberwaffen im Rahmen von UN-Verhandlungen, abringen kann.

Militarisierung

Dennoch treiben derzeit vor allem Ursula von der Leyen und Horst Seehofer die Militarisierung des digitalen Raums weiter voran und schaffen gänzlich neue Gefahren. Der Name der neuen „Agentur für Innovationen in der Cybersicherheit“ ist reiner Etikettenschwindel. Diese Agentur würde die IT-Sicherheit ganz bestimmt nicht erhöhen, sondern zusätzlich gefährden – und zwar massiv.

Die Pläne für die neue Cyberagentur könnten unausgegorener kaum sein. Was sie eigentlich leisten, auf welcher Rechtsgrundlage sie arbeiten soll oder wie eine Abgrenzung zu – ebenfalls höchst umstrittenen – Einrichtungen wie ZITIS aussehen soll – all das weiß die Bundesregierung scheinbar selbst nicht. Eine Abstimmung mit anderen Ministerien, beispielsweise dem Auswärtigen Amt, das seit Jahren eine dezidiert andere Politik verfolgt und dessen internationale Bemühungen zur Verbesserung der IT-Sicherheit so massiv torpediert werden, fand scheinbar nicht statt. Aus gutem Grund haben sich auch Abgeordnete aus den regierungstragenden Fraktionen öffentlich gegen die unausgegorenen und die IT-Sicherheit gefährdenden Pläne ausgesprochen. Geholfen hat es nichts. Knappe Ressourcen. Die Bundesregierung muss endlich umsteuern. Statt die Eskalationsspirale im digitalen Raum weiter zu befördern, muss sie eine echte Kehrtwende im Bereich der IT-Sicherheit vornehmen. Auch vor dem Hintergrund, dass es eine beinahe irrwitzige Annahme ist, ein cyberpolitisches Wettrüsten gegen Staaten wie Nordkorea, China und Russland gewinnen zu können, sollten sich die wenigen zur Verfügung stehenden Ressourcen auf die notwendige Härtung und den Schutz digitaler Infrastrukturen konzentrieren. Die Bundesregierung muss sich gemeinsam mit ihren Verbündeten für neue internationale Regelungen und Kontrollregime engagieren. Genau wie die Ächtung von Antipersonenminen brauchen wir auch die Ächtung bestimmter Praktiken der Cyberkriegsführung und -technologien. Nur das sorgt langfristig für Sicherheit und Freiheit im digitalen Raum. Offensive Operationen und sogenannte „Hackbacks“, der staatliche Ankauf, das Offenhalten und die weitere Nutzung von bislang nicht öffentlich bekannten Sicherheitslücken („Zero-Day-Exploits“) sowie Überlegungen einer gesetzlichen Verpflichtung für Unternehmen, Hintertüren in Hard- und Software zu verbauen, sind konsequent abzulehnen. Sicherheitslücken müssen schnellstmöglich im Zusammenspiel staatlicher und privater Akteure geschlossen und der Öffentlichkeit bekannt gemacht werden.

Anlasslose Massendatenspeicherungen ohne erwiesenen sicherheitspolitischen Mehrwert und zulasten von Grundrechten sind auch weiterhin abzulehnen. Zudem brauchen wir, will man an diesen Instrumenten festhalten, endlich zumindest klare Rechtsgrundlagen für den Einsatz von Quellen-Telekommunikationsüberwachung und die Online-Durchsuchung. Diese fehlen bis heute.

Zitat Massendatenspeicherung

Foto: piick | Shutterstock

Maßnahmenbündel

Der Staat hat für die Vertraulichkeit und Integrität informationstechnischer Systeme zu sorgen und das Grundrecht auf Privatheit der Kommunikation zu wahren und auszubauen. Damit die Bundesregierung dieser weiterhin drängenden Aufgabe endlich tatsächlich nachkommt, haben wir einen umfassenden Katalog mit 25 Maßnahmen zur Erhöhung der IT-Sicherheit vorgelegt.

Wir fordern die Bundesregierung u.a. auf, schnellstmöglich ein neues IT-Sicherheitsgesetz vorzulegen, das seinen Namen tatsächlich verdient, sehr viel breiter ansetzt und Anreize für proaktive Investitionen in gute IT-Sicherheitslösungen schafft. Auch die weiterhin mangelnde Koordinierung und ungeklärte Zuständigkeiten muss die Bundesregierung endlich auflösen.

Weiterhin scheint es notwendig, die Verantwortung für IT-Sicherheit aus dem Bundesinnenministerium herauszulösen. Zu groß sind die Interessenkonflikte, beispielsweise bezüglich des notwendigen Schutzes digitaler Infrastrukturen und privater Kommunikation und der weiterhin extrem hohen Begehrlichkeiten der Sicherheitsbehörden, die ein „going dark“ um jeden Preis verhindern wollen. Ein solcher Anspruch ist sicherheitspolitisch eventuell verständlich, aus einer rechtsund demokratiepolitischen Perspektive jedoch abzulehnen. Denn einen solchen Anspruch, in jedweden Kommunikationsvorgang schauen zu können, kennen wir bislang nur aus autoritären und totalitären Staaten wie China. Statt eines auf die Allgemeinheit und die Schwächung der IT-Sicherheit insgesamt abzielenden Ansatzes brauchen wir eine zielgerichtete, polizeiliche Abwehr konkreter Gefahren auf klaren Rechtsgrundlagen. Das ist die Erkenntnis der letzten Jahre.

Auch das Bundesamt für die Sicherheit in der Informationstechnik (BSI) ist noch immer dem Innenministerium unterstellt. Wie zuvor die Bundesdatenschutzbeauftragte (BfDI) wollen wir es aus dem Verantwortungsbereich des BMI herauslösen. Nur so kann es eine unabhängige Beratung tatsächlich leisten. Ferner machen wir uns dafür stark, dass die bestehenden Aufsichtsstrukturen sehr viel besser ausgestattet werden.

Unterstützung der Wirtschaft

Einseitige Abhängigkeiten von wenigen IT-Dienstleistern, deren Software nicht überprüfbar ist, muss behoben und der Einsatz und die hohe Qualität von quelloffener Software politisch stärker unterstützt werden. Bei allen E-Government- Angeboten sind beste IT-Sicherheitslösungen auf dem neuesten Stand der Technik, wie zum Beispiel durchgehende Ende-zu-Ende-Verschlüsselungen, zum Standard zu machen. Dabei müssen Datenschutz und IT-Sicherheit zwingend zusammen gedacht werden. Mit Zertifizierungen sollen Anreize geschaffen werden, in gute und sichere IT-Lösungen, insbesondere beim „Internet der Dinge“ (IoT), zu investieren. Kleinere und mittlere Unternehmen müssen bei sicherheitstechnischen Herausforderungen durch ein dezentrales und unabhängiges IT-Beratungsnetzwerk unterstützt werden. Haftungsanreize für alle in der IT-Kette verantwortlichen Stellen wollen wir stärken und Anbieter zur Bereitstellung von Sicherheits-Updates verpflichten.

Diese und weitere Maßnahmen zum Schutz unserer digitalen Infrastrukturen und unserer privaten Kommunikation sind überfällig. Die Bundesregierung muss sie endlich umsetzen – zumindest, wenn sie sich nicht weiter vorhalten lassen will, selbst eine Gefahr für die IT-Sicherheit darzustellen, und sie ihre eigenen Sonntagsreden zum notwendigen Grundrechtsschutz im Digitalen ernst nimmt.

nächster Beitrag

Der Autor

Dr. Konstantin von Notz

Dr. Konstantin von Notz

Foto: von-notz.de

ist stellvertretender Fraktionsvorsitzender von Bündnis 90/Die Grünen und netzpolitischer Sprecher seiner Fraktion.

nach Oben