In der vergangenen Sitzungswoche debattierte Deutsche Bundestag unter anderem über den von der Bundesregierung vorgelegten „Gesetzesentwurf zur Umsetzung der Richtlinie (EU) 2016/1148 des Europäischen Parlaments und des Rates vom 6. Juli 2016 über Maßnahmen zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz und Informationssystemen in der Union“ (pdf).Hierbei handelt es sich um die Umsetzung der europäischen NIS-Richtlinie. An dieser Stelle dokumentieren wir meine Protokollrede. Wie immer gilt: Über Kritik und Anmerkungen freue ich mich.
Rede zur Sicherheit von Netz- und Informationssystemen, TOP 23, 27.04.2017
Sehr geehrter Herr Präsident,
liebe Kolleginnen und Kollegen,
sehr geehrte Damen und Herren,nahezu wöchentlich häufen sich die Meldungen über Hacking-Angriffe auf den Bundestag, auf kleinere und größere Unternehmen mit teils umfangreichen Kundendatenbanken, auf Krankenhäuser oder auch immer öfter auf vernetzte Geräte in Küche und Kinderzimmer: All das macht deutlich, dass die Sicherheit im Digitalen zu einer zentralen Herausforderung unserer Infrastrukturen und Kommunikationssysteme geworden ist und zwar in so gut wie jedem Lebens-, Gesellschafts- und Wirtschaftsbereich.
Angesichts dieser vielfachen systemischen Risiken in einer immer vernetzteren Welt besteht ein enormer Handlungsdruck. Scheinbar simple Programmier- und Konfigurationsfehler in Produkten, bei Diensten und Dienstleistungen können weitreichende Folgen für die gesamte Bevölkerung haben. Potenziell jedes System kann von staatlichen wie nichtstaatlichen Akteuren gehackt und zum Ziel von Überwachung, Kriminalität oder militärischen Strategien werden. Die Sicherheit im Digitalen ist somit heute eine wesentliche Bedingung unserer grundrechtlichen Freiheiten, unserer verfassungsrechtlichen Ordnung sowie der völkerrechtlichen Friedensordnung.
IT-Sicherheit geht mithin uns alle an, der entsprechende Schutz steht uns allen zu – und nicht nur kritischen Infrastrukturen und strategischen Zielen. Zu oft wird die Debatte um „Cyberwar“ auf militärische Eskalationsszenarien und kritische Infrastrukturen verengt. Gerade hier darf die Verantwortung zum Selbstschutz nicht allein auf die einfachen Endnutzerinnen und -nutzer oder auch die kleinen und mittelständischen Unternehmen abgewälzt werden. Dem Staat kommt eine direkt aus unserer Verfassung abzuleitende Schutzverantwortung zu. Vielmehr ist daher ein ganzheitlicher Ansatz insbesondere auch auf europäischer und internationaler Ebene gefragt.
Vielleicht sollte sich die Bundesregierung anlässlich des gestrigen Hochamts auf ihre Digitale Agenda einmal an das eigene Versprechen, Deutschland zum Verschlüsselungsland Nummer 1“ zu machen, besinnen – denn genau das wäre eine solche grundlegende Maßnahme, die Sicherheit im Digitalen effektiv für alle anzugehen. Stattdessen ergingen Sie sich während der vergangenen Jahre vornehmlich in Sonntagsreden, nur um dann in eine Art aktionistischen Schweinsgalopp zu verfallen: Ihre immer neuen hochtrabendenden „Strategien“ von wenig Substanz und umso kürzerer Lebensdauer wirken planlos und wenig koordiniert: Man denke nur an das Cyberabwehrzentrum, die fragwürdigen Hacking-Pläne im ZITiS oder zuletzt gar eine private „Cyberwehr“. Zum überhasteten nationalen Alleingang mit dem IT-Sicherheitsgesetz komme ich noch im Folgenden.
Anstatt aus den Snowden-Enthüllungen gerade mit Blick auf die Sicherheit im Digitalen die eigentlich ja offensichtlich zwingenden Konsequenzen zu ziehen, mussten wir viel eher ein Rollback der Massenüberwachung erleben: Mit dem BND-Gesetz wurde diese Praxis schlichtweg nachträglich legalisiert. Unkontrollierte Massenüberwachung gefährdet nicht nur unsere Grundrechte, sie gefährdet auch immer unsere Sicherheit im Digitalen. Umso bezeichnender ist nun, dass Sie dem staatlichen und militärischen Aufrüsten im Digitalen das Wort reden. Weiterhin halten staatliche Stellen Sicherheitslücken für ihre Überwachungszwecke offen, kaufen gar entsprechendes Wissen auf – anstatt diese zugunsten der Allgemeinheit umgehend bekannt zu geben und zu schließen.
Es ist diese Ambivalenz in der Frage der Sicherheit im Digitalen, die leider die noch so überfälligen und in vielem richtigen Ansätze der nun vorliegenden NIS-Umsetzung konterkarieren. Und genau dieses staatliche Überwachungsinteresse überschattet auch die Arbeit des Bundesamts für Sicherheit in der Informationstechnik. Solange dieses am langen Arm des Innenministers bleibt, wird es bei noch so guter Arbeit kein vertrauenswürdiger, weil unabhängiger und allein der IT-Sicherheit verpflichteter Akteur werden können. Die weit hinter den Erwartungen gebliebenen Meldezahlen zu erfassten Anlagen bzw. Störfällen in jenen Sektoren, die bereits nach dem IT-Sicherheitsgesetz meldepflichtig sind, sprechen hier Bände. Und umso problematischer sind in der vorliegenden NIS-Umsetzung die schwammigen Datenschutz-Vorgaben für die nun noch erweiterten Eingriffsbefugnisse der BSI-Response Teams. Gerade in einem so sensiblen Bereich wie den kritischen Infrastrukturen stellt sich hier die Frage nach Datenschutz und Fernmeldegeheimnis zumal bei personenbezogenen Daten in verschärfter Form.
A propos IT-Sicherheitsgesetz: Obwohl bereits 2015 absehbar war, dass in Bälde mit der NIS-Richtlinie eine weitergehende Harmonisierung ganz sinnvollerweise auf europäischer Ebene ansteht, mussten Sie entgegen aller Warnungen partout noch mit einem nationalen Schnellschuss vorpreschen.
Immerhin wurde nun dank Brüssel mit den verschärften Melde- und Auditpflichten auch jene Störfälle erfasst, die wegen ihrer potentiellen System- und Ausfallrelevanz so sensibel sind und auch die entsprechenden ursächlichen Störungsfälle in Gänze meldepflichtig gemacht. Studien zeigen, dass Sicherheitsbeauftragte solcher Infrastrukturen systematisch das eigene Angriffsrisiko unterschätzen – umfassende Kontroll- und Meldepflicht sind hier dringend angebracht, wie auch ein abgestimmtes Verfahren bei den ja allzu oft länderübergreifenden Störfällen. Hingegen werden Sie bei den digitalen Diensten mit Ihrer rein formalen Umsetzung ein Dickicht überlappender Regelungen schaffen – Rechtssicherheit stellt man so nicht her in diesem Bereich. Zudem wird interessanterweise just in eigener Sache nämlich bei der Nutzung von Cloud-Angeboten durch die öffentliche Verwaltung eine Ausnahme gemacht.
Und leider haben die Koalitionsfraktionen mit ihrer Änderung einer TKG-Erweiterung kurz vor Ausschusssitzung eine gravierende Verschlimmbesserung eingebaut. Es ist ja löblich, wenn Sie mit Blick auf die schon nach geltender Rechtslage weitreichenden Eingriffsrechte der Anbieter zur Störungsabwehr eine Präzisierung vornehmen wollen. Nur sorgen Sie mit dem rechtlich unbestimmten Begriff der Steuerdaten eher für mehr Sorgen vor einer Deep Packet Inspection durch die Hintertür, die eben nicht trennscharf von Kommunikationsinhalten erfolgt. Spätestens seit der parlamentarischen Aufklärung der massenhaften Geheimdienstüberwachung sollten wir doch wissen, welchen Aussagewert eben gerade jene Verbindungsdaten z.B. aus entsprechenden Protokolldaten haben. Daher haben wir hierzu im Ausschuss wie auch jetzt im Plenum klar nein gesagt.
Auch diese an sich überfällige aber leider unentschlossen umgesetzte und zu wenig abgestimmte Reform wird an der Grundsatzproblematik nichts ändern: Solange die Bundesregierung aufgrund eigener Überwachungsinteressen wie auch aufgrund des Lobbydrucks in der Regulierungs- und Haftungsfrage weiterhin so ambivalent bleibt und einen umfassend-entschlossenen Ansatz scheut, steht es schlecht bestellt um die Sicherheit im Digitalen von uns allen.
Vielen Dank!
Comments are closed