Der jüngste IT-Angriff auf das Netz der Bundesregierung zeigt erneut, wie schlecht es um die IT-Sicherheit in unserem Land steht. Die Bundesregierung muss schnell und konsequent ihre bisherige Politik überdenken und Maßnahmen zum Schutz digitaler Infrastrukturen und privater Kommunikation ergreifen. Wir legen einen Antrag samt eines umfassenden Handlungskatalogs (pdf) vor, der am Donnerstag im Parlament diskutiert wird. Hier ein Bericht im Handelsblatt sowie ein Artikel auf den Seiten des Bundestags zu unserer Initiative.
Angreifer sind in das hochgesicherte Netz des Bundes und der Sicherheitsbehörden eingedrungen, haben sich darin mindestens ein halbes Jahr unentdeckt bewegt und sensible Dokumente aus dem Auswärtigen Amt entwendet. Das Netzwerk des Bundes galt laut der Bundesregierung als eines der sichersten. Der Angriff reiht sich in zahlreiche vergleichbare Attacken auf digitale Infrastrukturen und IT-Systemen ein, die von Staaten, öffentlichen Einrichtungen wie Krankenhäusern, Unternehmen und Privatpersonen genutzt werden. Insgesamt steht es, darauf, weisen wir seit langem hin, schlecht um die IT-Sicherheit in Deutschland. Vertrauen in die Privatheit von Kommunikation und in digitale Angebote ist die Voraussetzung für die gesellschaftliche Gestaltung der Digitalisierung und für den Erhalt von Freiheit sowie für die Sicherung von Frieden. Die Bundesregierung bleibt in der Pflicht.
Bundesregierung schlampt bei der IT-Sicherheit
Erst wurde die IT-Sicherheit über Jahre der Selbstregulierung der betroffenen Wirtschaftskreise überlassen. Dann wurde von der letzten großen Koalition ein IT-Sicherheitsgesetz verabschiedet, das nur sehr wenige kritische Infrastrukturen umfasst und lediglich auf Minimalstandards und passive Meldepflichten für Unternehmen mit zahlreichen Ausnahmen setzt. Dieser verspätete und verengte Ansatz rächt sich nun bitter. Insgesamt ist die bisherige IT-Sicherheitspolitik höchst widersprüchlich: Die letzte große Koalition richtete eine Behörde ein, die auf wackliger Rechtsgrundlage verschlüsselte Kommunikation aufbrechen soll.
Der staatliche Ankauf, das bewusste Offenhalten und die Nutzung von IT-Sicherheitslücken („Zero-Day-Exploits“) für Überwachungsmaßnahmen, anstatt diese zu schließen, wurde ebenfalls gefördert. Das Nationale Cyberabwehrzentrums arbeitet bis heute auf einer unklaren Rechtsgrundlage. Verfassungsrechtlich hoch umstrittenen digitalen Gegenschlägen („Hack back“) wird weiter das Wort geredet. Insgesamt ist ein cyberpolitisches Wettrüsten und ein digitales Auf- und Wettrüsten verschiedener Ministerien und Sicherheitsbehörden entbrannt, das IT-Sicherheit nicht erhöht. Der Koalitionsvertrag der neuen großen Koalition lässt hier leider keine kohärente Strategie erwarten.
Breites und kohärentes Maßnahmenbündel
Der Staat hat gegenüber den Bürgerinnen und Bürger eine Schutzpflicht für die Vertraulichkeit und Integrität informationstechnischer Systeme zu sorgen und das Grundrecht auf Privatheit der Kommunikation zu wahren. Damit die Bundesregierung der drängenden Aufgabe die IT-Sicherheit differenziert voranzutreiben nachkommt, schlagen wir in einem aktuellen Antrag einen umfassenden Katalog an sehr konkreten Schutzmaßnahmen vor.
Die Bundesregierung muss unter anderem schnellstmöglich ein neues IT-Sicherheitsgesetz vorlegen, das mehr kritische Infrastrukturen und Anreize für proaktive Investitionen in gute IT-Sicherheitslösungen setzt. Die mangelnde Koordinierung und geklärten Zuständigkeiten msus sie endlich auflösen. Unter anderem muss die Verantwortung für IT-Sicherheit aus dem Bundesinnenministerium herausgelöst werden und das Bundesamt für die Sicherheit in der Informationstechnik teilweise unabhängig gestellt werden. Bestehende Aufsichtsstrukturen müssen besser ausgestattet und angekündigte, neue Aufsichtsstrukturen, klar von bestehenden Strukturen abgegrenzt werden.
Verzicht auf IT-Sicherheit gefährdende Maßnahmen
Offensive Operationen und sogenannte „Hack backs“, der staatliche Ankauf, das Offenhalten und die Nutzung von bislang nicht öffentlich bekannten Sicherheitslücken (sogenannte „Zero-Day-Exploits“) und Überlegungen einer gesetzlichen Verpflichtung für Unternehmen, Hintertüren in Hard- und Software zu verbauen, sind konsequent abzulehnen. Sicherheitslücken müssen schnellstmöglich im Zusammenspiel staatlicher und privater Akteure geschlossen und der Öffentlichkeit bekannt gemacht werden. Anlasslose Massedatenspeicherungen ohne erwiesenen sicherheitspolitischen Mehrwert zu Lasten von Grundrechten gehören auf den gesetzgeberischen Prüfstand, genau wie bis heute unklare Rechtsgrundlagen für die Quellen-TK-Überwachung und die Online-Durchsuchung.
Konkrete Maßnahmen – Unterstützung der Wirtschaft
Einseitige Abhängigkeiten von wenigen IT-Dienstleistern, deren Software nicht überprüfbar ist, muss behoben und der Einsatz und die hohe Qualität von quelloffener Software politisch stärker unterstützt werden. Bei allen E-Government-Angeboten sind beste IT-Sicherheitslösungen auf dem neuesten Stand der Technik, wie zum Beispiel durchgehende Ende-zu-Ende-Verschlüsselungen, zum Standard zu machen. Dabei müssen Datenschutz und IT-Sicherheit zusammen gedacht werden. Mit Zertifizierungen sollen Anreize geschaffen werden, in gute und sichere IT-Lösungen, insbesondere beim „Internet-der-Dinge“ zu investieren. Kleinere und mittlere Unternehmen müssen bei sicherheitstechnischen Herausforderungen durch ein dezentrales und unabhängiges IT-Beratungsnetzwerk unterstützt wer-den. Haftungsanreize für alle in der IT-Kette verantwortlichen Stellen werden gestärkt. Diese und weitere Maßnahmen zum Schutz unserer digitalen Infrastrukturen und privater Kommunikation sind dringend geboten.
Wie immer gilt, über Rückmeldungen zu unserem Antrag freuen wir uns!
Comments are closed