Heute haben Ministerin Faeser und Staatssekretär Dr. Markus Richter die „Cybersicherheitsagenda“ des Bundesministeriums des Innern und für Heimat vorgestellt. An dieser Stelle bewerte ich das Papier.

Es ist zunächst zu begrüßen, dass sich die neue Bundesregierung endlich mit der notwendigen Ernsthaftigkeit mit dem Großthema IT-Sicherheit als zentralem Politikfeld beschäftigt. Dies ist viel zu lange nicht geschehen. Auf neue sicherheitspolitische Herausforderungen wurde nie angemessen reagiert. Nach jahrelangen Versäumnissen steht es insgesamt weiterhin extrem schlecht um den Schutz von Bürgerinnen und Bürgern, Unternehmen,  kritischen Infrastrukturen und demokratischen Institutionen. Darauf weisen wir seit vielen Jahren hin und haben immer wieder konkrete parlamentarische Initiativen im Bundestag vorgelegt. Wie schlecht es um die IT-Sicherheit bestellt ist, hat uns der völkerrechtswidrige Angriffskrieg Russlands in der Ukraine gerade noch einmal schmerzhaft vor Augen geführt.

Es bedarf einer echten Kehrtwende im Bereich der IT-Sicherheit, um diesen Politikbereich zu verrechtstaatlichen und seit Jahren bekannte Defizite, beispielsweise bei der Strafverfolgung, aber auch der Erkennung und Abwehr hybrider Bedrohungen wie gezielt lancierten Desinformationskampagnen, schnellstmöglich abzustellen. Eine solche, überfällige Kehrtwende nimmt die heute vorgestellte Agenda jedoch nicht vor. Wir brauchen jedoch auch weiterhin dringend klare Rechtsgrundlagen für die Zusammenarbeit verschiedener Behörden und Institutionen im Digitalen und müssen dem effektiven Schutz unserer Demokratie im digitalen Zeitalter einen insgesamt gänzlich anderen Stellenwert beimessen.

Auch und gerade im Digitalen beweist sich die Wehrhaftigkeit unserer Demokratie gegenüber ihren Feinden – aber eben auch die Rechtsstaatlichkeit. Auch Freiheitsrechte müssen daher gestärkt werden.

Insgesamt müssen wir bei der IT-Sicherheit von einem rein reaktiven Vorgehen wegkommen, das diejenigen noch bestraft, die Opfer von IT-Angriffen geworden sind. Stattdessen müssen wir proaktiv in die Härtung digitaler Infrastrukturen investieren und beste IT-Sicherheitstechnik zum Standard machen. Defensiven Kapazitäten muss der klare Vorrang vor offensiven eingeräumt werden. Neben den Bürgerinnen und Bürgern brauchen gerade kleine und mittlere Unternehmen sehr viel mehr Unterstützung bei ihren Bemühungen, in beste IT-Sicherheitsstandards zu investieren. Hierfür sind unabhängige Aufsichts- und Beratungseinrichtungen zentral. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) muss zumindest in Teilen schnellstmöglich unabhängig gestellt und die Datenschutzaufsichtsbehörden angesichts neuer Herausforderungen weiter gestärkt werden. Diejenigen, die von sich aus in gute IT-Sicherheit investieren wollen, müssen hierbei staatlicherseits sehr viel stärker als bisher auch finanziell unterstützt werden, zum Beispiel durch vereinfachte Abschreibungsmodalitäten oder Steuererleichterungen. 

Eine moderne Sicherheitspolitik denkt das Digitale stets mit. In ihrem gemeinsam vorgelegten Koalitionsvertrag haben Grüne, SPD und FDP sehr bewusst einen Schwerpunkt auf die Stärkung der IT-Sicherheit und die Erhöhung der Resilienz unserer Gesellschaft gelegt. Wie derzeit in der Energiepolitik müssen wir mit Blick auf die dringend notwendige Stärkung gesellschaftlicher Resilienz auch die IT-Sicherheit schnellstmöglich erhöhen und die zahlreichen im Koalitionsvertrag verankerten Projekte umgehend priorisiert umsetzen. Hierzu gehört auch eine engere Verzahnung von zivilen Einrichtungen zum Schutz und Ausbau der IT-Sicherheit und für den Zivilschutz – zwei Sphären, die bis heute weitgehend unabgestimmt agieren. Hier gilt es, sich auf die jeweiligen Stärken zu konzentrieren, aber gleichzeitig sehr viel enger als bisher zu kooperieren und ehrenamtliches Know-How einzubinden, um Synergieeffektive zu nutzen. Dem beim Technischen Hilfswerk (THW) angesiedelten „Cyberhilfswerk“ kommt hier eine entscheidende Rolle zu. 

Die heute vorgelegte Agenda kann nur ein erster Aufschlag der Bundesinnenministerin sein. Weiterhin bedarf es dringend einer zwischen den Häusern abgestimmten, kohärenten IT-Sicherheitspolitik, die innere und äußere Sicherheit gemeinsam denkt und die zahlreichen, im Koalitionsvertrag gemeinsam verankerten Projekte entschlossen umsetzt. Bislang sind jedoch längst nicht alle Projekte des Koalitionsvertrags berücksichtigt. Das ist jedoch unsere Erwartung. Als Grüne werden wir unseren Teil dazu leisten, zentrale Projekte wie ein „Kritis-Dachgesetz“, die sich bisher nicht in der BMI-Agenda wiederfinden, im weiteren Verfahren noch zu berücksichtigen und diese schnellstmöglich politisch auf die Spur zu bringen. Auch bedarf es dringend einer Abstimmung mit den von anderen Häusern derzeit in Erarbeitung befindlichen Strategien wie beispielsweise der Digitalstrategie des Bundesministeriums für Digitales und Verkehr (BMDV).

Zu einer überfälligen, ehrlichen Bestandsaufnahme gehört auch, Maßnahmen, die die IT-Sicherheit nachweislich gefährden, sehr viel stärker kritisch zu hinterfragen. Hierzu gehört neben der anlasslosen Massenüberwachung unter anderem der staatliche Handel mit Sicherheitslücken, die, werden sie nicht rigoros geschlossen, immer auch Dritten für kriminelle Machenschaften offenstehen. Ein rechtsstaatlich ausgestaltetes Schwachstellen-Management muss schnellstmöglich kommen, genauso wie glasklare Rechtsgrundlagen für die Zusammenarbeit verschiedener Sicherheitsbehörden in Einrichtungen wie dem Cyberabwehrzentrum (CAZ). Auch müssen wir der Frage nachgehen, ob Einrichtungen wie die Zentrale Stelle für Informationstechnik im Sicherheitsbereich (ZITIS) tatsächlich einen Beitrag zur Erhöhung der allgemeinen IT-Sicherheit leisten. Wir haben da große Fragezeichen – und haben daher im letzten Haushaltsverfahren Mittel so lange gesperrt bis Eckpunkte für eine Rechtsgrundlage vorgelegt werden.

Freier und offener Software als zentraler Bestandteil divers aufgestellter digitaler Ökosysteme und einer von monopolartigen Strukturen unabhängigen Verwaltung kommt heute längst eine immens wichtige Bedeutung zu. Nicht nur die digitale Souveränität der Sicherheitsbehörden, sondern der Verwaltung insgesamt, muss das gemeinsame Ziel sein. Einrichtungen wie das Zentrum für Digitale Souveränität der Öffentlichen Verwaltung (ZenDiS) müssen weiter gestärkt werden. Auch die Bedeutung freier und offener Software muss in der Agenda berücksichtigt werden.