IT-SicherheitIT-Sicherheit – Schutz für alle entfällt

LAN-Kabel an einem Switch

Durch die zunehmende Vernetzung und Digitalisierung von Wirtschaft und Gesellschaft stehen unsere digitalen Infrastrukturen mehr und mehr im Fokus von Kriminellen. Spätestens seit den Enthüllungen durch den Whistleblower Edward Snowden vor über zwei Jahren und den jüngsten Berichten über große Hacking-Angriffe auf den Bundestag, das Bundeskanzleramt und zahlreiche Unternehmen ist klar, wie ernst die Lage ist. Jetzt erst, nach Jahren des Tiefschlafs, legt die Bundesregierung, um die IT-Sicherheit zu erhöhen, ein IT-Sicherheitsgesetz vor. Die Gesetzesvorlage sieht vor, dass IT-Angriffe auf Wirtschaftsunternehmen, die zur Gruppe der ‚Kritischen Infrastrukturen‘ zählen, gemeldet werden sollen. So, die IT-Sicherheit in Deutschland zu erhöhen, greift viel zu kurz und ist nicht mehr als ein Placebo.

Ganzheitlicher Ansatz zum Schutz aller

Vor diesem Hintergrund hat die grüne Bundestagsfraktion einen eigenen Entschliessungsantrag eingebracht, der nötige Verbesserungen am Gesetz konkret benennt und auf Aspekte für einen ganzheitlichen Ansatz in der IT-Sicherheit verweist.

Im Zentrum steht für uns die Schutzpflicht des Grundrechts der Menschen auf Vertraulichkeit und Integrität ihrer informationstechnischen Systeme und nicht nur der Schutz von Wirtschaftsunternehmen, die zu den ‚Kritischer Infrastrukturen‘zählen. Für einen tatsächlich effektiven Schutz müssen auch öffentliche Stellen einbezogen werden. Damit das Bundesamt für Sicherheit in der Informationstechnik (BSI) seiner Aufgabe gerecht werden kann, muss es, zumindest für diesen Aufgabenbereich, unabhängig vom BundesInnenministerium gestellt werden. Dabei muss für alle erhobenen Daten eine sehr enge Zweckbindung gelten und die Vorgaben der höchstrichterlichen Urteile des Bundesverfassungsgerichts und des Europäischen Gerichtshofs zur Vorratsdatenspeicherung zwingend beachtet werden.

Eine passive Meldepflicht wird nicht ausreichen, um die IT-Sicherheit bei Unternehmen zu steigern. Vielmehr müssen positive und wettbewerbsrelevante Anreize für die Wirtschaft, wie Auditierungen, mindestens flankierend eingeführt werden. Es ist absehbar, dass das Gesetz ein zahnloser Tiger bleiben wird, wenn nicht wirksame Sanktionen bei Zuwiderhandlungen eingeführt werden.

Anonyme Meldungen an das BSI, schützen die Bürgerinnen und Bürger nicht. Sondern es bedarf anlassbezogener Informationspflichten über Verletzungen der IT-Sicherheit gegenüber betroffenen Unternehmen und der Öffentlichkeit.

Als Grüne Bundestagsfraktion fordern wir zudem einen deutlich weitreichenderen Ansatz, der endlich beispielsweise auch den Aufbau, den Betrieb und das Angebot von echter Ende-zu-Ende-Verschlüsselungen bei allen IT-Großprojekten fördert. Ein weiterer Baustein ist die Förderung von offener Software, die auch innovative Datenschutzkonzepte wie „Privacy by Design“ und „Security by Design“ berücksichtigt, und deren verbindlicher Verwendung etwa in der öffentlichen Verwaltung. Dabei muss es nicht nur für Betreiber, sondern auch für Hersteller von Hard- und Software Anreize zur Qualitätssicherung geben, beispielsweise durch Haftungsverpflichtungen. Der Aufkauf und die Verwendung von Sicherheitslücken durch Geheimdienste, mit denen gefährliche Lücken in Infrastrukturen reproduziert und mitfinanziert werden, wollen wir verbieten. Hier zeigt sich der Widerspruch der Bundesregierung, die einerseits nach Sicherheit ruft, andererseits den Schwarzmarkt für Sicherheitslücken befeuert.

Breite Kritik an verengtem Ansatz

Angesichts der jahrelangen Bedrohungslage und der massiven Kritik am ersten Entwurf kommt das Gesetz deutlich zu spät und verspricht kaum Verbesserung. Das Gesetz verfolgt mit seinen Meldepflichten einen rein passiven Ansatz und beschränkt sich lediglich auf sogenannte Kritische Infrastrukturen, große Bereiche der sensible Daten verarbeitenden Wirtschaft sind von vornherein ausgeklammert. Staatliche Akteure als größte Betreiber ‚Kritischer Infrastrukturen‘ sind sogar komplett ausgenommen. Während die Unternehmen mit einer sich durch die Vorlage ergebenden Rechtsunsicherheit konfrontiert sind, kehrt man nicht vor der eigenen Haustür. Das Gesetz ist handwerklich schlecht gemacht, da zahlreiche unbestimmte Rechtsbegriffe offen lassen, wer beispielsweise überhaupt die Betreiber ‚Kritischer Infrastruktur‘ sind. Auch was mit den übermittelten Daten geschieht, klärt das vorliegende Gesetz nicht. Diese und zahlreiche andere unbestimmte Regelungen sind verfassungs- und bürgerrechtlich höchst bedenklich und sorgen für Rechtsunsicherheit bei Unternehmen und Öffentlichkeit.

Die Bundesregierung tut dabei so, als ob es die zahlreichen Erkenntnisse aus dem parlamentarischen Untersuchungsausschusses zum Abhör- und Ausspähskandal nicht gegeben hätte. Konsequenzen aus den seit mehr als zwei Jahren anhaltenden Enthüllungen Edward Snowdens und der Aufklärung durch den Deutschen Bundestag zieht man nicht. Im Gegenteil, das Bundesamt für Sicherheit in der Informationstechnik wird zur Super-IT-Behörde aufgeblasen und das Bundesamt für Verfassungsschutz undifferenziert aufgerüstet. Darüber vergisst die Bundesregierung komplett ihren eigentlichen Auftrag, den, sich aus unserer Verfassung ergebenden, Schutz der Bürger. Die Grundrechte auf Integrität und Vertraulichkeit informationstechnischer Systeme und auf informationelle Selbstbestimmung lässt die Bundesregierung somit nicht nur leer laufen, sie schwächt sie zusätzlich.

Wir werden die Bundesregierung weiterhin drängen, ihrer Pflicht nachzukommen, die digitalen Bürgerrechte effektiv zu schützen.

Mehr zum Thema Netzpolitik

Dieser Artikel ist älter als zwei Monate, deshalb werden keine Kommentare mehr angenommen.

4395670