Diese Webseite verwendet Cookies zur Auswertung und Optimierung unseres Web-Angebots. Nutzungsdaten dieser Webseite werden nur in anonymisierter Form gesammelt und gespeichert. Einzelheiten über die eingesetzten Cookies und die Möglichkeit, die Nutzungsdatenanalyse zu unterbinden, finden Sie in unseren Datenschutzbestimmungen

IT-SicherheitIT-Sicherheit stärken, Freiheit erhalten, Frieden sichern

Ein Mann mit Kapuze sitzt vor einem Computer. Um ihn herum Kabel.
Der jüngste IT-Angriff auf das Netz der Bundesregierung zeigt erneut, wie schlecht es um die IT-Sicherheit in unserem Land steht. Die Bundesregierung muss schnell und konsequent ihre bisherige Politik überarbeiten und Maßnahmen zum Schutz digitaler Infrastrukturen und privater Kommunikation ergreifen. Wir legen einen umfassenden Handlungskatalog vor.

Hacker sind in das hochgesicherte Netz des Bundes und der Sicherheitsbehörden eingedrungen, haben sich darin mindestens ein halbes Jahr unentdeckt bewegt und sensible Dokumente aus dem Auswärtigen Amt entwendet. Das Netzwerk des Bundes galt laut der Bundesregierung als eines der sichersten. Der Angriff reiht sich in zahlreiche vergleichbare Attacken auf digitale Infrastrukturen und IT-Systemen ein, die von Staaten, öffentlichen Einrichtungen wie Krankenhäusern, Unternehmen und Privatpersonen genutzt werden. Insgesamt steht es schlecht um die IT-Sicherheit in Deutschland.

In einer zunehmend vernetzten Welt steht die Bundesregierung in der Pflicht, einen hohen Schutz von Netzen, IT-Systemen und privater Kommunikation zu garantieren. Vertrauen in die Privatheit von Kommunikation und in digitale Angebote ist die Voraussetzung für die gesellschaftliche Gestaltung der Digitalisierung und für den Erhalt von Freiheit sowie für die Sicherung von Frieden.

Bundesregierung schlampt bei der IT-Sicherheit

Erst wurde die IT-Sicherheit über Jahre der Selbstregulierung der betroffenen Wirtschaftskreise überlassen. Dann wurde von der letzten großen Koalition ein IT-Sicherheitsgesetz verabschiedet, das nur sehr wenige kritische Infrastrukturen umfasst und lediglich auf Minimalstandards und passive Meldepflichten für Unternehmen mit zahlreichen Ausnahmen setzt. Dieser verspätete und verengte Ansatz rächt sich nun bitter. Insgesamt ist die bisherige IT-Sicherheitspolitik höchst widersprüchlich: Die letzte große Koalition richtete eine Behörde ein, die auf wackliger Rechtsgrundlage verschlüsselte Kommunikation aufbrechen soll. Der staatliche Ankauf, das bewusste Offenhalten und die Nutzung von IT-Sicherheitslücken („Zero-Day-Exploits“) für Überwachungsmaßnahmen, anstatt diese zu schließen, wurde ebenfalls gefördert. Das Nationale Cyberabwehrzentrums arbeitet bis heute auf einer unklaren Rechtsgrundlage. Verfassungsrechtlich hoch umstrittene digitale Gegenschlägen  („Hack back“) wird weiter das Wort geredet. Insgesamt ist ein cyberpolitisches Wettrüsten verschiedener Ministerien und Sicherheitsbehörden entbrannt, das IT-Sicherheit nicht erhöht. Der Koalitionsvertrag der neuen großen Koalition lässt hier leider keine kohärente Strategie erwarten.

Breites und kohärentes Maßnahmenbündel

Der Staat hat gegenüber den Bürgerinnen und Bürger eine Schutzpflicht für die Vertraulichkeit und Integrität informationstechnischer Systeme zu sorgen und das Grundrecht auf Privatheit der Kommunikation zu wahren. Damit die Bundesregierung der drängenden Aufgabe die IT-Sicherheit differenziert voranzutreiben nachkommt, schlagen wir in einem aktuellen Antrag einen umfassenden Katalog an sehr konkreten Schutzmaßnahmen vor.

Die Bundesregierung muss unter anderem schnellstmöglich ein neues IT-Sicherheitsgesetz vorlegen, das mehr kritische Infrastrukturen und Anreize für proaktive Investitionen in gute IT-Sicherheitslösungen setzt. Die mangelnde Koordinierung und ungeklärten Zuständigkeiten sind in der gesamten Digitalpolitik problematisch, im Bereich der IT-Sicherheit sind sie gefährlich. Unter anderem muss die Verantwortung für IT-Sicherheit aus dem Bundesinnenministerium herausgelöst werden und das Bundesamt für die Sicherheit in der Informationstechnik teilweise unabhängig gestellt werden. Bestehende Aufsichtsstrukturen müssen besser ausgestattet und angekündigte, neue Aufsichtsstrukturen, klar von bestehenden Strukturen abgegrenzt werden.

Verzicht auf IT-Sicherheit gefährdende Maßnahmen

Offensive Operationen und sogenannte „Hack backs“, der staatliche Ankauf, das Offenhalten und die Nutzung von bislang nicht öffentlich bekannten Sicherheitslücken (sogenannte „Zero-Day-Exploits“) und Überlegungen einer gesetzlichen Verpflichtung für Unternehmen, Hintertüren in Hard- und Software zu verbauen, sind konsequent abzulehnen. Sicherheitslücken müssen schnellstmöglich im Zusammenspiel staatlicher und privater Akteure geschlossen und der Öffentlichkeit bekannt gemacht werden. Anlasslose Massedatenspeicherungen ohne erwiesenen sicherheitspolitischen Mehrwert zu Lasten von Grundrechten gehören auf den gesetzgeberischen Prüfstand, genau wie bis heute unklare  Rechtsgrundlagen für die Quellen-Telekommunikationsüberwachung und die Online-Durchsuchung.

Konkrete Maßnahmen – Unterstützung der Wirtschaft

Einseitige Abhängigkeiten von wenigen IT-Dienstleistern, deren Software nicht überprüfbar ist, muss behoben und der Einsatz und die hohe Qualität von quelloffener Software politisch stärker unterstützt werden. Bei allen E-Government-Angeboten sind beste IT-Sicherheitslösungen auf dem neuesten Stand der Technik, wie zum Beispiel durchgehende Ende-zu-Ende-Verschlüsselungen, zum Standard zu machen. Dabei müssen Datenschutz und IT-Sicherheit zusammen gedacht werden. Mit Zertifizierungen sollen Anreize geschaffen werden, in gute und sichere IT-Lösungen, insbesondere beim „Internet-der-Dinge“ zu investieren. Kleinere und mittlere Unternehmen müssen bei sicherheitstechnischen Herausforderungen durch ein dezentrales und unabhängiges IT-Beratungsnetzwerk unterstützt werden. Haftungsanreize für alle in der IT-Kette verantwortlichen Stellen werden gestärkt.

Diese und weitere Maßnahmen sind zum Schutz unserer digitalen Infrastrukturen und unserer privaten Kommunikation dringend geboten.

 

Mehr zum Thema Netzpolitik