Bundestagsrede von Dr. Konstantin Notz 09.03.2017

Sicherheit von Netz- und Informationssystemen

Dr. Konstantin von Notz (BÜNDNIS 90/DIE GRÜNEN): Das Smartphone wird zum verwanzten, ja fast allgegenwärtigen Begleiter, das Smart TV zum Schlüsselloch Per-Remote-Control ins Büro oder Wohnzimmer. Der aktuelle CIA-Leak fügt sich ein in die Reihe digitaler Sicherheitsvorfälle auf ganz unterschiedlichen Feldern: von den Snowden-Enthüllungen über die Stuxnet-Attacke bis zu ausgefallenen Telekom-Routern, gehackten Mittelständlern und Krankenhäusern oder auch den jüngst stundenlang blockierten Servern im Deutschen Bundestag. All dies sollte auch den letzten tatsächlich oder auch nur vorgeblich Ahnungslos-Gutgläubigen in verantwortlicher Position zeigen: Was fehleranfällig ist, wird auch zu Fehlern führen, was potenziell hackfähig ist, das wird auch mit hoher Wahrscheinlichkeit gehackt werden, und zwar rund um die Uhr, weltweit.

In einer immer digitalisierteren Welt birgt die Frage nach der Sicherheit unserer digitalen Infrastruktur und Kommunikation multiple systemische Risiken in so gut wie jedem Gesellschaftsbereich. Eigentlich sollte dies im Jahr 2017 eine Binsenerkenntnis sein, ist es jedoch angesichts einer Bundesregierung nicht, die immer nur in Sonntagsreden die Wichtigkeit und Dringlichkeit des Themas betont, wenn es aber im eigenen Verantwortungsbereich konkret wird, wieder einmal nur unbeteiligt mit den Schultern zuckt, sie es wieder und wieder sagt – selbst um Mitternacht in einer übervollen Tagesordnung nur zu Protokoll. Allein dieser Debattenplatz widerspricht den großen Worten, die an anderer Stelle auf Podien und in Interviews so gern in den Mund genommen werden. Denn auch wenn es sich bei den CIA-Operationen offenbar um gezielte Maßnahmen handelt, beruhen sie doch auf Sicherheitslücken in verbreiteten Betriebssystemen, die auf einem grauen Markt gehandelt und zum Schaden der Allgemeinheit offengehalten und ausgenutzt werden, statt umgehend gemeldet und geschlossen zu werden. Hier mischen neben Kriminellen offensichtlich auch Geheimdienste mit, die sie wiederum mit Steuergeldern bei ihren Exploit-Ankäufen auch noch subventionieren. Zudem zeigt der CIA-Leak nach den Snwoden-Enthüllungen abermals auf, dass selbst diese hochgerüsteten Akteure ihre eigenen Daten und Informationen nicht zu sichern in der Lage sind.

Bezeichnend ist, dass die Bundesregierung es noch in ihrer letzten Cybersicherheitsstrategie fertig brachte, die Erkenntnisse der Aufklärungsarbeit seit Snowden nicht auch nur mit einem Wort zu erwähnen. Es ist und bleibt der Kardinalfehler dieser Großen Koalition, dieses Thema weitgehend dem Bundesinnenminister und den Sicherheitsbehörden zu überlassen. Solange dies so ist, werden noch so richtige Ansätze auf dem Papier und noch so löbliche Anstrengungen der zuständigen Stellen an dieser immanenten sicherheitspolitischen Ambivalenz scheitern.

Wie will denn der Staat für Vertrauen in Sachen digitaler Sicherheit sorgen, wenn sich beispielsweise ein betroffener Betreiber einer kritischen Infrastruktur gar nicht sicher sein kann, dass ebendiese staatlichen Stellen nach seiner Meldung einzig und allein an der umgehenden Lösung seines Sicherheitsproblems interessiert sind und nicht an dessen Offenhaltung zu ganz anderen Zwecken? So verwundert es kaum, dass die Zahlen der gemeldeten Anlagen und Betreiber in den vom IT-Sicherheitsgesetz bereits berücksichtigten Branchen ebenso hinter den großspurigen Ankündigungen zurückbleiben wie die wenigen erfassten Störfälle im Vergleich zum realistisch zu erwartenden Umfang der Problematik. Es fehlt der Bundesregierung in diesem so sensiblen und immer komplexeren Feld bereits am notwendigen Überblick des Marktes – von umfassenden Lösungsansätzen und dem politischen Willen zu ihrer Umsetzung ganz zu schweigen.

Hier scheinen sich die Befürchtungen zu bestätigen, wonach Unternehmen aufgrund des Kosten- und Kontrolldrucks umfassende Meldungen scheuen und damit die Erfassung des eigentlichen Umfeldes völlig unzureichend erfolgt. Umso unverständlicher ist es, dass bei den bisher nach dem deutschen IT-Sicherheitsgesetz gemeldeten Störfällen dem Parlament trotz wiederholter Nachfragen pauschal nähere Informationen verweigert werden.

Und just hier setzt nun auch die Europäische Union mit der NIS-Richtlinie in vielen Punkten strengere Nachweis- und Meldepflichten vor. Doch solange bei der Erhebung, Verarbeitung und Weitergabe von Daten zu diesen hochsensiblen Vorgängen weiterhin die Abgrenzung gegenüber Sicherheitsbehörden und Geheimdiensten so unklar geregelt bleibt wie in diesem Gesetzentwurf, wird sich an der Zögerlichkeit der Betreiber wenig ändern. Umso atemloser werden nun kurzlebige Strategien, Abwehrzentren und zuletzt gar Cyberwehrpläne präsentiert. Diesem Aktionismus ist auch geschuldet, dass das erst 2015 verabschiedete IT-Sicherheitsgesetz bereits nach einem Jahr in vielen Punkten von der NIS-Richtlinie überholt wurde. Anstatt die Vorlage aus Brüssel abzuwarten, wollte das Innenministerium partout vor der Europäischen Kommission punkten und darf nun das eigene Gesetz überarbeiten, das aufgrund der fehlenden Verordnungsbasis in den unterschiedlichen Bereichen der kritischen Infrastrukturen noch nicht einmal umgesetzt war. Aber auch im zweiten Versuch versäumt nun die Bundesregierung überfällige Korrekturen, sei es bei der Rechtsunsicherheit im Bereich der digitalen Dienste, sei es beim so wichtigen Haftungsansatz, sei es bei der pauschalen Ausnahme in eigener Sache, nämlich diese Sicherheitsvorgaben auch auf die öffentliche Verwaltung anzuwenden.

Demgegenüber gälte es, dieser Problematik umfassend, entschlossen und gut koordiniert zu begegnen. Die Zuständigkeiten der Cybersicherheitsfragen müssen dringend zusammengeführt werden. Neben der notwendigen Ausstattung bedarf es vor allem der entsprechenden Unabhängigkeit, um als vertrauenswürdiger Akteur auch ernst und angenommen zu werden. Umso mehr stellt sich diese Frage, als das Bundesamt für Sicherheit in der Informationstechnik nun abermals ausgebaut wird und immer noch im Schatten des Bundesinnenministeriums agieren muss.

Darüber hinaus gilt es auf allen Ebenen die IT-Resilienz strukturell zu stärken, angefangen bei der Sicherheit einzelner IT-Produkte sowie tragender Softwarelemente des Internets bis hin zum präventiven Umgang mit der inhärenten Verletzlichkeit dieser Systeme. Hier stellen sich wegweisende Fragen, die in viel größerem Kontext – international wie zivilgesellschaftlich – unter Einbeziehung zahlreicher Akteure auf eine ganze andere Basis gestellt gehören.

4402515