IT-Sicherheitsgesetz 2.0

IT-Sicherheit endlich konsequent stärken

Das IT-Sicherheitsgesetz der Großen Koalition ist zu wenig, zu spät. Schon jetzt sind sich alle einig, dass es dringend weitere Reformen zu Stärkung der IT-Sicherheit bedarf.
23.04.2021
  • Ständig neue Meldungen über Hacking-Angriffe auf Unternehmen, Beeinflussung von demokratischen Wahlen, Datenskandale mit Millionen Betroffenen und geheimdienstliche Versuche, digitale Infrastrukturen und private Kommunikation zu kompromittieren, zeichnen ein beunruhigendes Bild der IT-Sicherheitslage.
  • Die Große Koalition verkennt die Bedrohungslage. Das IT-Sicherheitsgesetz 2.0 ist zu wenig, zu spät. Es stellt wichtige Stellschrauben in der IT-Sicherheit nicht.
  • Wir Grüne im Bundestag fordern ein Umdenken in der IT-Sicherheit und klare rechtliche Vorgaben für die Sicherung der digitalen Souveränität. Hierzu liegen schon lange unsere sehr konkreten Vorschläge vor.

Von SolarWinds bis hin zu Microsoft Exchange – Wir erleben einen schweren IT-Angriff nach dem anderen, von denen Unternehmen, Behörden und Bürger*innen gleichermaßen betroffen sind. Sensible Informationen kursieren im Netz und werden verwendet um Menschen unter Druck zu setzen. Kürzlich kam heraus, dass Hacker Zugriff auf Facebook-Konten von über 500 Millionen Nutzern hatten.

Bedrohung von Wirtschaft und Demokratie

Eine andere Dimension der Bedrohung zeigen die Manipulationsversuche von Wahlen über soziale Netzwerke, hinter denen offenbar, wie Ermittlungen in Großbritannien und den USA zeigen, auch ausländische Nachrichtendienste stehen. Die Risiken für Bürgerinnen und Bürger, aber auch für Behörden und Unternehmen und die Demokratie insgesamt nehmen erkennbar weiter zu. 

Das Bundesamtes für Sicherheit in der Informationstechnik (BSI) weist immer wieder darauf hin, wie dramatisch die Lage für Menschen, Unternehmen und demokratische Institutionen mittlerweile ist. Die durch Kriminelle und Geheimdienste verursachten Schäden werden seit Jahren mit hohen Milliardenbeträgen beziffert.

Bundesregierung verkennt die Bedeutung der Herausforderung

Die Bundesregierung, das federführende Innenministerium und die Große Koalition haben die Dimension der Bedrohung bis heute nicht erkannt. Die Lösung, die sie mit dem zwei Jahre lang im Gesetzgebungsverfahren steckengebliebenen und nun endlich verabschiedeten IT-Sicherheitsgesetz 2.0 präsentieren, ist viel zu wenig, viel zu spät. Das Gesetz ist bereits heute veraltet, wesentliche Stellschrauben werden nicht gestellt. Das liegt auch an der mangelnden Evaluation des Vorgängergesetzes. Durch ihr unbeirrtes Festhalten am staatlichen Handel mit Sicherheitslücken und weitreichenden, rechtlich vielfach unregulierten Überwachungsmaßnahmen ist die Bundesregierung sogar selbst eine Gefahr für die IT-Sicherheit.

Antwort der Bundesregierung ist zu schwach

Die verheerenden IT-Angriffe der letzten Monate und Jahre, gezielte Manipulationen und intransparente Beeinflussungen von demokratischen Willensbildungsprozessen und Wahlen haben die Bundesregierung nicht zu einem Umdenken bewegen können. Stattdessen hat sie sich lange Zeit in Diskussionen über einzelne Zulieferer beim Ausbau des 5G-Netzes verstrickt. So gibt es auch in dem jetzt verabschiedeten Gesetzentwurf keine verpflichtenden IT-Sicherheitszertifikate, keine durchgehende Ende-zu-Ende-Verschlüsselung, kein Ende des Ankaufs und des Offenhaltens von Sicherheitslücken durch staatliche Stellen.

Ein Umdenken ist aber dringend notwendig. Wir brauchen dringend eine konsequente Antwort auf die wachsenden Schäden für die Wirtschaft und wir brauchen mehr Unterstützung für alle Betroffenen und deren Anstrengungen, sich selbst besser gegen die Risiken entsprechender IT-Angriffe zu schützen.

Eine alternative IT-Sicherheitspolitik stärkt Akteure und Infrastrukturen

Statt des cyberpolitischen Wettrüstens mit Staaten wie China, Russland und Nordkorea, das man nur verlieren kann, müssen wir private Kommunikation bestmöglich schützen und digitale Infrastrukturen härten. Trojanerangriffe, Hacking Back und Massenüberwachung aller digitaler Kommunikation zu IT-Sicherheitszwecken entsprechen rückwärtsgewandten und eher militärisch motivierten Lösungsmustern, die für das komplexe Gewebe moderner digitalisierter Gesellschaften nicht geeignet sind. Gerade im Digitalen gilt: Verteidigung ist die beste Verteidigung. Das Bundesamt für Sicherheit in der Informationstechnik muss als unabhängige Behörde für Bürger*innen beratend zur Verfügung stehen, statt, wie in dem jetzt verabschiedeten Gesetz zu einem Ersatznachrichtendienst zu werden.  

IT-Sicherheit verfassungskonform gestalten

Bereits 2018 haben wir die Bundesregierung in unserem Antrag "IT-Sicherheit stärken, Freiheit erhalten, Frieden sichern" aufgefordert, eine echte Kehrtwende bei der IT-Sicherheit einzuleiten, auf verfassungsrechtlich umstrittene Instrumente wie „Hackbacks“ zu verzichten, die Vulnerabilität gegenüber IT-Angriffen insgesamt deutlich zu verringern und auch unabhängige Aufsichtsstrukturen zu stärken. 2019 haben wir einen umfassenden Maßnahmenkatalog mit sehr konkreten Vorschlägen zur Stärkung der digitalen Souveränität vorgelegt. Hierin fordern wir unter anderem die länder- und anbieterunabhängige, technische, rechtliche und weitere sicherheitsrelevante Kriterien für den Einsatz von Komponenten und Geräten im Telekommunikationsgesetz (TKG) zu verankern. Bei der Zuverlässlichkeitsprüfung müssen auch der Schutz von Grund- und Menschenrechten, Demokratie und Rechtsstaatlichkeit Berücksichtigung finden. Um die digitale Souveränität Europas und Deutschlands und den Wirtschaftsstandort zu stärken, muss die Bundesregierung eine Strategie vielfältiger digitaler Ökosysteme, die auch auf Eigenentwicklungen auf Basis freier Software und offener Formate setzt, verfolgen. Leider sind unsere Forderungen heute ebenso aktuell wie damals.

Ein klares Bekenntnis der Bundesregierung zur Notwendigkeit eines effektiven Grundrechtsschutzes im Digitalen ist genauso überfällig wie das Engagement für neue Übereinkünfte und echte Maßnahmen zur Erhöhung der IT-Sicherheit auf deutscher, europäischer und internationaler Ebene.