Die Verbesserung der IT-Sicherheit zum Schutz kritischer Infrastrukturen im Internet bildet eine zentrale Herausforderung der digitalen Gesellschaft. Eine digitale Gesellschaft ist auf funktionierende Informationsinfrastrukturen ebenso angewiesen wie auf eine zuverlässige Strom- und Wasserversorgung sowie auf funktionsfähige Verkehrsnetze. Nach längeren Anlaufschwierigkeiten hat die Bundesregierung nun einen Entwurf für ein IT-Sicherheitsgesetz (BT-Drs. 18/4096) vorgelegt, der heute in erster Lesung im Bundestag aufgerufen wird. Der Gesetzentwurf greift an vielen Stellen zu kurz und geht an anderen Stellen in die falsche Richtung.
Zu kurz greifen heißt: Das Bundesamt für Sicherheit in der Informationstechnik (BSI) bekommt die Aufgabe, Sicherheitslücken zu sammeln und auszuwerten, muss sie aber nicht zwingend veröffentlichen. Die Betreiber Kritischer Infrastrukturen haben erhebliche Störungen im Regelfall ohne Namensnennung zu melden. Die Nennung des Betreibers ist, wie es im Gesetzentwurf lautet, nur dann erforderlich, wenn die Störung tatsächlich zu einem Ausfall oder einer Beeinträchtigung der Funktionsfähigkeit der kritischen Infrastruktur geführt hat. Also dann, wenn der Worst Case bereits eingetreten ist und eine Störung oder ein Ausfall ohnehin nicht mehr unbemerkt bleiben. Durch anonyme Meldungen allerdings entsteht kein öffentlicher Druck auf die Unternehmen, ihre Sicherheitsvorkehrungen zu verbessern. Sanktionsmöglichkeiten bei der Verletzung von Meldepflichten sind darüber hinaus ebenso wenig vorgesehen.
Eine grundsätzliche Pflicht zur Veröffentlichung von IT-Sicherheitslücken bei gleichzeitigem Verbot des kommerziellen Handels mit Sicherheitslücken einschließlich des Kaufs von Sicherheitslücken durch Nachrichtendienste fehlt im vorliegenden Gesetz. Ebenso fehlt eine Verpflichtung für die Anbieter von Kommunikationsdiensten, ihren Kunden eine vertrauliche Ende-zu-Ende-Verschlüsselung anzubieten. Das aber sind zentrale Erfordernisse in der Kommunikationsära nach Snowden. Die allgegenwärtige Überwachung der Bevölkerung im Netz allerdings hat das Gesetz gar nicht erst zum Gegenstand. Das ist ein eklatanter Mangel des Gesetzentwurfs.
In die falsche Richtung heißt: Telekommunikationsunternehmen sollen die Kommunikation ihrer Kunden auf Schadsoftware hin durchsuchen und betroffene Kunden zur Abhilfe auffordern. Die notwendige technische Voraussetzung dafür ist, worauf das Forum InformatikerInnen für Frieden und gesellschaftliche Verantwortung (Fiff) in einer Stellungnahme hinweist, eine dauerhafte, flächendeckende und auch die Inhalte betreffende Überwachung der gesamten Telekommunikation. Stand der Technik dazu ist die tiefe Paketinspektion. Die Befürchtung, Deep Packet Inspection werde auf diese Weise durch die Hintertür rechtlich implementiert, ist ohne eine Klarstellung und des Verbots eines Zugriffs auf die Inhalte nicht von der Hand zu weisen.
Auch werden die Diensteanbieter zur Erkennung, Eingrenzung und Beseitigung von Störungen an Telekommunikationsanlagen ermächtigt, Bestands- und Verkehrsdaten der Teilnehmer und Nutzer zu erheben und zu verwenden. Eine Vorschrift, die der vom Bundesverfassungsgericht für nichtig erklärten Vorratsdatenspeicherung gleicht. Die Feststellung, bei der damit eingeführten Speicherbefugnis handelt es sich im Kern um eine weitreichende Vorratsdatenspeicherung, stammt übrigens nicht von netzpolitischen Talibans, sondern ist der Stellungnahme des Bundesrats zu dem Gesetzentwurf zu entnehmen. Ähnlich bewertet das der Verband der deutschen Internetwirtschaft eco.
Zwar habe es im Vergleich zum Entwurf von August 2014 Verbesserungen gegeben, um Befürchtungen einer „Vorratsdatenspeicherung durch die Hintertür“ entgegenzutreten. Doch reichten diese nicht aus, um der Möglichkeit einer sechsmonatigen Speicherung entgegenzutreten (Stellungnahme). Das Unabhängige Landeszentrum für den Datenschutz Schleswig-Holstein (ULD) schließlich ergänzt, gespeicherten Verkehrsdaten auch für Strafverfolgungs- und Gefahrenabwehrzwecke genutzt werden können. Es ist nicht sichergestellt, dass die Daten nicht vom Auskunftsanspruch der Strafverfolgungsbehörden erfasst werden (Stellungnahme).
Äußerst befremdlich ist ferner der mit dem IT-Sicherheitsgesetz einhergehende Aufwuchs des staatlichen Sicherheitsapparats. So sieht der Gesetzentwurf für das Bundeskriminalamt (BKA) 48 bis 78 zusätzliche Planstellen vor. Für den Bundesnachrichtendienst (BND) werden zusätzlich 30 Planstellen benannt und für das Bundesamt für Verfassungsschutz (BfV) beträgt der Aufwuchs 26,5 bis 48,5 Planstellen. Das BKA soll im Bereich Cyberkriminalität gestärkt werden und künftig unter anderem auch für Hackertools und deren Verfolgung zuständig sein – sprich: dem seit 2007 bestehenden und umstrittenen Hackerparagraphen. Die Zuständigkeit des BND wird mit der Prüfung ausländischer Datenstrecken auf Schadsoftware-Signaturen und Rückverfolgung von Schadsoftware im Ausland begründet, jene des BfV aus der Zusammenarbeit mit den Aufsichtsbehörden der Länder und des Bundes bei der Analyse der Verfügbarkeit kritischer Infrastrukturen. Im letzteren Fall findet stillschweigend eine Abänderung von Zuständigkeiten statt: Unterstützte das BSI bislang den Verfassungsschutz bei der Auswertung und Bewertung von Informationen, nicht umgekehrt (§ 3 Nr. 13b BSIG), soll nun das BSI zusätzlich Informationen an den Verfassungsschutz weitergeben.
Befremdlich ist das vor allem, weil aus den Snowden-Enthüllungen und ersten Ergebnissen des Geheimdienste-Untersuchungsausschuss hervorgeht, dass BfV und BND eng mit dem britischen Nachrichtendienst Government Communications Headquarters (GCHQ) sowie dem US-Nachrichtendienst National Security Agency (NSA) zusammenarbeiten. Einrichtungen demnach, die – nach allem was wir bislang wissen – selbst rechtswidrigen Einfluss auf kritische Infrastrukturen nahmen und nehmen. Auch das BSI ist, wie aus den Snowden-Dokumenten hervorgeht, bei der NSA ein- und ausgegangen. Ebenfalls hat das BSI, trotz Benennung erheblicher Funktions- und Rechtsdefizite, auch jene Technologie zertifiziert, mit der BND und NSA den Internetknoten in Frankfurt/Main abgehört haben.
Ferner bleibt das BSI dem Bundesinnenministerium (BMI) unterstellt. Die Unabhängigkeit der Behörde wird ausdrücklich nicht gewährleistet, deren intensive Zusammenarbeit mit BND und MAD national etwa via Cyber-Abwehrzentrum sowie international mit der NSA wird nicht durchbrochen. Als ein Geschäftsbereich des BMI, das vorrangig für die innere Sicherheit zuständig ist, wird das BSI zudem im Zweifel gezwungen sein, sich dem Ressort unterzuordnen. Das Vertrauen in die Behörde wird auf diese Weise nicht gefördert, sondern eher noch Misstrauen gestärkt.
Schließlich: Der Begriff der „Kritischen Infrastruktur“ ist bislang nicht präzisiert. Das soll einer später zu erlassenden Rechtsverordnung vorbehalten bleiben. Statt eine Bestandsaufnahme vorzulegen, die kritische Infrastrukturen in Sektoren identifiziert, deren Ausfall oder Beeinträchtigung kaskadierende Folgen für die gesamte Versorgungssicherheit hätte, wird IT-Sicherheit aus der Perspektive des staatlichen Sicherheitsapparats adressiert. Statt also jene Infrastrukturen zu identifizieren, in denen eine Trennung von Systemen, eine Abtrennung der Vernetzung mit anderen Infrastrukturen möglich, sinnvoll oder erforderlich ist und somit den Aufgabenbereich für die Sicherung kritischer Infrastrukturen zu strukturieren, werden diese endgültig dem Zugriff des Sicherheitsapparats ausgeliefert. Das ist der gewollte Systemfehler des IT-Sicherheitsgesetzes.
[…] Medienordnung schaffen Positionspapier des Parteivorstandes « IT-Sicherheit – Der Zugriff des staatlichen Sicherheitsapparats […]