Die Bundesregierung ringt im NSA-Skandal noch immer um eine Haltung und macht dabei eine immer schlechtere Figur. Da sie offenbar nicht in der Lage ist, die Grundrechte der Bürgerinnen und Bürger zu schützen, fängt sie nun an, Datenschutzfragen in Wirtschaftsförderungsfragen umzudeuten.
Diesen Eindruck erweckt jedenfalls Cornelia Rogall-Grothe, die Vorsitzende des Nationalen Cyber-Sicherheitsrats, die am 9. September einen Runden Tisch zur IT-Sicherheit durchgeführt hat. Dabei ist offenbar herausgekommen, dass deutsche IT-Sicherheitsdienstleister künftig verkappte Subventionen erhalten, indem sie verstärkt staatliche Aufträge erhalten. „Die öffentliche Hand hat ein Marktvolumen von ungefähr 18 Milliarden Euro pro Jahr“, wird Rogall-Grothe in einer Agenturmeldung zitiert, „und wenn wir es schaffen, die Nachfrage zu bündeln, ist das ein Volument, das durchaus relevant ist“.
Statt den NSA-Skandal politisch aufzuklären und mit rechtlichen Mitteln darauf hinzuwirken, dass die Privatsphäre der Bürgerinnen und Bürger effektiv geschützt wird, möchte die Bundesregierung also der deutschen IT-Industrie ein paar Milliarden in den Rachen schmeißen, in Form von Aufträgen der öffentlichen Hand. Dann kommt der Datenschutz ganz von allein.
Und das Bundeswirtschaftsministerium legt mit einer Pressemitteilung nach: Angesichts technologischer Innvoationen werde die IT-Sicherheit „auch in Zukunft ein attraktives Geschäftsfeld bleiben.“ Ein Feld, auf dem sich nicht zuletzt „Handlungsfelder für staatliche Aktivitäten zur Förderung der IT-Sicherheitswirtschaft“ eröffnen.
Tatsächlich hat das Thema IT-Sicherheit mit nachrichtendienstlicher Spionage überhaupt nichts zu tun. Wenn Unternehmen dafür bezahlt werden, dass sie private Daten der Bürgerinnen und Bürger an Geheimdienste weitergeben, nützt auch die robusteste IT-Sicherheitsstruktur nichts mehr. Genau das ist aber den Enthüllungen Edward Snowdens zufolge offenbar der Fall.
Aber auch jenseits des NSA-Skandals ist die Haltung der Bundesregierung zur IT-Sicherheit erbärmlich. Ihr geplantes IT-Sicherheitsgesetz liegt auf Eis, weil Philipp Rösler sich nicht mit den Unternehmen anlegen wollte. Der Streit ging um Meldepflichten für sicherheitsrelevante Vorfälle an das Bundesamt für Sicherheit in der Informationstechnik (BSI). Die Unternehmen lehnen solche Meldepflichten ab. Und was die Wirtschaft nicht will, macht die Bundesregierung auch nicht.
Wollte die Bundesregierung tatsächlich die IT-Sicherheit verbessern, würde sie nicht runde Tische veranstalten, sondern sich dafür einsetzen, dass auf EU-Ebene die geplante IT-Sicherheitsrichtlinie vorangebracht wird. Jan Korte hat hier kürzlich aufgelistet, was im Rahmen einer solchen Richtlinie beachtet werden müsste:
- Die Anforderungen, die in Sachen IT-Sicherheit an Unternehmen gestellt werden, dürfen nicht von der Größe dieser Unternehmen abhängig gemacht werden, sondern vom Umfang der Datenverarbeitung: Je mehr Daten von Bürgerinnen und Bürgern ein Unternehmen verarbeitet, desto höher müssen auch die Sicherheitsanforderungen sein. Auch wenn das Unternehmen eine kleine IT-Klitsche ist.
- Das Trennungsgebot zwischen Nachrichtendiensten und Polizei muss zwingend eingehalten werden. Einen uneingeschränkten Datenaustausch zwischen Nachrichtendiensten und Polizeibehörden darf es auch auf EU-Ebene nicht geben. Und dabei sind endlich auch andere Organisationsformen der Sicherheitsbehörden in Mitgliedstaaten zu beachten, bei denen Geheimdienste Teil der Polizeien sind.
- Das Vorhaben, Drittstaaten im Rahmen von Abkommen einen Zugang zu dem geplanten Kooperationsnetzwerk zu ermöglichen, das zum EU-weiten Datenaustausch genutzt werden soll, ist abzulehnen, sofern diese Drittstaaten europäische Datenschutzstandards nicht einhalten.
- Sicherheitsrelevante Vorfälle sollten von den Unternehmen unverzüglich und verpflichtend gemeldet werden. Die nationalen Behörden sollten verpflichtet werden, die Öffentlichkeit über bekannt gewordene Angriffe und Schwachstellen so frühzeitig wie möglich zu informieren. Der Schutz der Bürgerinnen und Bürger muss Vorrang vor eventuellen Imageschäden der Unternehmen haben.
- Die vorgesehenen Sicherheits-Audits dürfen keine reinen Schreibtischtests bleiben. Vielmehr sollten Unternehmen verpflichtet werden, ihre Infrastruktur regelmäßigen Penetrationstests zu unterwerfen, sie also freiwillig echten Hackerangriffen auszusetzen, um Schwachstellen aufzuspüren.
- Die Vorgaben der geplanten EU-Datenschutz-Grundverordnung sind auch im Rahmen der IT-Security-Richtlinie zwingend zu beachten.
Nachdem die Bundesregierung jedoch ihr eigenes IT-Sicherheitsgesetz gerade erst eingemottet hat und jetzt lieber runde Tische veranstaltet, ist von ihrer Seite wohl kaum mit ernsthaften Maßnahmen zur Verbesserung der IT-Sicherheit zu rechnen.