BSI-Alarmbericht: Ruf nach unabhängigem Bundesinstitut für IT-Sicherheit

Schwachstellen in Hard- und Software hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) in seinem aktuellen Lagebericht zur IT-Sicherheit als eine der größten Gefahren ausgemacht. Dass Geheimdienste und Strafverfolgungsbehörden solche Sicherheitslücken aber teils bewusst offen lassen und – auch laut der überarbeiteten Cybersicherheitsstrategie der Bundesregierung – etwa für den Einsatz von Staatstrojanern ausnutzen dürfen, erwähnt das Amt mit keinem Wort.

Nachdem das BSI – zumindest in Teilbereichen – "Alarmstufe Rot" ausgerufen hat, diskutieren Experten aus Wissenschaft, Politik und Industrie darüber, was sich besser machen lässt und wie die an Bedeutung gewinnende Behörde aufgestellt sein sollte. "Wenn Sicherheitslücken bewusst offen gelassen werden, dann ist es nur eine Frage der Zeit, bis diese böswillig ausgenutzt werden", warnt etwa der Wuppertaler Professor für IT-Sicherheit und Kryptografie, Tibor Jager. Darauf zu hoffen, dass nur die "Guten" eine Schwachstelle fänden, sei "völlig naiv und realitätsfern": "Insofern ist jede offen gelassene Lücke eine tickende Zeitbombe."

Nationale Sicherheit vor IT-Sicherheit

Zu oft verträten Rechtspolitiker die Ansicht, dass Interessen der nationalen Sicherheit Vorrang vor IT-Security genössen, erklärte der Bremer Professor für IT-Sicherheitsrecht Dennis-Kenji Kipker gegenüber dem Science Media Center. Mit dieser Begründung würden immer weitergehende Eingriffsbefugnisse geschaffen. "Dabei sollte eigentlich schon seit Langem bekannt sein, dass insbesondere Online-Zugriffe auf IT-Systeme den höchsten verfassungsrechtlichen Anforderungen genügen müssen und daher legitimerweise nur in absoluten Ausnahmefällen in Betracht zu ziehen sind".

Die gegenwärtige Abwägung werde diesem Prinzip "keineswegs gerecht", moniert Kipker. Derzeit werde von staatlicher Seite für eine sehr geringe Zahl von potenziellen Eingriffen die Option offengehalten, "unzählige IT-Systeme durch den inkonsequenten Umgang mit Sicherheitslücken in der Breite zu schwächen". Es dürfe nicht sein, "dass Behörden unter der Ägide des Bundesinnenministeriums einerseits die IT-Sicherheit befördern, andererseits aber aktiv unterminieren sollen". Konsequent wäre es nur, für alle staatlich bekannt gewordenen Sicherheitslücken eine unverzügliche Meldepflicht an Betroffene vorzusehen und sich Schwachstellen zur bewussten Kompromittierung von IT-Systemen nicht zunutze zu machen.

Weil zunehmend die gesamte Vorbereitung schwerer Straftaten über verschlüsselte Kommunikation erfolge, müssten die Sicherheitsbehörden dagegenhalten, meint indes Martin Schallbruch, Direktor des Digital Society Institute an der European School of Management and Technology (ESMT). Ein wichtiges Instrument dafür sei "das Eindringen in Computersysteme solcher mutmaßlichen Straftäter". Dazu würden Werkzeuge genutzt, "die zwingend auf Sicherheitslücken aufbauen". Insofern gebe es ein legitimes Interesse des Staates an der Nutzung solcher Schwachstellen.

Sicherheitslücken melden und schließen

Daneben gelte es aber, Bürger und Unternehmen vor Cyberangriffen zu schützen und Sicherheitslücken zu schließen, weiß der frühere IT-Direktor im Bundesinnenministerium (BMI). Würden dem Staat besonders schwerwiegende Schwachstellen bekannt, "müssen sie durch Unterrichtung des Herstellers schnell geschlossen werden". Dies treffe aber nicht auf jede Lücke zu, die von Fahndern und Agenten genutzt werde.

Dass Behörden einem Ministerium unterstellt werden – wie beim BSI dem BMI – dient laut Schallbruch "der Sicherstellung einer demokratisch legitimierten Steuerung der Verwaltung mithilfe der politischen Verantwortung der Regierung und der Kontrolle durch das Parlament". Beim BSI etwa werde damit dessen gesetzlich festgelegter Auftrag nicht beeinträchtigt. So müsse es etwa Sicherheitslücken dem Hersteller melden "und darf sie nicht zurückhalten".

Gleichwohl habe die Öffentlichkeit "durchaus ein Interesse an einer von Regierung und Politik unabhängigen Beratung zu IT-Sicherheitsfragen", führt der künftige Chef der auf digitale Verwaltungsdienste spezialisierten Genossenschaft Govdigital aus. Wie etwa im Bereich der Lebensmittelsicherheit könne dies etwa so organisiert werden, "indem neben dem BSI ein weisungsunabhängiges Bundesinstitut für IT-Sicherheit errichtet wird". Dieses sollte wissenschaftliche Beratung durchführen, aber keine operativen Befugnisse haben und keine Bußgelder verhängen.

In den nächsten Jahren müsse "das bestehende konfuse System der staatlichen Institutionen zum Schutz der IT-Sicherheit insgesamt kritisch" evaluiert werden, fordert Sebastian Golla, Juniorprofessor für Kriminologie, Strafrecht und Sicherheitsforschung im digitalen Zeitalter in Bochum. Das aus einer Dienststelle des Bundesnachrichtendienstes hervorgegangene BSI könne nicht sämtliche Aufgaben übernehmen, die mit der Gewährung von IT-Sicherheit zusammenhängen. Es habe in den vergangenen Jahren zahlreiche neue Befugnisse erhalten. Beim Umgang mit Schwachstellen wäre es aber besser, "Institutionen zu beauftragen, die grundrechtssensible Bereiche sicherheitsbehördlichen und nachrichtendienstlichen Handelns insgesamt kontrollieren".

Die unverändert hohe Gefahrenlage in Deutschland im IT-Bereich mache klar, dass endlich eine "stringent gedachte IT-Sicherheitsstrategie" hermüsse, betonte der technologiepolitische Sprecher der FDP-Bundestagsfraktion, Mario Brandenburg. Um künftig agiler auf Gefahrensituationen reagieren zu können, sei eine umfassende Meldepflicht für entdeckte Sicherheitslücken nötig. Ferner brauche es "ein wirklich unabhängig beratendes" BSI.

Auch der Grünen-Fraktionsvize Konstantin von Notz verlangt seit Jahren "echte proaktive Maßnahmen" für mehr IT-Sicherheit: "Dazu gehören unter anderem ein Verzicht auf den staatlichen Handel mit Sicherheitslücken, durchgehende Ende-zu-Ende-Verschlüsselungen und die Stärkung unabhängiger Aufsichtsstrukturen." Norbert Pohlmann aus dem eco-Verband der Internetwirtschaft unterstrich: "Sowohl Privatwirtschaft als auch öffentliche Hand müssen noch intensiver als bisher IT-Sicherheit höchste Priorität einräumen und jederzeit in allen IT-Projekten mitdenken."

(olb)