Crypto Wars 3.0: Neuorganisation des BSI gefordert
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) stehe in einem schweren Interessenskonflikt, finden Kritiker. Es sollte besser unabhängig vom Innenministerium werden und nur noch Ansprechpartner für Bürger und Firmen sein.
(Bild: dpa, Patrick Pleul)
Politiker von SPD und Grüne sowie Informatiker sehen das Bundesamt für Sicherheit in der Informationstechnik (BSI) in einem schweren Interessenskonflikt und fordern eine Klärung seiner verschiedenen Rollen. Damit verbinden sie die Forderung nach einer deutlichen Umorganisation bzw. Zerschlagung der Behörde. Hintergrund ist die aktuelle Debatte um den Umgang von Strafverfolgungsbehörden mit verschlüsselter Kommunikation.
Lars Klingbeil, netzpolitischer Sprecher der SPD sieht das Bundesamt in einem ständigen Interessenskonflikt: „So ist es auf der einen Seite die Aufgabe des BSI, Behörden zu unterstützen. Auf der anderen Seite soll das BSI ein unabhängiger und Ansprechpartner sein für Bürgerinnen und Bürger und für die Wirtschaft.“ Er fordert daher, das BSI als unabhängige Bundesbehörde aus dem Geschäftsbereich des Bundesinnenministeriums (BMI) herauszulösen und allein die für öffentliche Stellen und Behörden zuständigen Bereiche des BSI beim BMI zu belassen.
Unabhängigkeit als "zentrale Grundlage"
Entsprechend könne sich das neue BSI stärker auf die Sicherheitsanforderungen der Bürger und der Wirtschaft ausrichten, auf deren Vertrauen es zwingend angewiesen sei. Hierfür sei die Unabhängigkeit der Behörde eine „zentrale Grundlage“. Sollte eine Aufteilung der Behörde politisch nicht durchsetzbar sein, müsste aber „als Minimum, beispielsweise auch im Rahmen der Beratung des IT-Sicherheitsgesetzes, eine deutlich schärfere organisatorischen und rechtliche Trennung der unterschiedlichen Aufgaben des BSI“ erreicht werden.
Auch der grüne innenpolitische Sprecher Konstantin von Notz hält eine „Befreiung des BSI aus seiner interessenskonfliktreichen Position in die Unabhängigkeit“ für überlegenswert. Von Notz: „Wiederholt wurde in den letzten Monaten auf die sich durch das Grundgesetz ergebende staatliche Verpflichtung, den Schutz unserer digitalen Infrastrukturen sicherzustellen, hingewiesen. Auch führen wir seit kurzem erneut eine sehr intensive Diskussion um Verschlüsselung privater Kommunikation.“ Er sieht das BSI bei beiden Herausforderungen in einer „Schlüsselfunktion“.
Die gegenwärtigen „Gedankenspiele“ des Innenministeriums, „systematisch Hintertüren in Krypto-Software zu verbauen“, machten aber deutlich, „was für ein tief gespaltenes Verhältnis das Innenministerium zur Datensicherheit noch immer hat“. Das BSI gerate deshalb immer wieder zwischen die Fronten: „Einerseits soll es für mehr Datensicherheit sorgen, andererseits ist es ausgerechnet dem Ministerium unterstellt, aus dem exakt diese grundrechtsgefährdenden Vorschläge kommen.“
Auf welcher Seite steht das BSI?
Das Forum InformatikerInnen für Frieden und gesellschaftliche Verantwortung (FIfF) fordert Ähnliches, nämlich die Beratung für Bürger in ein unabhängiges Cybersichersicherheitszentrum auszulagern. Es weist auch darauf hin, dass das BSI nicht nur in der Kryptodebatte zwischen den Fronten stehe. Sein Interessenskonflikt habe sich auch in längerfristigen Strategien und Projekten im eGoverment wie DE-Mail gezeigt, bei denen dem BSI eine zentrale Beratungs- und Mitgestaltungsfunktion zukam.
Das De-Mail-Gesetz sieht eine sichere Ende-zu-Ende-Verschlüsselung lediglich als unverbindliche Option vor. FIfF-Sprecherin Sylvia Johnigk sagt: „Die realen und vom BSI zertifizierten Implementierungen basieren ausschließlich auf einer reinen Transportverschlüsselung, die den Sicherheitsbehörden den gewünschten Zugriff auf die Mail-Kommunikation der Bürger ermöglicht.“
Johnigk weist noch auf einen weiteren vertrauensschädigenden Vorgang in der jüngsten Vergangenheit hin. So müsse man sich spätestens nach dem Bekanntwerden, dass das BSI bei dem Sicherheitsunternehmen Vupen nicht nur Wissen um Schwachstellen, sondern Zero-Day-Exploits erworben hat, die Frage stellen, auf welcher Seite das BSI eigentlich stehte. Der Kauf von Zero-day-Exploits sei die Voraussetzung um IT-Systeme anzugreifen und könne nicht anders gewertet werden, als dass die Absicht bestehe IT-Systeme schädigen zu wollen. Johnigk betont: „Dies steht absolut nicht im Einklang mit der Aufgabe die Vertraulichkeit und Integrität von IT-Systemen zu gewährleisten.“
"Wir machen IT-Sicherheit. Punkt.“
Das FIfF verweist auch darauf, dass das BSI 1991 aus der Zentralstelle für Sicherheit in der Informationstechnik (ZSI) hervor ging, deren Vorgängerbehörde die dem BND unterstellte Zentralstelle für das Chiffrierwesen (ZfCh) war. Dies mache, erklärt Johnigk, „das Verhalten und die Diensttreue zum Innenministerium besser nachvollziehbar.“ Bereits damals habe es intensive Beziehungen zur NSA gegeben, die laut Snowden-Dokumenten bis heute gepflegt werden.
"Wir machen IT-Sicherheit. Punkt.“, kommentiert BSI-Sprecher Matthias Gärtner die jetzt anlaufende Debatte. Der Vertrag mit Vupen sei ausgelaufen und ein neuer sei auch nicht angedacht. Bei der anstehenden Überprüfung des Bundestrojaners werde man auch allein nur das Sicherheitskonzept überprüfen und mehr nicht. Und bei der Telekommunikationsüberwachung ginge es dem BSI auch nur darum, ob diese sicher durchgeführt werden könne. (axk)
