IT-Sicherheit: SPD will das "digitale Immunsystem"

Die SPD-Bundestagsfraktion drängt drauf, eine "eindeutige Haftungskette" auch für digitale Produkte und Dienstleistungen zu schaffen, Meldepflichten über Sicherheitsmängel auszubauen und das BSI unabhängig zu machen.

In Pocket speichern vorlesen Druckansicht 130 Kommentare lesen
Netzwerkkabel

(Bild: dpa, Oliver Berg/Illustration)

Lesezeit: 4 Min.
Inhaltsverzeichnis

Angesichts der Industrie 4.0, dem Internet der Dinge und der allgemein fortschreitenden Vernetzung und Automatisierung fordert die SPD umfassendere Bemühungen um die IT-Sicherheit. "Der Staat und die Unternehmen müssen gemeinsam für ein starkes digitales Immunsystem eintreten", heißt es in einem am Dienstag in Berlin vorgestellten Positionspapier der Bundestagsfraktion . Die öffentliche Hand brauche einen rechtlichen Rahmen, um Cyberkriminalität verhindern und verfolgen zu können. Die Wirtschaft müsse "Hilfe zur Selbsthilfe" erhalten.

Sehr am Herzen liegt den Sozialdemokraten mit ihrer Strategie eine "eindeutige Haftungskette" auch für digitale Produkte und Dienstleistungen, konstatierte Fraktionsvizechefin Eva Högl. Ins Produkthaftungs- und Produktsicherstellungsgesetz sollen so Software zum Download sowie Cloud-Dienste mit aufgenommen werden. Auch davon betroffenes Eigentum sei zu schützen, heißt es in dem Papier. In diesem Zusammenhang solle geprüft werden, "ob auch für Vermögensschäden Schadenersatz zu leisten ist".

"Wenn mich ein selbstfahrendes Auto nicht in, sondern an die Garage fährt", müsse es dafür eine klare Produkthaftung geben, brachte der SPD-Datenschutzexperte Gerold Reichenbach ein Beispiel. Generell müsse die Verantwortlichkeit an der Dienstleistung oder den Funktionen eines Produkts festgemacht werden. Es hafte also etwa ein Unternehmen, die bei diesem angestellten Programmierer blieben außen vor. Bei freien Softwareprojekten müsse der Nutzer dann wissen, dass es hier keine Verantwortlichkeit gebe. Dieses Phänomen sei aber nicht ganz neu, so hafte heutzutage auch niemand etwa für Schwarzarbeit.

Ferner will die Fraktion bestehende Informations- und Meldepflichten über Sicherheitsmängel und Datenpannen auf Anbieter von Cloud-Diensten sowie Soft- und Hardwaresteller ausdehnen. Dies sei bei Mängel oder Sicherheitslücken beim Anwender entscheidend, wenn diese beim Anwender "zu Schäden an Leib, Leben, Gesundheit und Eigentum führen können". Dies könne teils durch Übereinkünfte im Rahmen des Programms "Trusted Cloud" erfolgen, meinte Reichenbach, teils über einen "2. Korb" fürs IT-Sicherheitsgesetz.

Das Bundesamt für die Sicherheit in der Informationstechnik (BSI) soll "in seiner neutralen Rolle und Beratungsfunktion gestärkt werden". Dazu wollen es die Sozialdemokraten aus dem Weisungsbereich des Bundesinnenministeriums ausgliedern und unabhängig aufstellen. Zugleich soll das Amt verpflichtet werden, "öffentliche Warnungen unter Nennung des Produktes und Herstellers sowie gegebenenfalls der Sicherheitslücke auszusprechen, wenn nach Informationen an den Hersteller der Software und nach einem angemessenen Zeitablauf die Sicherheitslücke nicht geschlossen wurde".

Um die "Selbstimmunisierungsfähigkeit" der "digitalen Welt" zu verbessern, will die SPD dem BSI eine Stelle angliedern, bei der jeder IT-Schwachstellen melden kann. Dies solle auch anonym oder pseudonym möglich sein. Das "verantwortungsvolle Handeln von Sicherheitsforschern und Entdecken von Sicherheitslücken" müsse gesetzlich besser geschützt werden. Dabei seien auch die Hackerparagrafen und die damit verbundene Strafbarkeit derjenigen zu überprüfen, die unbefugt in fremde Systeme eindringen, um diese zu testen.

Generell soll die IT-Sicherheitsforschung im Bereich digitaler Infrastrukturen und Souveränität ausgebaut werden. Auch Unternehmen, die keine kritischen Infrastrukturen betreiben, müssten ihr Datensicherheitsniveau erhöhen, ist auf den 5 Seiten nachzulesen. Hilfreich sein könne auch eine "Landkarte" digitaler Kompetenzen, die vor allem kleinen und mittleren Firmen einen schnellen Überblick über Partner verschaffe. Zulassungs- und Zertifizierungsregime sollen vertrauenswürdige Soft- und Hardware fördern. Das Projekt "sichere Identitäten" müsse erweitert werden, um "grenzüberschreitende Anwendungen bei der elektronischen Identifizierung" oder der qualifizierten digitalen Signatur zu ermöglichen.

Ziel der SPD ist es – wie in der digitalen Agenda der Bundesregierung auch –, "Deutschland zum Leitmarkt und Leitanbieter für IT-Sicherheit zu machen". Gebraucht werde dazu etwa ein Förderprogramm des Bundeswirtschaftsministeriums, um "vertrauenswürdige Verschlüsselungsverfahren" weiterzuentwickeln und Bürgern sowie Unternehmen "wirksame und einfach zu nutzende Selbstschutzinstrumente an die Hand zu geben". Im Behördenverkehr sowie bei Sozial- und Gesundheitsdaten soll Ende-zu-Ende-Verschlüsselung "als Angebot" verbindlich vorgeschrieben werden. Die "Quellen-TKÜ", mit der Internet-Telefonie vor oder nach einem Entschlüsseln abgehört werden kann, müsse auf eine klare gesetzliche Grundlage gestellt werden. (axk)