Eine Milliarde vernetzter Geräte sind eine zentrale Herausforderung

Bild: J. Tauss

Vom Auf und Ab der staatlichen IT-Sicherheitsdebatte

Der folgende Beitrag ist vor 2021 erschienen. Unsere Redaktion hat seither ein neues Leitbild und redaktionelle Standards. Weitere Informationen finden Sie hier.

Im Jakob- Kaiser -Haus, einem dieser hohen Bürogebäude des Deutschen Bundestags, hängen vier in den Farben schwarz-rot-gold und blau (für Europa) lackierte "Ruderachter". An Seilen sollen diese Boote mittels Motor in einer als "Auf und Ab" bezeichneten Installation der Künstlerin Christiane Möbus ständig in Bewegung sein. Theoretisch. Denn seit längerer Zeit dümpeln sie eher bewegungslos im ruhenden Zustand an der Decke. Insofern ist das Kunstwerk auch ein Symbol für die aktuelle IT- Politik.

Seit der Kryptodebatte in den neunziger Jahren - erinnert sich noch jemand an die Regulierungsforderungen des damaligen Innenministers Manfred Kanther (Pluto)? - gibt es auch hier bestenfalls ein Auf und Ab von IT- Sicherheitsgesetzen und Behördengründungen. Entsprechend beschäftigte sich auch dieser Tage der Bundestagsinnenausschuss zwei Stunden lang mit dem Thema "IT- Sicherheit". Vor allem Abgeordneten von CDU/ CSU stand die Langeweile ins Gesicht geschrieben, sich mit dem Thema und einigen, teilweise seit Monaten vorliegenden, Anträgen der Opposition beschäftigen zu müssen.

Die SPD- Abgeordnete Saskia Esken vergaß zwischendurch sogar, dass es sich um eine Expertenanhörung handelte, und stellte ihre Frage an einen der anwesenden Beamten vom Ministerium des Inneren. Dieses Ansinnen wurde von dort natürlich erschrocken von sich gewiesen. Das Ministerium machte die Abgeordnete auf die Möglichkeit aufmerksam, doch passender zu einem anderen Zeitpunkt von dort direkt Auskunft zu erbitten.

Der CDU-Abgeordnete Philipp Amthor hielt sich dem gegenüber mit gar keinen Fragen an Niemand auf. Er beschäftigte sich, wie in einer lästigen Schulstunde, lieber mit seinem Laptop und mit Plaudereien mit dessen Nachbarn. Die Union bekräftigte mit Christoph Bernstiel ungefragt noch deren uneingeschränktes Vertrauen zum Bundesamt für Sicherheit in der Informationstechnik (BSI). Lediglich wollte er noch wissen, wohl vom eigentlichen Thema der oppositionellen Bundestagsanträge ablenkend, was denn "die Wirtschaft" zur IT-Sicherheit beitrüge. Dr. Rainer Baumgart von secunet antwortete so ehrlich wie erwartungsgemäß, dass es damit in Großkonzernen besser und in kleineren Betrieben mangels Kompetenz und Bereitschaft zu Investitionen eher schlechter bestellt sei.

FDP, Grüne und Linke nahmen sich im Gegensatz zur Großen Koalition des Themas allerdings durchaus ernsthaft an. Und nicht nur deren eingeladene Fachleute hatten viel Kritik und Anregungen auf Lager. Dr. Aleksandra Sowa, von der Linken benannte Sachverständige, brachte es mit einer einfachen Frage auf den Punkt. Der Gesetzgeber müsse sich endlich entscheiden: "Wollen Sie mehr staatliche Überwachung und somit weniger IT- Sicherheit oder mehr Kriminalität für Bürgerinnen und Bürger durch weniger IT- Sicherheit?"

Dem schloss sich Frank Rieger vom Chaos Computer Club (CCC) grundsätzlich an. Auch wenn die Debatte um Kryptografie aktuell keine Rolle spiele, fehle es beispielsweise an einer klaren Gesetzgebung zugunsten des Rechts auf kryptografischen Selbstschutz.

Der Präsident des BSI, das vor Jahrzehnten an Seiten des damaligen Innenministers Kanther sogar noch wacker für Kryptoregulierungen stritt, versteht sich heute wohl eher der Gegenseite zugehörig. Immerhin ist das wohl als eine der erfreulicheren Entwicklung im Auf und Ab zu konstatieren. Alle Sachverständigen erhoffen sich jedoch, wie auch die Bundestagsopposition, mehr Unabhängigkeit des BSI vom Innenministerium des Herrn Seehofer. Beispielsweise nach Muster des Bundesbeauftragten für Datenschutz und Informationsfreiheit, schlug Dr. Sven Herpig von der Stiftung "Neue Verantwortung" vor.

"Dürfen Sie offen sagen, dass Backdoors des Teufels sind?" wollte Manuel Höferlin von der FDP vom BSI- Chef wissen. "Aber natürlich darf ich das. Es fragt sich nur wie oft", antwortete der und hatte so zumindest die Lacher an seiner Seite. Weniger zum Lachen ist das Kompetenzwirrwar deutscher Behörden in der staatlichen Cybersicherheitsarchitektur.

Herpig wurde dazu sehr deutlich: Deutschland sei in Sachen IT- Sicherheit schlicht "strategieunfähig". Er lieferte als Beleg auch die Grafik dazu:

Grafik: Neue Verantwortung

Die Kriminalisierung von Hackern sei psychologisch verheerend

Trotz der Schaffung immer neuer Strukturen fehle, so Herpig, ein "whole of government"-Ansatz unter Beteiligung der Zivilgesellschaft. Wie wohl auch die der Wirtschaft. Die bisherigen Sicherheitsaktivitäten seien vor neuen Maßnahmen daher erst einmal zu evaluieren. Die aktuelle Devise der Bundesregierung sei "mehr haben wollen, als brauchen". Zugleich forderte Herpig eine Umorganisation des Cyber- Abwehrzentrums (Cyber-AZ) und eine klare Festlegung von dessen Kommunikationspflichten gegenüber anderen Behörden.

Er warnte wie Rieger davor, das Zivile im IT- Bereich immer stärker mit Militär und Geheimdiensten zu vermengen. Auch der Widerspruch, einerseits das BSI als Hacker zu beauftragen und andererseits den Diensten zur Verfügung zu stehen, fördere keinerlei Vertrauen. "Sie werden so auch kein qualifiziertes Personal finden", sagte Rieger. Die Kriminalisierung von Hackern sei psychologisch verheerend. "Warum soll ich einem Staat helfen, der mich bestraft?", stellte er als Frage in den Raum. Das Vertrauen sei schon jetzt geschädigt, wenn Sicherheitslücken an Dienste geliefert werden, statt diese zu schließen. Schon der Hackerparagraph des Strafgesetzbuches (§202c StGB) war in diesem Sinn völlig kontraproduktiv, so der CCC- Sprecher.

Auch Herpig kritisierte wie Sowa, dass es staatlicherseits keine "rote Linie" bei Eingriffen in die Integrität informationstechnischer Systeme gibt. Mildere Mittel als Trojaner seien selbst nach Auffassung des Bundeskriminalamts vorhanden. Dennoch halte man an einer falschen Strategie fest.

Qualität der Sicherheit in Geräten nicht verbessert

Was gab es sonst noch? Technische Geräte sollten beispielsweise IT- Sicherheitskennzeichnungen erhalten. Angaben zum Stromverbrauch seien vorgeschrieben. Angaben zu Updates der Software in Produkten nicht. Die Qualität der IT- Sicherheit in den Produkten verbessere sich nicht, warnte Schönbohm.

Dies bekräftige Klaus Landefeld vom Verband der Internetwirtschaft (eco). Rund eine Milliarde vernetzter Geräte seien eine zentrale Herausforderung, die Sicherheit der Systeme zu erhöhen und sie nicht durch weitere Zugriffsrechte des Staates oder der Geheimdienste zu gefährden.

Man darf gespannt sein ob solche Appelle künftig fruchten oder sich weiter davor fürchten, was der Gesetzgeber demnächst in Sachen IT im Auf und Ab auf dem Schirm hat. Mehr Optimismus dürfte aber leider wohl nicht angebracht sein. Denn trotz der erfreulich klaren Oppositionsanträge im Bundestag geschieht dort, wo auch FDP, Grüne, Linke und voran die SPD in den Ländern Verantwortung tragen, das genaue Gegenteil.

Insofern ist die Union mit ihrem Gang in den Präventionsstaat wenigstens auf allen Ebenen konsequent. In der Länderkammer ist demgegenüber zwischen der CSU in Bayern und der Linken in Brandenburg kein Unterschied festzustellen. Daran ändern auch noch so kluge Forderungen im Deutschen Bundestag offensichtlich leider gar nichts. Was hilft die die Forderung einer Anke Domscheit-Berg und ihrer linken Fraktion, Sicherheitslücken von staatlicher Seite gezielt zu schließen, statt auszuschließen? Noch nicht einmal in ihrer Heimat Brandenburg interessiert das die Partei, für die sie in den Deutschen Bundestag gewählt wurde.

Empfohlener redaktioneller Inhalt

Mit Ihrer Zustimmmung wird hier eine externe Buchempfehlung (Amazon Affiliates) geladen.

Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit können personenbezogene Daten an Drittplattformen (Amazon Affiliates) übermittelt werden. Mehr dazu in unserer Datenschutzerklärung.