Die Cybersicherheitsverwahrlosung Deutschlands – Kommentar zur neuen Agenda

Inhaltsverzeichnis

Es hätte so schön werden können: Ende 2021 bildet sich eine neue Regierung – das allein ist für die Sicherheitssituation der Menschen in Deutschland bereits eine gute Nachricht. Der Koalitionsvertrag klingt verheißungsvoll: Der Mensch und seine Bürgerrechte, seine Freiheit und seine Schutzbedürfnisse stehen im Mittelpunkt jedweder sicherheitspolitischen Erwägung. Nach Jahren und fast Jahrzehnten der Schwarzseherei endlich ein Lichtblick: Evidenzbasiert und vor allem nachhaltig sollen die Maßnahmen sein, die uns alle im digitalen Zeitalter schützen!

Ein Kommentar von Caroline Krohn...

Caroline Krohn ist IT-Sicherheitsexpertin für nachhaltige Wirtschaft und sichere Digitalisierung. Krohn ist Gründerin und Sprecherin der Arbeitsgemeinschaft Nachhaltige Digitalisierung (AGND).

• Caroline Krohn auf Twitter
• Internetpräsenz der AGND (im Werden – ab Ende Juli)

...und Manuel Atug

Manuel Atug ist IT-Sicherheitsexperte für kritische Infrastrukturen und als @HonkHase im Netz aktiv.

• Twitter-Account von Manuel Atug

AG Nachhaltige Digitalisierung (AGND)

Die Arbeitsgruppe Nachhaltige Digitalisierung (AGND) ist eine Gruppe unabhängiger Fachleute, die sich mit den Langzeitfolgen der Digitalisierung befasst. Die soziale Komponente der Nachhaltigkeit wird in den Analysen, Publikationen, Vorträgen und Projekten in den Vordergrund gestellt. Kernforderung dieser Arbeitsgruppe ist es, technische Schulden an kommende Generationen zu vermeiden und Security by Design in allen Institutionen und Systemen durchzusetzen. Bei der Digitalen Transformationen verantwortungsvolle Maßnahmen einzuleiten und gewissenhaft durchzuführen, also zu operationalisieren, ist gleichsam eine technische wie ethische Aufgabe. Die beiden IT-Sicherheitsexpertinnen Caroline Krohn und Manuel Atug haben die AGND unlängst gegründet und sie befindet sich derzeit im Aufbau. Weitere Informationen, Termine und Publikationen folgen demnächst über die Webseite und via YouTube.

• Internetpräsenz der AG Nachhaltige Digitalisierung (AGND) – im Aufbau

Die darin enthaltene Überwachungsgesamtrechnung soll 2023 erfolgen. Nach ihr dürfte künftig das Beschneiden von Bürgerrechten durch erweiterte Befugnisse des Staates und seiner Sicherheitsbehörden in eine Verhältnismäßigkeit zu den Grundrechten des Einzelnen gerückt werden, sie wird die Grundlage aller künftigen Sicherheitsgesetze sein. Vorher – so steht es ausdrücklich im Koalitionsvertrag – werden keine neuen Sicherheitsgesetze, das heißt: keine neuen Eingriffe in die Grundrechte, verabschiedet. Soweit, so hoffnungsvoll.

Die Cybersicherheitsagenda: Seehofern mit der Gießkanne

Eines muss man Bundesinnenministerin Nancy Faeser zugutehalten: Der Posten wurde ihr sehr kurzfristig angetragen. Es war daher nicht zu erwarten, dass sie sich vor ihrer Ernennung mit dem Koalitionsvertrag befasst hat. Ihre Mitarbeiter waren offenbar so vorausschauend anzunehmen, dass für sie in der neuen Bundesregierung kein Platz sein würde. Es wird sie überrascht haben, dass sie in ihren Funktionen verweilen durften. Mehr noch, sie haben sogar freie Hand, die alte Seehofer-Politik nahtlos fortzusetzen und in die neue Cybersicherheitsagenda zu gießen – die Ministerin Faeser dann bereitwillig vorstellte.

Nachhaltigkeit, also das Vermeiden von Menschen- und Bürgerrechtsschulden gegenüber zukünftigen Generationen, kommt in dieser Agenda nicht vor. Im Gegenteil: Die Sicherheitsbehörden sollen noch mehr Befugnisse erhalten und müssen noch weniger befürchten, diese wieder zurückzuschrauben. Die Gefahrenlage wird noch höher geschrieben, per Gießkannenprinzip soll noch mehr Geld für Überwachungsmaßnahmen ausgegeben werden, und die Zivilgesellschaft soll noch weniger gehört werden: Diese Agenda schreibt dystopische Verhältnisse fest.

Ob Hackback nun das "Abschalten anderer Server mit staatlichen Mitteln" oder einen "aggressiven Gegenschlag" meint, schlussendlich kann damit der durch einen erfolgreichen Angriff entstandene Schaden nicht verhindert oder rückgängig gemacht werden. Er bleibt ein digitaler Vergeltungsschlag, in dem unter anderem die AG KRITIS, ein unabhängiger Zusammenschluss von Sicherheitsfachleuten mit besonderer Expertise im Bereich Kritische Infrastrukturen, eine gefährdende Maßnahme sieht. Auch der Verein für liberale Netzpolitik LOAD e.V. formuliert dazu treffend, es handele sich um "eine bewusste Irreführung der Öffentlichkeit“.

Zauderndes Schwachstellenmanagement statt Lösung

Die Agenda spricht weiterhin von "Schwachstellenmanagement". Statt Schwachstellen zu beheben, soll der Staat sie managen, also verwalten. Das ist insbesondere dann erforderlich, wenn sie dazu genutzt werden, Verschlüsselungssysteme von Smartphones, Messengern, IT-Systemen der Wirtschaft und vielen mehr unsicher zu machen – um diese Unsicherheiten für Ermittlungen auszunutzen. Offen gehaltene Schwachstellen helfen nicht, Deutschland digital abzusichern. In einer staatlichen Cybersicherheitsagenda wirken sie umso befremdlicher.

Über die in der Bundesverwaltung angestrebte Etablierung des Grundsatzes "Security by Design And by Default" könnte man sich grundsätzlich freuen. Allerdings verkommt das zu einem Buzzword, wenn dahinter keine rechtsverbindlichen Verpflichtungen stehen. Bereits die letzten beiden Bundesregierungen haben diese Formulierung verwendet, ohne konkret etwas umzusetzen. Offenbar verstehen die Sicherheitsbehörden und das Ministerium noch immer nicht, was zur Absicherung im Cyberraum erforderlich ist.

Auch der Rechtswissenschaftler und Professor für IT-Sicherheitsrecht Dennis-Kenji Kipker lässt in Bezug auf die aktive Cyberabwehr kein gutes Haar an der Agenda. Bei der vorgesehenen Stärkung der ZITiS erkennt er eher eine Schwächung der Cybersicherheit, da die offensiven Maßnahmen die Systeme im Endeffekt kompromittieren. Die verklausuliert erwähnte Chatkontrolle führt die Cybersicherheit wegen der damit verbundenen anlasslosen Massenüberwachung der vertraulichen Kommunikation aller EU-Bürgerinnen ad absurdum. Hier sollen offenbar die EU-Kommission und der weiterhin Seehofer-geneigte Unterbau im BMI befriedet werden – Innenministerin Faeser selbst hatte sich kürzlich allerdings klar dagegen geäußert.

Konzentriert euch auf das Wesentliche: denkt Menschenschutz vom Individuum aus

Es ist nicht nur angemessen, sondern absolut notwendig, zu dafür zu sorgen, dass Menschen im digitalen Zeitalter in Deutschland, Europa und der Welt ihr Leben selbstbestimmt führen können. Das bedeutet, dass der Staat den Menschenschutz gewährleistet – durch bessere Verschlüsselung, mit dem Durchsetzen von Security-by-Design in allen Entwicklungen sowie durch Privacy-by-Design in allen digitalen Produkten und Prozessen. Eine gut durchdachte Stabilisierung der digitalen Infrastruktur und der Erhöhung der Resilienz kritischer Infrastrukturen ist dafür die Grundvoraussetzung. Geopolitsche Machtfantasien hingegen – gleichgültig, ob nach innen oder nach außen – gehören im 21. Jahrhundert nicht mehr in Sicherheitskonzepte. Die Konzentration auf Stabilisierung – auch ohne Blockchain, Hackback, Staatstrojaner und KI – ist nicht schick und glitzert nicht, ist jedoch unabdingbar und das einzig Sinnvolle.

Ermutigend sind Stellungnahmen der Außenministerin Annalena Baerbock vom letzten Wochenende. Auf Twitter schreibt sie: "Bei der Abwehr von Cyberangriffen aus dem Ausland müssen die Grundsätze des Völkerrechts gelten. Dazu gehört ein Recht auf Selbstverteidigung, aber auch der Grundsatz der Verhältnismäßigkeit und keinesfalls Vergeltungsangriffe."

Weiter fordert Baerbock, innere und äußere Sicherheit gemeinsam zu klären. Diese Aussage stimmt hoffnungsvoll, dass mit der Cybersicherheitsagenda des Bundesinnenministeriums das letzte Wort noch nicht gesprochen ist. Sicherheit will durchdacht sein. Menschenschutz muss vom Individuum aus gedacht werden.

(sih)