Deutschland und IT-Sicherheit

von Aleksandra Sowa5.06.2019Innenpolitik, Wirtschaft

Veni, vidi … und dann sind wieder nach Hause gegangen. Warum es dennoch richtig war, an dem sonnigen Aprilmontag der öffentlichen Anhörung des Ausschusses für Inneres und Heimat zum Thema „IT-Sicherheit“ beizuwohnen? Weil man die Angelegenheiten, die wichtig sind, zweimal erwähnen sollte. Oder auch dreimal.

Alle waren sie da: Netzpolitik.org, Telepolis.de, Vertreter der Presse, Zuschauer und Interessierte, Sachverständige vom eco-Verband der Internetwirtschaft e. V., Stiftung Neue Verantwortung (SNV), Gesellschaft für Informatik e. V. sowie Vertreter der Privatwirtschaft. Manche mit, andere ohne einen kurzen Umweg über die Bundestagskantine – bekannt gleichermaßen für ihre kulinarischen wie kommunikationstechnischen Vorzüge, auch die tolle Aussicht auf die Spree soll nicht unerwähnt bleiben. Um 14 Uhr des 8. April 2019 war die Tribüne zur öffentlichen Anhörung des Ausschusses für Inneres und Heimat des Deutschen Bundestages gefüllt. Die Zivilgesellschaft, die das Bundesamt für Sicherheit in der Informationstechnik (BSI) in Projekten wie „Institutionalisierung des gesellschaftlichen Dialogs“ nun stärker am gesellschaftlichen Dialog zum Thema Cyber-Sicherheit (institutionell) beteiligen möchte , erfüllte die in sie gesetzten Erwartungen und erschien zahlreich.
In seinem schriftlichen Statement lobte noch Dr. Sven Herpig von der SNV „das bisherige Primat des Zivilen bei der Cybersicherheit“, aber auch eine „(begrenzte) öffentliche Debattenkultur und Gesprächsbereitschaft der Verantwortlichen“ als Maßnahmen zur IT-Sicherheit, die „im internationalen Vergleich als positiv zu bewerten sind“ . Doch aktuell, wie Sven Herpig später in seinem mündlichen Statement bemerken sollte, würde das Wissen um und die Beteiligungsmöglichkeiten der Zivilgesellschaft bei dem Thema IT-Sicherheit massiv davon abhängen, ob Gesetzesentwürfe ins Internet geleaked werden. Ein Wink in Richtung des IT-Sicherheitsgesetzes (ITSiG 2.0), dessen Referentenfassung einige Tage zuvor online aufgetaucht war.

Dem Wunsch des Bundesministeriums des Innern entsprechend sollte die öffentliche Debatte zum ITSiG 2.0, wenn überhaupt, erst nach „der Verabschiedung durch das Kabinett Mitte des Jahres“ erfolgen. Früher wollte man den Entwurf nicht veröffentlichen. Die Autoren hinter Netzpolitik.org sahen es offenbar anders und kamen der geplanten sommerlichen Veröffentlichung durch das Ministerium bereits im Frühling zuvor. So war der Gesetzesentwurf am Tag der Anhörung zwar allen bekannt, stand aber nicht zur Diskussion.

Gute Vorschläge

Das Interesse der Politik an der Stärkung der IT-Sicherheit fiel an diesem sonnigen Aprilmontag bescheidener aus. Zögerlich füllten sich die vorreservierten Reihen mit Vertretern der Fraktionen, viele Plätze blieben frei, man kam später – oder ging (wie die Vorsitzende des Ausschusses) früher. Tatsächlich war einer der Anträge zur IT-Sicherheit zum Zeitpunkt der Anhörung bereits über ein Jahr alt: „IT-Sicherheit stärken, Freiheit erhalten, Frieden sichern“ der Fraktion BÜNDNIS 90/DIE GRÜNEN (19/1328) war auf den 21.3.2018 datiert. Erheblich jüngeren Datums waren die Anträge der Fraktion DIE LINKE (19/7705) „Umsetzung effektiver Maßnahmen für digitale Sicherheit statt Backdoors“ und der Fraktion der FDP (19/7698) „Digitalisierung ernst nehmen – IT-Sicherheit stärken“ – beide stammten immerhin aus dem Jahr 2019. IT-Sicherheit stärken, Freiheit erhalten, Privatsphäre stärken, effektive Maßnahmen einführen, hinreichende Ressourcen bereitstellen, Ende-zu-Ende-Verschlüsselung als Recht gewährleisten: Allesamt tolle Anträge mit guten Ideen, Lösungsansätzen und Vorschlägen, wie man IT-Sicherheit – diese „Achillesferse des Informationszeitalters“ , wie die Fraktion der FDP sie in ihrem Antrag nannte ‒ in Deutschland und Europa stärken solle.

Kraft der Wiederholung

Ein Déjà-vu-Effekt setzte dennoch ein: Backdoors (Hintertüren), Recht auf Verschlüsselung, Hackbacks und die Rolle der Bundeswehr bei all dem, Cyber-Abwehr, Gegenangriffe und die Ausgründung (oder Neugründung) einer unabhängigen Behörde mit Zuständigkeit Digitales und/oder IT-Sicherheit, Überwachungs-Software und ihre Exporte – all das ist schon einmal da gewesen. Seit mittlerweile mehr als 20 Jahren wird debattiert, werden Experten angehört und Lösungen vorgeschlagen: ob im Virtuellen Ortsverein, der Möglichkeiten des Internets für die politische Arbeit erproben wollte, in der Enquetekommission „Zukunft der Medien in Wirtschaft und Gesellschaft“, ob anlässlich der Beinahe-Verhaftung von Phil Zimmermann, Erfinder von Pretty Good Privacy (PGP), wegen (illegaler) Exporte von Verschlüsselungs-Software, ob zu den Stellungnahmen namhafter Kryptologen und IT-Sicherheitsexperten zu Backdoor (u. a. mit dem Paper: Keys und Doormats ) – oder zuletzt anlässlich des Widerstands von Apple, den US-Behörden Zugriff auf das iPhone des San-Bernardino-Attentäters einzuräumen.

Fast schon gebetsmühlenartig – und auch wenn es scheint, dass alle Argumente und Kontraargumente bereits ausgesprochen, ausgetauscht und gehört wurden – wird die Frage aufgeworfen, ob nun mehr Sicherheit durch die Kryptografie oder mehr Sicherheit trotz der Kryptografie möglich sei, an die auch in dieser Anhörung Konstantin von Notz von der Fraktion BÜNDNIS 90/DIE GRÜNEN erinnern sollte. „Die getroffenen Regelungen, Ausgestaltungen und Maßnahmen des Sicherheitsmanagements unterlaufen einander teilweise selbst“, bemerkte in ihrem Antrag die Fraktion DIE LINKE, „[s]olange der Widerspruch, zwischen der scheinbaren Notwendigkeit des Besitzes von Sicherheitslücken einerseits und dem Willen, IT-Systeme durch die Schließung von Sicherheitslücken zu härten andererseits, nicht aufgelöst ist, werden die eigenen Anstrengungen stets konterkariert.“ Straftaten in Computernetzen können bspw. tatsächlich weniger durch Verbot oder Schwächung von Verschlüsselung oder Aufhebung von Anonymität, sondern „nur vermieden werden, wenn die Vertraulichkeit der Kommunikation mittels sicherer Verschlüsselung gewährleistet ist“ , hielt die Enquetekommission in ihrem Schlussbericht fest. Dies war im Jahr 1998.

Sicherheit ohne Hintertüren

Während die Fraktion BÜNDNIS 90/DIE GRÜNEN in ihrem Antrag noch eine „hinreichend konkrete gesetzliche Grundlage“ und ein „rechtsstaatskonformes Verfahren“ für die „behördliche Ausnutzung von Schwachstellen (‚vulnerabilities‘)“ und Hackbacks forderte, wurden diese im Antrag der Fraktion DIE LINKE bereits alternativlos ausgeschlossen. Man forderte explizit, „sogenannte Hackbacks durch staatliche Institutionen auszuschließen und zu ächten“.

Auch der Frage des Einsatzes (oder gezielten Einkaufs) von Sicherheitslücken wie Backdoors (Hintertüren, bspw. in der Software) oder Zero-Day-Exploits standen die Fraktionen, wenn auch differenziert, dennoch negativ gegenüber: Die Fraktion der FDP forderte, „sich gegen gesetzliche Beschränkungen oder Verbote kryptografischer Sicherungssysteme auszusprechen; den Einsatz von sogenannten Backdoors zu verurteilen und eine staatliche Beteiligung an digitalen Grau- und Schwarzmärkten für Sicherheitslücken abzulehnen“ . Noch dezidierter war die Forderung der Fraktion DIE LINKE: „[…] den Einsatz von Staatstrojanern zu unterbinden und Sicherheitslücken wie Backdoors oder Zero-Day-Exploits weder zu nutzen noch anzuschaffen“ .

Zwar würden beide Anträge vermutlich nicht verhindern können, dass der Staat den Einsatz, Einkauf oder die Nutzung von Backdoors oder anderen Sicherheitslücken und/oder Schwachstellen an private Subunternehmen auslagert. Auch wollte man deren Einsatz nicht explizit sanktionieren. Doch in der Tendenz zeigte sich eine durchaus kritische Einstellung der Opposition den Maßnahmen gegenüber. Denn auch wenn es im Einzelfall gute Gründe geben kann, eine Backdoor zu nutzen, spricht aus gesamtgesellschaftlicher Perspektive alles dagegen: Sicherheitslücken jeder Art machen das Internet nicht sicherer – sondern unsicher. Bedauerlich, dass sich diese Erkenntnis auch 20 Jahre nach der Enquetekommission noch immer nicht als Allgemeingut durchgesetzt hat. Wie der US-Sicherheitsguru Bruce Schneier konstatierte: Wenn man Hintertüren einbaut oder für etwaige Gegenangriffe offen hält, sollte man dafür sorgen, dass nur die „guten Jungs“ sie nutzen, und zwar nur dann, wenn sie es sollen. Die Welt wäre allerdings viel sicherer, wenn es sie gar nicht gäbe.

Gute Jungs, böse Jungs

Entsprechend kritisch fiel die Bewertung der geplanten „aktiven Gegenmaßnahmen“ der Bundesregierung im Fall eines Cyber-Angriffs auf deutsche Anlagen und/oder Infrastruktur aus. Laut Sven Herpig würde der Bundesregierung „eine kohärente und umfassende Strategie“ fehlen, „wie politisch auf Cyberoperationen zu reagieren ist“. Damit sei auch ein „allgemeingültiges Verständnis von ‚Aktiver-Abwehr‘ (bekannt als ‚Hackbacks‘)“ wie auch „gemeinsame, international harmonisierte Attributionsstandards“ gemeint. Für die Fraktion BÜNDNIS 90/DIE GRÜNEN seien die „bisherigen gesetzgeberischen Aktivitäten der Bundesregierung zum Schutz digitaler Infrastrukturen und Kommunikation […] absolut unzureichend“ und die „IT-Sicherheitspolitik […] von zahlreichen Widersprüchen gekennzeichnet“ .

Mit dem (beweis-)technisch bis dato nicht eindeutig lösbaren Problem einer eindeutigen Zuordnung einer Cyber-Attacke zu einem bestimmten Angreifer, um diesen ggf. als Ziel eines potenziellen Gegenanschlags (bzw. Hackback) zu identifizieren, der sogenannten Attribution, gehen die Fraktionen sehr unterschiedlich um:

Die Fraktion BÜNDNIS 90/DIE GRÜNEN schlug die Einrichtung einer unabhängigen Organisationseinheit zur „Bewertung einer etwaigen Zurechenbarkeit von Angriffen“ vor. Die Fraktion der FDP forderte: „Die Bundesregierung soll […] die weitere Prüfung zur Schaffung einer rechtlichen Grundlage für Hack Backs umgehend einstellen.“ Die Fraktion DIE LINKE forderte die Bundesregierung auf, sie solle „sogenannte Hackbacks durch staatliche Institutionen“ ausschließen und ächten.

Faktor Mensch

Statt Strategien für Kriege der Zukunft zu ersinnen, wäre es für alle vermutlich besser, wenn Unternehmen und Behörden ihre Systeme und Netzwerke angemessen ‒ gemäß dem Stand der Technik ‒ absichern, in Firewalls und Perimeter-Sicherheit und in gut ausgebildete sowie erfahrene Spezialisten investieren, damit externe Angreifer nicht mehr wie bisher mit Nonchalance in die Systeme eindringen, sie sabotieren, erpressen oder Informationen entwenden können. Und nicht erst auf den Hinweis der Geheimdienste warten, ob sie eventuell doch Opfer einer Cyber-Attacke geworden sind. „Zu lange hat die Bundesregierung die im Mittelpunkt stehenden Fragen der IT-Sicherheit der Selbstregulierung der Wirtschaft überlassen und eine Politik verfolgt, die die Interessen von Sicherheitsbehörden vor den effektiven Schutz von Grundrechten und sichere digitale Angebote stellt“ , kritisierte die Fraktion BÜNDNIS 90/DIE GRÜNEN in ihrem Antrag.

Und es sind doch die „sehr gut ausgebildeten IT-Spezialist/-innen“, die Sven Herpig in seinem Statement positiv hervorgehoben hat. Es solle außerdem niemand Programmieren lernen, forderte Frank Rieger vom CCC, ohne dass er lernt, sicher zu programmieren. Es gäbe ein Curriculum für das Fach Informatik an den Schulen , das von der Gesellschaft für Informatik entwickelt wurde. Auch dem Fach Medienkompetenz könne man einiges abgewinnen, wenn man mit der IT-Sicherheit an der „Schwachstelle Mensch“ ansetzen möchte, nach der sich Anke Domscheit-Berg von der Fraktion DIE LINKE erkundigte. Frank Rieger schlug eine dynamische Zertifizierung nach KRITIS-Vorbild vor, Sven Herpig forderte die stärkere Beteiligung der Zivilgesellschaft, und der BSI-Präsident, Arne Schönbohm, bedankte sich für die Ausgestaltung von BSI in den Haushalten 2018 und 2019 mit „einer großen Zahl an neuen Stellen“.

Der rote Faden

Den Vorschlägen und dem Dank ist nichts entgegenzusetzen. Doch: ein „schlüssiges Konzept einer einheitlichen Strategie für mehr digitale Sicherheit“ , wie im Antrag der Fraktion DIE LINKE gefordert, fehlt. Deutschland sei in Sachen IT-Sicherheit derzeit „strategieunfähig“, sagte Sven Herpig im Innenausschuss. Tatsächlich verhält es sich mit den Vorschlägen und Lösungsansätzen zur IT-Sicherheit ein wenig wie in dem dürrenmattschen Hörspiel Herkules und der Stall des Augias:

EINE STIMME:

Bilden wir eine Oberkommission!

ALLE:

Beschlossen schon: Wir bilden eine Oberkommission!

Es fehlt nicht an Mikromanagement – es fehlt die Strategie. Und das seit Langem – spätestens seit der Enquetekommission-Bericht 1998 veröffentlicht wurde. Der Bundestag wird eine grundsätzliche Entscheidung treffen müssen: Möchte man weiterhin Technologien fördern, die Überwachung, Lebens- und Arbeitskontrolle stärken – oder möchte man in Technologien investieren, die neue Lebens- und Arbeitsentwürfe ermöglichen, die die Freiheit und Demokratie stärken. Sollten die technologischen Entwicklungen wie bisher in die Richtung gelenkt werden, die nicht die bestehenden Autoritätsstrukturen infrage stellen? Fragen, über die, wie der Anthropologe und Autor von „Bürokratie“ David Graeber, vermutete, Industriekapitäne und Staatsmänner bereits seit geraumer Zeit nachgedacht hätten.

Möglicherweise ist die Berufung von Prof. Dr. Günter Krings in dem neu gegründeten Nationalen Pakt Cybersicherheit für die IT-Sicherheit richtungsgebend. Der Pakt wurde im Koalitionsvertrag vereinbart und vom BMI als für die Cyber- und Informationssicherheit federführend zuständiges Ressort umgesetzt. Es soll „künftig je ein „Top-Management“-Repräsentant aus Politik, Wirtschaft […] Wissenschaft und Zivilgesellschaft den Nationalen Pakt Cybersicherheit kommunikativ begleiten. Für die Politik wird diese Rolle durch […] Staatssekretär […] Prof. Dr. Krings, wahrgenommen werden“ . Es ist derselbe Innensekretär Krings, der der Süddeutschen Zeitung erklärte: „Anonymes Surfen ‒ das brauche man nicht in einer Demokratie“.

Das Gegenteil davon ist richtig: Gerade in einem freien Land, in einer Demokratie, braucht man Anonymität – ob im Internet oder anderswo. Um es mit Friedrich Dürrenmatt zu halten, es seien nicht die Beherrschten, die bewacht werden müssen, sondern die Herrschenden.

KOMMENTARE

MEIST KOMMENTIERT

Die erstaunlichen Geschäfte der Greta Thunberg-Lobby

Greta Thunberg bricht mit einem Segelboot in die USA auf. Das globale Medienspektakel um die Klimaschützerin erreicht einen neuen Höhepunkt. Doch im Hintergrund ziehen Profis ihre PR-Strippen und machen erstaunliche Geschäfte.

"Ganz klar die Ausländerkriminalität."

Vor einigen Wochen stellte Friedrich Merz völlig zu Recht - aber natürlich auch völlig entsetzt - fest, dass sehr viele Polizisten und Soldaten mittlerweile Unterstützer der Alternative für Deutschland sind.

Der Rest der Welt hält Deutschland für verblödet

Deutschland ist nur für kaum mehr als 1 % des weltweiten CO2-Ausstoßes verantwortlich ist, während China, der größte Emittent, vom Pariser Klimaschutzabkommen das Recht auf Steigerung seiner CO2-Emissionen eingeräumt bekommen hat. Die politisch herbeigeführte Verelendung der deutschen Bevölk

Unsere Positionen sind keineswegs AfD-nah

Gern unterstellen unsere Gegner der WerteUnion, unsere Positionen seien AfD-nah. Die Realität ist aber, dass die WerteUnion Positionen vertritt, die über Jahrzehnte unbestritten Positionen der CDU/CSU waren. Leider hat die alte Parteiführung diese Positionen in den letzten Jahren aber über Bord

Fünf Gründe, die für die E-Mobilität sprechen

Die Absatzzahlen steigen sprunghaft. Die Batterietechnik meldet Durchbrüche. Die Produktion von E-Autos wird ab sofort in gewaltige Volumina vorstoßen. Branchenexperten sprechen vom „Take-off“ der E-Mobilität.

Warum Sie aus der Klimakirche austreten sollten

Es gibt in der Wissenschaft unterschiedliche Meinungen darüber, ob es eine allgemeine Klimaerwärmung gibt und welchen Anteil der Mensch daran hat. Diese unterschiedlichen Positionen werden von Politik und Systemmedien nicht offen diskutiert; vielmehr wird wahrheitswidrig behauptet, dass nur ein un

Mobile Sliding Menu