IT-Sicherheit – Schutz der Grundrechte statt löchriger IT-Sicherheit

Nicht erst seit dem durch Edward Snowden bekannt gewordenen Überwachungs- und Abhörskandal westlicher Geheimdienste ist klar, dass digitale Infrastrukturen weitreichend kompromittiert sind. Beinahe täglich erfahren wir von gravierenden Sicherheitslücken in Software und von zahlreichen Hackerangriffen. Die Hütte brennt, Konsequenzen sind lange überfällig! Die Bundesregierung hat nun ein IT-Sicherheitsgesetz vorgelegt, dass nahezu von allen Seiten völlig zurecht als verfassungsrechtlich bedenklich, unausgegorenen, widersprüchlichen und teils kontraproduktiv kritisiert wird.

Nicht erst seit dem durch Edward Snowden bekannt gewordenen Überwachungs- und Abhörskandal westlicher Geheimdienste ist klar, dass digitale Infrastrukturen weitreichend kompromittiert sind. Beinahe täglich erfahren wir von gravierenden Sicherheitslücken in Software und von zahlreichen Hackerangriffen. Die Hütte brennt, Konsequenzen sind lange überfällig! Die Bundesregierung hat nun ein IT-Sicherheitsgesetz vorgelegt, dass nahezu von allen Seiten völlig zurecht als verfassungsrechtlich bedenklich, unausgegorenen, widersprüchlichen und teils kontraproduktiv kritisiert wird.

Das Gesetz beschränkt sich lediglich auf sogenannte kritische Infrastrukturen, große Bereiche der sensible Daten verarbeitenden Wirtschaft sind von vornherein ausgeklammert. Staatliche Akteure sind sogar komplett raus. Wer die Betreiber kritischer Infrastruktur sind, ist im Gesetz nicht klar festgelegt und soll per Verordnung zu einem späteren Zeitpunkt klargestellt werden. Diese und andere unbestimmte Regelungen sind verfassungs- und bürgerrechtlich höchst bedenklich und sorgen für Rechtsunsicherheit bei Unternehmen und Öffentlichkeit.

Der Gesetzentwurf bezieht sich nur auf eine überschaubare Anzahl von Unternehmen. Der Schutz der Allgemeinheit wird gänzlich ignoriert. Ihrer, sich aus der Verfassung ergebenden Verpflichtung, unsere digitale Infrastrukturen umfassend zu schützen, kommt die Bundesregierung mit diesem Entwurf nicht nach. Konsequenzen aus den Enthüllungen der letzten zwei Jahre will die Bundesregierung nicht ziehen, im Gegenteil: So werden die Stellen beim Bundesamt für Verfassungsschutz weiter aufgestockt. Vorgesehen ist zudem, dass die im Zuge der Gesetzesnovelle gesammelten Daten vom Bundesamt für Sicherheit in der Informationstechnik, das noch immer nicht unabhängig, sondern dem Innenministerium unterstellt ist, wohlgemerkt ohne ausreichende Rechtsgrundlage, an den Verfassungsschutz weitergeleitet werden. Was mit diesen Daten dort geschehen soll, weiß heute niemand.

Die Grundrechte auf Integrität und Vertraulichkeit informationstechnischer Systeme und auf informationelle Selbstbestimmung lässt die Bundesregierung somit nicht nur leer laufen, sie schwächt sie zusätzlich. Statt eines Nutzerschutzes, sollen Betreiber kritischer Infrastrukturen lediglich selbst definierte Mindeststandards einhalten und Angriffe teils anonym den Behörden melden. Was genau zu melden ist und was mit den Meldungen anschließend passiert, bleibt unklar. Statt eine umfassende Risikoanalyse vorzunehmen, sollen hier ohne unabhängige Expertise Mindeststandards definiert werden, die erstens dazu führen, dass Unternehmen keinerlei Anreize haben, Angriffe zu melden – zumal keine Sanktionen vorgesehen sind – und die zweitens die Unternehmen nicht wirklich schützen, sondern die Hürden aufzeigen, die Angreifer überspringen müssen. Sowohl den Unternehmen als auch dem Grundrechtsschutz ist damit kein Gefallen getan – im Gegenteil.

Auch eine Harmonisierung mit der auf EU-Ebene derzeit parallel in Verhandlung befindlichen NIS-Richtlinie zur Erhöhung der IT-Sicherheit findet nicht statt. Hinzu kommt, dass das Bundesamt für Sicherheit in informationstechnischen Systemen (BSI) über keine Legitimationsnorm für internationale Bezüge verfügt. Damit geht der schmalspurige Gesetzesentwurf an der digitalen Realität vorbei und fügt sich ein in das Gesamtbild, das die Bundesregierung in diesem Bereich abgibt.

In den letzten Jahren wurde kein einziger ernst zu nehmender Vorschlag zur Verbesserung des Datenschutzes, der Datensicherheit und der IT-Sicherheit von ihr vorgelegt und gleichzeitig alle unsere Vorschläge verworfen. Gleichzeitig werden die Reformbemühungen auf EU-Ebene trotz anderslautender Versprechen der Kanzlerin auch weiterhin sabotiert, die Aufklärung im Parlamentarischen Untersuchungsausschuss zum Abhör- und Ausspähskandal behindert, die Debatte um die hochumstritten Vorratsdatenspeicherung wieder belebt und laut über den staatlichen Aufkauf von Sicherheitslücken auf dem Schwarzmarkt und das generelle und systematische Verbauen in Anonymisierungs- und Verschlüsselungsdienste nachgedacht.

Das gesellschaftliche Vertrauen und das Vertrauen der Wirtschaft in die Integrität der digitalen Infrastruktur ist essentiell für die digitale Zukunft. Das hat die Bundesregierung bis heute nicht erkannt. Daher werden wir das IT-Sicherheitsgesetz auch weiterhin parlamentarisch kritisch begleiten und uns mit einem eigenen Antrag dafür stark machen, dass die Grundrechte geschützt werden, dass die Unternehmen proaktiv in ihren Bemühungen zur Erhöhung der Datensicherheit unterstützt werden und dass das BSI sich unabhängig von staatlichen Überwachungsinteressen dem Schutz der Bürgerinnen und Bürger widmen kann. Zudem werden wir nicht müde, auf die Notwendigkeit innovativer Datenschutzkonzepte und der Notwendigkeit eines verstärkten Einsatzes von freier Software statt Blackbox-Systeme, die keiner überprüfen kann, hinzuweisen – auch im Rahmen der am 20. April stattfindenden Anhörung des Innenausschusses, über die wir hier gestern bereits berichtet hatten.

An dieser Stelle dokumentieren wir die Videos der heutigen Bundestagsdebatte. Für die Grünen sprachen zunächst ich selbst und anschließend mein Kollege Dieter Janecek.

Hier meine Rede:

Hier die Rede von Dieter Janecek: