Die „Cybersicherheitsstrategie“ der Bundesregierung gefährdet IT-Sicherheit

Zu Medienberichten über eine neue „Cybersicherheitsstrategie“ der Bundesregierung und den Plänen des Bundesministeriums des Inneren zur Einrichtung gleich drei neuer „Internet-Eingreiftruppen“ erklärt Konstantin von Notz, stellvertretender Fraktionsvorsitzender:

Die Pläne des Innenministeriums zeigen erneut die ganze Planlosigkeit der Bundesregierung im Bereich der IT-Sicherheit. Statt endlich grundsätzliche Weichenstellungen zur Verbesserung der IT-Sicherheit, zum Schutz digitaler Infrastrukturen und privater Kommunikation vorzunehmen, werden Verfassungsprinzipien offen in Frage gestellt und unübersichtliche Zuständigkeiten weiter zerfasert.

Insgesamt ist die „Cybersicherheitsstrategie“ nicht geeignet, IT-Sicherheit effektiv zu erhöhen, im Gegenteil: Im Konglomerat mit den übrigen derzeit in der Diskussion befindlichen Initiativen will die Bundesregierung eine verfassungsrechtlich höchst fragwürdige, völlig neue Sicherheitsarchitektur für den digitalen Raum. Das wird insbesondere auch im Anspruch, sich zukünftig auch proaktiv am Cyberwar beteiligen zu wollen, noch einmal deutlich.

Während die Bundesregierung die geheimdienstliche Massenüberwachung final legalisiert, die parlamentarische Kontrolle gleichzeitig massiv erschwert und eine neue Bundesbehörde zum Knacken von Kryptographie etabliert, sollen nun gleich drei Eingreiftruppen IT-Sicherheit erhöhen, die man durch eigene Aktivitäten wie den Handel von Sicherheitslücken zugleich selbst massiv schwächt.

Anders als von der Bundesregierung mehrfach dargestellt, ist das Ziel offenbar nicht nur die Beratung, sondern auch ein proaktives Handeln des Computer Emergency Response Teams (CERT) und Quick Reaction Forces. Hier stellen sich zahlreiche verfassungsrechtliche Fragen, die bis heute unbeantwortet sind. Auch die Zusammenarbeit ziviler, militärischer und geheimdienstlicher Strukturen wirft erhebliche Fragen auf, die in der vorliegenden Strategie nicht beantwortet werden.

Auch bezüglich der geplanten Kooperation staatlicher Stellen mit den Providern und dem Scannen jedweder Online-Kommunikation bestehen erhebliche Bedenken. Was genau die Bundesregierung darunter versteht, gemeinsam die „Sensorik im Netz auszubauen“, ob beispielsweise auch die hoch umstrittene „Deep Packet Inspection“ zum Einsatz kommen sollen, bleibt unbeantwortet.

Wie eine effektive Unumkehrbarkeit pseudonymisierter Daten erreichen werden soll, weiß die Bundesregierung selbst noch nicht. Auch steht in Frage, ob die geplanten, bislang nicht näher konkretisierten Strafrechtsverschärfungen tatsächlich Täter abhalten werden. Auch hier finden sich in der Strategie bislang nur äußerst schwammige Absichtserklärungen. Ein Outsourcen originärer staatlicher Aufgaben an die Privatwirtschaft und oftmals zweifelhafte IT-Firmen darf es nicht geben.

Statt dem Bundesinnenministerium unterstellte, zerfaserte Zuständigkeiten brauchen wir endlich die Stärkung unabhängiger Strukturen zur tatsächlichen Effektivierung der IT-Sicherheit. Nur durch diese Unabhängigkeit ist verlorengegangenes Vertrauen langfristig wieder herzustellen. Bestehende unabhängige Strukturen müssen zwingend ausgebaut und auch das Bundesamt für Sicherheit in der Informationstechnik (BSI), zumindest in wesentlichen Teilen, endlich unabhängig gestellt werden. All das fordern wir als Grüne Bundestagsfraktionen übrigens seit langem.

Statt neuer Behörden zum Knacken von Verschlüsselungstechnologien brauchen wir durchgehende Ende-zu-Ende-Verschlüsselungen in allen IT-Großprojekten und eine Ausweitung der Haftung. Auch brauchen wir ein Verbot des Aufkaufs von Sicherheitslücken durch staatliche Stellen, eine Abkehr vom System der Massenüberwachung und einen effektiven Schutz digitaler Infrastrukturen. Die weitere Konkretisierung und Umsetzung der Strategie werden wir sehr aufmerksam verfolgen.