Grünes Positionspapier zur Sicherheit im Digitalen: Schutz für alle statt Angriffslücken für die Dienste

Der jüngste Angriff „WannaCry“ zeigt: Das Thema Cybersicherheit ist von allergrößter Bedeutung und zwar in einer durchdigitalisierten Gesellschaft für alle. Diese grenzüberschreitende Herausforderung erfordert umfassende Antworten auf allen Ebenen: netz- und sicherheitspolitisch, regulatorisch wie in der Verbraucheraufklärung. Doch aus Scheu vor Lobbydruck wie auch eigenen Überwachungsinteressen agiert die Bundesregierung höchst ambivalent. Statt sich für Verschlüsslung, Haftungs- und Updateregeln stark zu machen und damit für einen wirksamen Schutz aller, ergeht sie sich in Symbolmaßnahmen wie Cyberwehren und redet noch der digitalen Aufrüstung das Wort. Doch Bundeswehr und Geheimdienste sind just die Falschen, wenn es um eine verantwortliche Sicherheitspolitik im Digitalen geht, wie der Fall Wannacry zeigt. Wir legen demgegenüber in einer innen- und außenpolitischen Zusammenschau umfassende Lösungsansätze vor.

Der jüngste Angriff auf Betriebssysteme mit dem Erpressungs-Verschlüsselungsprogramm „WannaCry“ zeigt: Das Thema Cybersicherheit ist von allergrößter Bedeutung. Und zwar für alle in unserer durchdigitalisierten Gesellschaft. Wenn durch einzelne kriminelle Strafhandlungen die IT-Systeme ganzer Krankenhäuser oder der Deutschen Bahn weltweit lahmgelegt werden können, ist eine völlig neue Dimension erreicht.

Cybersicherheit muss deshalb endlich auch politisch genügend Aufmerksamkeit erfahren. Ausreden gibt es jedenfalls nicht mehr. Einerseits stellt die Digitalisierung eine praktisch unumgängliche Modernisierung der Wirtschaft unserer Gesellschaften dar. Andererseits hat diese Digitalisierung, zu der auch die Vernetzung nahezu aller Lebensbereiche und Gerätschaften gehört, derzeit schwer kalkulierbare Risiken geschaffen.

Digitale Verletzlichkeit

Zu lange hat man die im Mittelpunkt stehenden Fragen der IT-Sicherheit der Selbstregulierung der betroffenen Wirtschaftskreise überlassen. Diese falsch verstandene Wirtschaftsfreundlichkeit kommt nun gerade kleinere Unternehmen teuer zu stehen. Denn die systemischen Risiken großer IT-Angriffe wie bei „WannaCry“ sind durch einzelne Unternehmen allein überhaupt nicht mehr lösbar. Hier braucht es klare Regeln: Angefangen von Sicherheitsstandards über Haftungsfragen bis hin zu stärkeren Update-Pflichten und einem besseren Sicherheits-Support. Statistiken zeigen zudem: Nicht nur Privatverbraucher, sondern selbst Sicherheitsexperten in kritischen Sektoren unterschätzen die eigene Verletzlichkeit im Digitalen, auch weil es immer noch an guten Beratungs- und Unterstützungsangeboten fehlt.

Die Merkel-Regierungen der letzten zehn Jahre haben diese zentrale Sicherheitsfrage schlichtweg verschlafen. Jahrelang hat man die Öffentlichkeit mit symbolischen „Cyberstrategien“ hingehalten. Auch die Gründung eines Cyberabwehrzentrums oder mehr Aufsichtspersonal verpuffte wirkungslos. Denn weder national noch europäisch hat sich die Bundesregierung entschieden für höhere Anforderungen bei der IT-Sicherheit eingesetzt. Und das sogenannte IT-Sicherheitsgesetz ist bis heute aufgrund mangelhafter Umsetzung ohne spürbare Wirkung geblieben.

Stattdessen setzt man allein auf aktionistische Forderungen wie zweifelhafte Strafverschärfungen für IT-Angriffe, die Sicherheit lediglich vortäuschen und scheut weiterhin wirksame Maßnahmen wie Datenschutz, Verschlüsselung und regulative Vorgaben.

Geheimdienste setzen auf Angriff statt Abwehr – zulasten von uns allen

Das zuständige Bundesinnenministerium spielt hier zwischen eigenen Überwachungsinteressen und der eigentlichen Schutzverantwortung für die gesamte Bevölkerung eine ambivalente Rolle. Umso problematischer ist vor diesem Hintergrund, dass Inlands- und Auslandsgeheimdienste sowie die Bundeswehr um Befugnisse zur Cyberabwehr konkurrieren. Damit macht man allerdings die Böcke zum Gärtner. Denn das operative Interesse der Geheimdienste liegt keinesfalls im Bereich der Abwehr von IT-Angriffen. Stattdessen verstehen Geheimdienste unter Cyberabwehr den Ausbau ihrer im Geheimen entwickelten digitalen Angriffskapazitäten auf die von ihnen verfolgten Ziele – die allgemeine Sicherheit einfacher Endnutzer zählt da wenig.

Cybercrime muss konsequent verfolgt und Betroffene sind so früh wie möglich zu warnen und zu unterstützen. Wir brauchen mehr Erfolge bei Strafverfahren, um die Rechtsdurchsetzung zu stärken. Doch handelt es sich dabei nur um ein letztes Element in einem sinnvollen Maßnamenpaket – der wirksamste Schutz im Digitalen beginnt viel früher.

Markige Forderungen der Sicherheitsbehörden schützen hingegen weder die Wirtschaft noch den einfachen Endnutzer. Im Gegenteil. WannaCry liefert den offenkundigen Beleg, dass am Ende völlig unbeteiligte Zivilstrukturen und Verbraucher Leidtragende dieser kontraproduktiven Aufrüstungsspirale im Digitalen sind. Denn durch das heimliche Anhäufen und Nutzen von Informationen über Schwachstellen (sogenannte Zero Days), aber auch durch den Einsatz von Staatstrojanern, können wiederum riesige Schutzlücken entstehen. Die geheim gehaltenen Informationen über Schutzlücken verhindern rechtzeitige Schutzvorkehrungen und die Abwehr gravierender Risiken für die Allgemeinheit.

Grünes Papier zur Sicherheit im Digitalen: Freiheit erhalten, Frieden sichern, Schutz wirksam stärken

Eine verantwortungsvolle, weil umsichtige wie entschlossene IT-Sicherheitspolitik sieht völlig anders aus. Wir Grüne im Bundestag skizzieren in einem Positionspapier unter Zusammenschau innen- und außenpolitischer Perspektiven umfassende Lösungsansätze:

  • Die Verantwortung für Cybersicherheit muss aus dem Bundesinnenministerium herausgelöst werden. Auch das Bundesverteidigungsministerium ist ungeeignet, eine zivilgesellschaftliche Kommunikationsinfrastruktur zu überwachen und zu beschützen.
  • Das mit zuständige Bundesamt für Sicherheit muss in wesentlichen Aufgabenfeldern unabhängig gestellt und damit zu einer vertrauenswürdigen und gut ausgestatteten Aufsichts- und Beratungsstelle werden.
  • Grundlegende Strukturfragen der IT-Sicherheit müssen klarer geregelt, sanktioniert aber auch mit Anreizsystemen für bessere Sicherheitslösungen beantwortet werden – von Transparenz und Zertifizierung der IT-Software, über Haftungsregeln bis hin zu stärkeren Update- und Supportpflichten.
  • Europa muss als entscheidende Regelungsebene in Fragen der IT-Sicherheit von Deutschland aktiv angesprochen und unterstützt werden. Europa wird hier weltweit, wie beim Datenschutz, vorangehen müssen.
  • Die hochkomplexen Fragen der Täterschaft (Attribution) bei gravierenden IT-Angriffen müssen unabhängig festgestellt werden. Sie drohen sonst zu völlig unberechenbaren Spielen politischer Schuldzuweisung zu werden. Das hat etwa der Streit um das Hacking von E-Mailkonten im Rahmen der US-Wahl gezeigt. Wir regen deshalb den Aufbau eines unabhängigen und international anerkannten Teams von Sachverständigen für diese Fragen an.
  • In Fragen von staatlichem Hacking (Cyberwar) zwischen Staaten verlangen wir den vollen Respekt völkerrechtlicher Bindungen und insbesondere die Wahrung der Rechte des Deutschen Bundestages, über alle operativen Vorgänge nicht nur voll informiert zu werden, sondern auch zu entscheiden. Angesichts der erhebliche Eskalationsgefahren und Risiken von Kollateralschäden lehnen wir offensive Aktionen im Digitalen ab.

2 Comments

  1. Henry

    Das Papier ist sicher gut gemeint, stellt die Dinge aber teilweise falsch dar:

    * WannaCry war kein „Angriff auf das Betriebssystem“. WannaCry hat eine Sicherheitslücke im Betriebssystem ausgenutzt um sich zu verbreiten. IT’ler sprechen hier von einem „Angriffsvektor“ Es ist durchaus möglich, dass WannaCry noch andere Wege benutzt um sich zu verbreiten, z.B. per Mailanhang.

    * WCry hat das Betriebssystem selbst auch nicht angegriffen, sondern – wie bei Ransomware üblich – Nutzerdaten verschlüsselt. Dateien des Betriebssytems wurden nicht angegriffen, also verändert oder gelöscht.

    * „durch den Einsatz von Staatstrojanern, können wiederum riesige Schutzlücken entstehen.“ Die Sicherheitslücken entstehen in der Software, (Staats)trojaner nutzen sie aus.

    * „Bessere Sicherheitslösungen“ klingt zwar erst mal gut, aber wie sollen diese aussehen? Der IT-Sicherheitsmarkt ist inzwischen voll mit Produkten, die aber oftmals einfach nur sinnlos sind.

    * „Transparenz“ der Software kann letztendlich nur durch Offenlegung des Quellcodes erreicht werden. „Zertifizierung“ von Software setzt, wenn sie ernst gemeint ist, auch die Verfügbarkeit des Quellcodes voraus. Dann kann man auch direkt rein schreiben, dass Open Source Software gefordert wird.

    * Update- und Supportpflichten können nur von Firmen geleistet werden, die mit der Software auch Geld verdienen. Open Source Projekte, die oft nur rein freiwillig/ehrenamtlich agieren, können dies nicht leisten.

  2. Pingback: Summer on the road: Netzpolitisch unterwegs durchs Land

Comments are closed.