12. Dezember 2013
Bundespolitik
Informationssicherheit und Datenschutz im Koalitionsvertrag – oder alles, was draußen bleibt
- Der Kolitionsvertrag
„Sich gegen Diebe, die Kisten aufbrechen, Taschen durchsuchen, Kasten aufreißen, dadurch zu sichern, dass man Stricke und Seile darum schlingt, Riegel und Schlösser befestigt, das ist’s, was die Welt Klugheit nennt. Wenn nun aber ein großer Dieb kommt, so nimmt er den Kasten auf den Rücken, die Kiste unter den Arm, die Tasche über die Schulter und läuft davon, nur besorgt darum, dass auch die Stricke und Schlösser sicher festhalten.“ – Zhuangzi
„Ziel der Koalition ist es, die Balance zwischen Freiheit und Sicherheit auch in der digitalen Welt zu schaffen und zu bewahren“ – so beginnt einer der späteren Abschnitte des Koalitionsvertrages, bei dem die Weichen für die Themen Digitale Sicherheit und Datenschutz gestellt werden. Den zwei Seiten 147 ff. kann entnommen werden, wie die künftige Bundesregierung diese „Balance“ zu erreichen beabsichtigt. Es wird viel „cyberisiert“. Und doch bleibt es recht unkonkret.
Was ist geplant?
Angekündigt ist beispielsweise ein IT-Sicherheitsgesetz mit verbindlichen Mindestanforderungen an IT- Sicherheit im Bereich kritischer Infrastrukturen. Das Gesetz bleibt abzuwarten beziehungsweise ist noch vorzubereiten. Fördern möchte man „vertrauenswürdige IT- und Netzinfrastruktur“, auch für Cloud-Technologie etc. Ein Rechtsrahmen für eine Zertifizierung für Cloud-Infrastrukturen sowie andere sicherheitsrelevante Systeme und Dienste wird angestrebt. Das erinnert an das seit zehn Jahren fehlende Datenschutzauditgesetz. Dieses wird im Koalitionsvertrag nicht einmal mehr erwähnt. Zudem sollen Maßnahmen zur „Rückgewinnung der technologischen Souveränität“ ergriffen sowie die Entwicklung sicherer Soft-und Hardware unterstützt werden.
Die Bundesbehörden sollen 10% ihres IT- Budgets für IT-Sicherheit aufwenden. Wie und an wen dieser Teil diese Budgets dann eingesetzt werden, wird nicht konkretisiert. Es darf vermutet werden, dass diese Mittel in Form entsprechender Umsätze den privaten Anbietern der sogenannten Security-Lösungen und –Produkten, die der Branche, zufließen wird. Eine verdeckte Subventionierung entsprechender Branchen durch die Bundesbehörden wäre bei dieser Formulierung denkbar. Ebenso eine Forschungsförderung im Rahmen der (IT-) Sicherheitsforschung durch das BMBF.
Hersteller sollen für Datenschutz und IT- Sicherheitsmängel ihrer Produkte haften. Wie diese „Haftung“ auszusehen hätte und die wesentliche Frage der gerichtverwertbaren Beweissicherung und Beweisführung, die ggf. Kenntnisse der relevanten IT-Prozesse und –Systeme erfordern, bleibt offen.
Die große Koalition begrüßt ebenfalls die neulich aus den Medien bekannt gewordenen Angebote eines nationalen bzw. europäischen Routings. Dafür will sich Deutschland stärker in internationalen Gremien beteiligen, besonders solchen der Internetarchitektur und Internet-Governance. Man setzt sich zudem für die europäische Cybersicherheitsstrategie ein. Dies ist durchaus ein politisches Signal, zumal Deutschland hier in der Vergangenheit nicht aktiv war. Zum gegenwärtigen Zeitpunkt ist deshalb noch recht unklar, wie diese Strategie genau auszusehen mag; der Entwurf einer Cybersecurity-Richtlinie sollte im Juli 2012 dem EU-Parlament vorgelegt werden. Es blieb bis dato bei einem Entwurf.
Ein Signal an die Kreditwirtschaft und E-Commerce: Eine zentrale Meldestelle für Phishing und ähnliche Delikte soll eingerichtet werden, um die Prävention zu verbessern und Ermittlungen zu erleichtern. Wesentlicher Schwachpunkt dürfte hier sein, dass zentrale Meldestellen, CERTs, Zertifizierungs-Authorities aufgrund aktueller Entwicklungen in der Cybersecurity kaum noch eine effektive Maßnahme gegen gewiefte externe Angreifer darstellen. Die Effektivität sogenannter Black Lists (mit allem, was gefährlich und unsicher ist) und später der White Lists (mit all dem, was noch sicher ist) – wurde durch die APTs bereits erfolgreich unterminiert. Die Attacken nehmen die Anbieter und Infrastruktur der Listenführer in den Focus und brechen dort ein, wo man die Listen zum eigenen Vorteil verändern kann. Solche Attacken sind sehr effektiv und effizient – ein gezielter Angriff stellt die Vertrauenswürdigkeit wieder her, bestenfalls sogar ohne, dass die Melde- und/oder Zertifizierungsstelle die Veränderung überhaupt nachvollziehen und zurückverfolgen kann.
Der Datenschutz ist laut Koalitionsvertrag tatsächlich der Balance zwischen Freiheit und Sicherheit dienlich, wenngleich nur der „digitale“. Die Vorhaben bezüglich Datenschutz lassen sich mit zwei Begriffen zusammenfassen: Privacy by Design (der technikgestützte Datenschutz) und Privacy by Default (Datenschutz durch Voreinstellungen) sollen ausgebaut werden. Um Bürgerdaten besser zu schützen und zu sichern, wird eine „Bündelung der IT-Netze des Bundes“ in einer einheitlichen Plattform „Netze des Bundes“ angestrebt. Weshalb dadurch Bürgerdaten und nicht nur Behörden geschützt werden ist noch nicht auszumachen.
Nicht Gegenstand des Koalitionsvertrages ist leider die dringend erforderliche Modernisierung und Novellierung des Bundesdatenschutzgesetzes und des bereichsspezifischen Datenschutzes. Auch das Beschäftigtendatenschutzgesetz wird mit Blick auf mögliche EU- Regeln einmal mehr auf die lange Bank geschoben. Auch dies ist einer der Widersprüche in dieser Koalitionsvereinbarung. Trotz vollmundiger Bekenntnisse zum Datenschutz will man in Europa nicht mutig vorangehen.
Es bleiben Herausforderungen
Summa Summarum: Die Balance zwischen zwei so ungleichen Werten wie Freiheit und Sicherheit zu herstellen ist große Herausforderung. Bei einigen Vorschlägen, bis hin zur geplanten Einführung der Vorratsdatenspeicherung, entsteht jedoch der Eindruck, sie könnten dazu dienen, die Rechte der Bürger auf freie Entscheidung und Selbstbestimmung im Ergebnis einzuschränken. „Ein Mensch unter Beobachtung ist niemals frei; und eine Gesellschaft unter ständiger Beobachtung ist keine Demokratie mehr“, heißt es in dem Prominenten-Appell zu der NSA-Affäre, der Anfang Dezember in mehreren Zeitungen erschienen ist.
Auch der Vorschlag, ein nationales Internet einzurichten, ist zunächst einmal skeptisch zu betrachten. Nationale Grenzen sind mit dem Internet unvereinbar. Dennoch wäre eine leistungsfähigere und sicherere Internetinfrastruktur in Europa begrüßenswert. Kennt man die Protagonisten eines nationalen Internet näher, dürfte wohl eher eine Fragmentierung des Internets „Vater des Gedankens“ sein. Der Unterschied zu den „großen Dieben“, also Staaten wie China oder Russland, die immer mehr national-staatliche Kontrollen über das Netz anstreben, ist nicht klar ersichtlich [1]. Hier fehlt es an klaren Bekenntnissen zur Freiheit des Netzes. Auch andere Lösungen, die infolge der NSA-Affäre diskutiert wurden, stoßen auf Kritik in den Fachkreisen.
Der Chaos Computer Club stellte beispielsweise die Sinnhaftigkeit des Konzepts „E-Mail made in Germany“ infrage. Eine andere Idee des „deutschen Internets“ regte nationale und internationale Medien und Organisationen zur Kritik an. Die Piratenpartei bezeichnete im Bundestagswahlkampf 2013 Lösungen wie De-Mail als „Nebelkerzen“ und konkretisierte ihre Forderung nach End-to-end-Verschlüsselung für alle im Internet kursierenden Daten und Inhalte. Dieser Vorschlag wird im Koalitionsvertrag aufgegriffen. Die Weiterentwicklung von Chipkartengeräten, Kryptographie und End-to-end-Verschlüsselung soll gefördert werden. Das WIE – ob nun in Form von Forschungsprogrammen an die Universitäten und wissenschaftlichen Einrichtungen (gutes Beispiel hierfür war das Europäische Förderprogramm STORK) oder durch Einkauf sogenannter Security-Produkte und Lösungen bei den privaten Anbietern, konkretisiert der Koalitionsvertrag nicht.
Eine kürzlich durchgeführte Umfrage ergab, dass die Deutschen Sicherheit der Freiheit vorziehen. Auch dies ist eine mögliche Reaktion auf Snowdens Enthüllungen. Deshalb warnt der stellvertretender Vorsitzende der Grundwertekommission der SPD, Prof. Dr. Thomas Meyer, davor, die tatsächlichen absoluten Grundrechte wie Freiheit mit Rechten von instrumentellem Wert, wie etwa Sicherheit, zu verwechseln. Während die Freiheit und daraus das für die digitale Welt abgeleitete Recht auf informationelle Selbstbestimmung zu den bürgerlichen Grundrechten in einer demokratischen Grundordnung gehören, ist Sicherheit nur ein Mittel, um diesen Grundwert zu schützen.
„Der relative Wert der Sicherheit verkehrt sich in eine substantielle Gefahr, sobald er den Rang der wirklichen Grundrechte usurpiert oder gar diese übertreffen soll“, so Meyer [2]. Als der bisherige Bundesinnenminister, Hans-Peter Friedrich, Sicherheit als „Super-Grundrecht“ öffentlich verkündete, wies ihm der bekannte politische Journalist Friedrich Küppersbusch in seiner Satire-Tagesschausendung „Tagesschaum“ darauf hin, im deutschen Grundgesetz stünden neun Freiheiten, bevor die Sicherheit als Wort überhaupt erst vorkomme. Sicherheit ist eben kein verankertes Grundrecht. Darauf hatten die Mütter und Väter des Grundgesetzes aus guten Gründen verzichtet.
[1] The Economist. 2013. „Cloaks off. Spies and politics.“ In: The Economist, 2.11.2013, S. 53-54.
[2] Meyer, T. 2013. „Falsche Sicherheit – Die Verwirrung der Begriffe“. In: Neue Gesellschaft – Frankfurter Hefte 9/2013, S. 14.
Aleksandra Sowa
Leitete zusammen mit dem deutschen Kryptologen Hans Dobbertin das Horst Görtz Institut für Sicherheit in der Informationstechnik. Dozentin, Fachbuchautorin (u.a. "Management der Informationssicherheit", "IT-Revision, IT-Audit und IT-Compliance"). Im Dietz-Verlag erschienen: "Digital Politics - so verändert das Netz die Politik". Hier äußert sie ihre private Meinung. #Foto by Mark Bollhorst (mark-bollhorst.de)
Follow Me:
