29. November 2019
IT-Sicherheit
IT-Sicherheitsgesetz: zwischen dem digitalen Immunsystem und dem Schutz der Grundrechte
Das „IT-Grundrecht“ solle mit Leben gefüllt und als umfassendes „Regelungsregime zum Schutz der persönlichen IT-Systeme zum Schutz der digitalen Identität“ entwickelt werden, heißt es in dem Positionspapier der Arbeitsgruppe Inneres und der Arbeitsgruppe Digitale Agenda der SPD-Bundestagsfraktion „IT-Sicherheitsgesetz 2.0 muss das digitale Immunsystem stärken“[1]. Wobei mit dem IT-Grundrecht das vom Bundesverfassungsgericht im Jahr 2008 festgeschriebene „Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme“ gemeint ist. „Das IT-Grundrecht verankert IT-Sicherheit als verfassungsrechtliche Gewährleistungspflicht des Staates“, geht es weiter in dem Papier. Dessen Umsetzung würde eine „umfassende und ebenenübergreifende IT-Sicherheitsstrategie“ notwendig machen, die das „Klein-Klein“ der Regierung beendet.
Als wesentliche Bestandteile dieser IT-Sicherheitsstrategie sieht man (1) den Ausbau des BSI als „zentrale, unabhängige und vollständig präventiv ausgerichtete Cybersicherheitsbehörde“, (2) die Einrichtung eines „Register(s) cyberkrimineller Vorfälle“ durch das BSI „unter der Wahrung des Datenschutzes der Betroffenen und unter der Aufsicht und Kontrolle des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit“ (BfDI), (3) „im Rahmen eines wirksamen Frühwarnsystems“ ein Monitoring von öffentlich verfügbaren Informationen, Erstellung und Pflege einer aus dem Monitoring gewonnener Informationen bestehenden Datenbank durch das BSI – unter Beachtung datenschutzrechtlicher Vorgaben und Aufsicht des BfDI, (4) die Entwicklung einer umfassenden, für die unterschiedlichen Zielgruppen und Kanäle wirksamer, auf Dauer angelegten, immer wieder auf den neuesten Stand zu bringenden, vom Bundesminister des Inneren zu entwickelnden und beauftragten Informationskampagne, um „das Bewusstsein und das Wissen der Nutzerinnen und Nutzer von Internetdiensten für den Schutz ihrer Privatheit und ihrer Daten zu erhöhen“, sowie (5) ein Förderprogramm zur „Weiterentwicklung und Implementierung sicherer und vertrauenswürdiger Verschlüsselungsverfahren“, um Bürgerinnen und Bürgern, aber auch Unternehmen wirksame und einfach zu nutzende Selbstschutzinstrumente an die Hand zu geben“.
Eine Reihe weiterer Einzelmaßnahmen wird im Positionspapier vorgeschlagen, von „24/7 Erreichbarkeit des BSI-Lagezentrums“ über Ende-zu-Ende-Verschlüsselung als „Option“ bis hin zu „Festschreibung von Mindeststandards“ und „Einführung eines IT-Sicherheitsgütesiegels für über die gesetzlichen Mindeststandards hinausgehenden IT-Sicherheitsstandard“.
Der Ausbau des BSI als rechtlich und organisatorisch unabhängige „Cybersicherheitsbehörde“ (ad 1) und als „zentrale Zertifizierungs- und Standardisierungsstelle für IT- und Cyber-Sicherheit“ würde die Änderung des BSI-Gesetzes voraussetzen, wobei sich diese mit dem Ziel der „Fortschreibung des IT-Sicherheitsgesetzes“, die im Koalitionsvertrag vereinbart wurde, verknüpfen ließe. Auch der Verbraucherschutz sollte als „zusätzliche Aufgabe“ des BSI etabliert werden.
Der Einrichtung eines „Register(s) cyberkrimineller Vorfälle“ (ad 2) durch das BSI soll die „Ausweitung der Meldepflichten“, die im IT-Sicherheitsgesetz verankert sind, „für weitere Bereiche der Wirtschaft, insbesondere auf weitere kritische Infrastrukturen“ sowie „Schaffung einer beim BSI angegliederten Meldestelle“ bei der Sicherheitslücken „durch jeden – auch anonym oder pseudonym – gemeldet werden können“ unterstützt werden. Bezüglich der Meldepflichten möchte man für eindeutige Zuständigkeit und klare Koordination sorgen: Es sollte „zeitnah ein Konzept erarbeitet wird, welche Behörde (BfV, BSI, Polizeien aller Ebenen, möglicherweise auch die Datenschutz-Aufsichtsbehörden) im Falle einer Meldung bzw. Anzeige wen unterrichten und wer und wann welche Maßnahmen zum Schutz der Betroffenen, zur Beweissicherung und zur Strafverfolgung ergreifen muss und welche Fälle zwingend im Cyber-Abwehrzentrum eingebracht werden müssen.“
Der Übertragung der Möglichkeit des Monitorings und von Schwachstellenscans des BSI (ad 3) setzt die SPD-Bundestagsfraktion entgegen, „dass ein flächendeckendes und anlassloses Monitoring des Internetverkehrs weit über das Ziel hinausschießen und den Freiheits- und Bürgerrechten fundamental widerspräche“. Eine „anlasslose und flächendeckende“ Durchsuchung sollte es nicht geben. Und die Förderung von Verschlüsselungsverfahren (ad 5) solle an die „Förderung der Verschlüsselungstechnologie GnuPG des BMWi in seiner Entstehungsphase (1999 bis 2001)“ anknüpfen.
Das Recht auf Verschlüsselung oder Ende-zu-Ende-Verschlüsselung wird in dem Papier nicht explizit erwähnt, anders als in einem weiteren Positionspapier „Vertrauen und Sicherheit im digitalen Zeitalter“[2], wo „Förderung und Einsatz sicherer Ende-zu-Ende-verschlüsselter Kommunikation“ gefordert wird, allerdings mit der Einschränkung: „in allen sensiblen Bereichen“.
Kurzes Fazit: Für eine IT-Sicherheitsstrategie wäre es wichtig, die Maßnahmen den generellen Schutzzielen zuzuordnen oder sie von diesen abzuleiten: Der deutsche Politologe Thomas Meyer warnte davor, die tatsächlichen absoluten Grundrechte wie die Freiheit mit Hilfsrechten, wie etwa Sicherheit, zu verwechseln: „Der relative Wert der Sicherheit verkehrt sich in eine substanzielle Gefahr, sobald er den Rang der wirklichen Grundrechte usurpiert oder gar diese übertreffen soll.“[3] Eine IT-Sicherheitsstrategie bedarf deswegen einer grundsätzlichen Entscheidung, ob man Technologien fördern möchte, die Überwachung und Kontrolle stärken, oder ob man in Technologien und Maßnahmen investieren möchte, die Freiheiten und Demokratie stärken – sodass so der Staat seine Schutzfunktion gegenüber den Bürgern ausfüllen kann. Umgekehrt gilt: eine Sammlung an Sicherheitsmaßnahmen ist noch keine IT-Sicherheitsstrategie.
Die Wahl der Maßnahmen hängt tatsächlich von der Perspektive bzw. dem übergeordneten Schutzziel ab: Wenn man beispielsweise die Sicherheit in einem selbstfahrenden Auto aus der Perspektive des Schutzes des Fahrers gestaltet, sieht das Ergebnis anders aus, als wenn man die Sicherheit aus der Perspektive der Fußgänger modelliert. Nichts anderes gilt für die IT-Sicherheit. Wenn man den Banken beispielsweise konkrete Maßnahmen wie Zwei-Faktor-Authentifizierung vorschreibt, können die Lösungen bzw. Technologien unter dem Vorwand einer gesetzlichen Vorgabe so gewählt werden, dass sie die Nutzer, die diese nicht nutzen können oder wollen, ausgrenzen, zur Nutzung bestimmter Technologien zwingen und ihnen (nicht ganz freiwillige) Einwilligungen abverlangen. Damit wird das tatsächliche Schutzziel mit der Maßnahme verfehlt. Mit den Worten von Stanislaw Lem ausgedrückt: Die Technologie liefert uns lediglich Mittel und Werkzeuge – „der Verdienst bzw. die Schuld für ihre gute oder schlechte Verwendung liegt bei uns“.
[1] https://www.spdfraktion.de/system/files/documents/it-sicherheitsgesetz-2.0_digitalesimmunsystem.pdf (31.1.2019), letzter Zugriff: 28.11.2019.
[2] https://www.spdfraktion.de/system/files/documents/pp_agi_agda_sicherheit-vertrauen.pdf (11.12.2018), letzter Zugriff: 28.11.2019.
[3] Meyer, T. 2013. „Falsche Sicherheit – Die Verwirrung der Begriffe“. In: Neue Gesellschaft – Frankfurter Hefte 9/2013, S. 14, https://www.frankfurter-hefte.de/media/Archiv/2013/Heft_09/2013-09_meyer.pdf.