isoc.de

Rund 2000 Unternehmen und Institutionen stehen auf einer (nicht-öffentlichen) Liste des Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK). Dabei handelt es sich um sogenannte “Kritische Infrastrukturen”, deren Ausfall weitreichende negative Folgen für Staat und Gesellschaft hätten. Die Sicherheit vieler dieser Infrastrukturen unterliegt heute bereits behördlicher Aufsicht. Beispielsweise im Bereich der Telekommunikation oder der Energieerzeugung existiert heute schon die Pflicht zum Nachweis des Funktionierens von Sicherheitskonzepten, die eine gewissen Robustheit der verwendeten IT, z.B. auch gegen Hackerattacken, umfasst.

Mit der Vorlage eines Entwurf eines “Gesetzes zur Erhöhung der Sicherheit informationstechnischer Systeme” verfolgt das Bundesministerium des Inneren (BMI) nun jedoch ein ambitionierteres Ziel, nämlich “Deutschland als einen der sichersten digitalen Standorte weltweit zu etablieren”. Mit Hilfe des IT-Sicherheitsgesetz soll dabei “ein Mindestniveau an IT-Sicherheit” gesetzlich verankert werden, eine “Cyber-Sicherheitsstrategie und deren kontinuierliche Umsetzung” durch die Bundesregierung soll “die Grundlagen” legen, “um Cyber-Sicherheit auf einem hohen Niveau zu gewährleisten”. Konkret soll das geschehen etwa durch die Aufwertung des Bundesamtes für Sicherheit in der Informationstechnik (BSI), neue Meldepflichten für die von Gefährdungen betroffenen Unternehmen, Untersuchungs- und Mitteilungsrechte des BSI bis runter auf die Ebene des Quellcodes von IT-Produkten – sogar vor der Markteinführung von Produkten und Systemen. Der Bereich der Informationstechnik soll sogar für sich genommen als potentiell “kritischer” Sektor definiert werden – unabhängig wo der Einsatz der IT erfolgt.

Die Kritik, insbesondere aus der IT-Branche, ist deutlich: BITKOM, ECO,  VATM oder die Experten des Cybersicherheitsrates und selbst der Bundesrat begrüßen zwar, dass die Bundesregierung den hohen Stellwert von IT-Sicherheit in Kritischen Infrastrukturen würdigen will, kritisieren jedoch die konkret vorgesehenen Regelungen scharf. An diesem Montag, den 20.04.2015, hat der Innenausschuss des Bundestages nunmehr zu einer öffentlichen Anhörung geladen, in der die Parlamentarier selbst Experten zu dem Gesetzentwurf anhören wollen. Dass angesichts der Kräfteverhältnisse im Deutschen Bundestag die Bundesregierung ihre Pläne selbst dann wird durchsetzen können, wenn die Anmerkungen einiger Experten in der Anhörung verheerend ausfallen sollte, steht dabei jedoch außer Zweifel. Einige Änderungen nicht nur im Detail aber sollten die Parlamentarier von CDU/CSU und SPD dennoch, auch nach Ansicht von ISOC.de, dringend erwägen:

Dass das Rolle des BSI als zentrale Stelle für IT-Sicherheit gestärkt werden soll, ist nachvollziehbar. Äußerst befremdlich ist aber der mit dem Gesetzentwurf gleichzeitig geplante Aufwuchs des staatlichen Sicherheitsapparats: So plant man für das Bundeskriminalamt (BKA) bis 78 zusätzliche Stellen, der Bundesnachrichtendienst (BND) soll zusätzliche 30 Dienststellen bekommen und für das Bundesamt für Verfassungsschutz (BfV) beträgt der Aufwuchs bis 48,5 Planstellen. Zugleich findet eine stille Umkehrung statt: Unterstützte das BSI bislang den Verfassungsschutz bei der Auswertung und Bewertung von Informationen, nicht umgekehrt (§ 3 Nr. 13b BSIG), soll nun das BSI zusätzlich Informationen an den Verfassungsschutz weitergeben. Das BSI, dem künftig in Fragen der IT-Sicherheit auch Behörden des Wirtschaftsressorts, wie etwa die Bundesnetzagentur BNetzA, zuarbeiten sollen, bleibt zudem dem Ressort des BMI unterstellt.

Dieser Zusammenhang und die intensive Zusammenarbeit des BSI mit BND und dem militärischen Abschirmdienst, sowie deren internationale Partnerschaft mit anderen Nachrichtendiensten, lässt aber Zweifel aufkommen, ob das BSI als ein Geschäftsbereich des BMI, das vorrangig für die innere Sicherheit zuständig ist, nicht im Zweifel gezwungen würde, vorhandene Informationen und seine Untersuchungsbefugnisse nicht etwa nur zur Schließung, sondern auch zur Ausforschung von Sicherheitslücken zu nutzen, wie es die NSA etwa bei Zero-Day-Exploits tut.

Das Vertrauen in Pläne für mehr “IT-Sicherheit” und die Behörde wird auf diese Weise jedenfalls nicht gerade gefördert. Denn, der Begriff “Sicherheit” ist relativ: Sicherheit für wen und vor was? Sicherheit des einen kann die Gefährdung von jemand anders bedeuten – oder auch Maßnahmen für die Sicherheit vor A die Sicherheit vor B verringern. Das staatliche Sicherheitsbehörden in Fragen der IT von vielen Bürgern inzwischen eher als Bedrohung und nicht als Garanten für mehr Sicherheit angesehen werden, zeigt, dass die Auffassungen zwischen Regierung und Behörden einerseits und den Bürgern und Unternehmen andererseits, welche Sicherheit wie gewährleistet werden kann, auseinander gehen.

Die Untersuchung auf Schwachstellen und die Meldung von Cyberangriffen geht immer mit der Übermittlung sensibler Daten einher. Insofern muss das BSI als Meldeinstanz zu den “Guten” gehören, also uneingeschränkt vertrauenswürdig sein, fachlich kompetent und zweifelsfrei auf Hilfeleistung für die verpflichteten Sektoren orientiert. Vor allem muss jeder Verdacht der Befangenheit vermieden werden, dass Informationen über Schwächen zweckentfremdet verwertet werden.

Als eine solche “partnerschaftliche” Instanz war das BSI eigentlich auch gedacht. Das BSI hatte sich über die Jahre zu einer der wenigen öffentlichen Institutionen entwickelt, denen nicht nur eine bürokratische, sondern auch eine fachliche Kompetenz nachgesagt wird. Das sieht der Entwurf des IT-Sicherheitsgesetzes immer noch so. Allein: Das Vertrauen in diese Institution ist nach den bekannt gewordenen Verstrickungen des hiesigen Sicherheitsapparates etwa mit der NSA nicht mehr im nötigen Maße vorhanden.

Die CDU/CSU hat koalitionsintern Forderungen aus der SPD nach Unabhängigkeit des BSI als Behörde jedoch schon eine Absage erteilt. Das Gesetz dürfte dennoch eine Mehrheit finden. Wenn die Parlamentarier der “GroKo” also vermutlich nicht die politische Kraft aufbringen werden, das BSI aus dem organisatorischen Zusammenhang des BMI herauszulösen, so sollten sie dringend zumindest solche Vorschriften im Entwurf ändern bzw. streichen, die neben mehr Sicherheit eben auch zur Ausforschung dienen können: Das Untersuchen von Hard- und Software beispielsweise sollte ausschließlich durch nicht-staatliche Dritte erfolgen und nur die Einhaltung von Sicherheitsanforderungen anhand transparenter Kriterien getestet werden. In der bisherigen Fassung könnte das Untersuchungsrecht dagegen leicht auch als Vorwand zur proaktiven Generierung von Zero-Day-Exploits für nachrichtendienstliche Zwecke missbraucht werden.

Solche Änderungen im Gesetzentwurf sind schon deswegen sinnvoll, weil Deutschland mit seinem bewussten Vorpreschen in Sachen “IT-Sicherheit durch Gesetz” selbst ein internationales Modell setzen will. Wenn Ländern wie Indien, Russland oder China dieses aber in der bisher vorgesehenen Form kopieren würden, dürfte kaum ein deutsches Unternehmen in der Lage sein zu begründen, warum die dortigen Behörden nicht auch Zugriff etwa auf den Quellcode der Steuerungssoftware einer Maschine bekommen sollten, natürlich nur aus Gründen der “Sicherheit”…

One Response to “Sicherheit: schau, trau wem?”