Cybersicherheitsstrategie der Regierung: Widersprüchliche Verschlüsselungsdiskussion geht weiter

Eine neue Cybersicherheitsstrategie der Bundesregierung ist da. Unternehmen und Staat sollen bei der IT-Sicherheit zusammenarbeiten, die Bevölkerung soll weg von der „digitalen Sorglosigkeit“ und sichere Verschlüsselung nutzen. Sicherheitsbehörden sollen die wiederum knacken können. Ein Widerspruch, der sich nicht auflösen lässt.

Bei IT-Sicherheitsvorfällen will die Regierung sich von Unternehmen helfen lassen. CC BY-SA 2.0 via flickr/marie-lyse briffaud

Bei IT-Sicherheitsvorfällen will die Regierung sich von Unternehmen helfen lassen. CC BY-SA 2.0 via flickr/marie-lyse briffaud

Das Bundeskabinett hat heute eine neue Cybersicherheitsstrategie verabschiedet. Sie bildet den Nachfolger einer 2011 beschlossenen Strategie, die mittlerweile überholt ist. Das Papier wurde von der Bundesregierung im Alleingang formuliert, den Bundestag wollte sie trotz Kritik nicht daran beteiligen.

Die Cybersicherheitsstrategie steht im Kontext der immer wieder betonten wachsenden Bedrohungslage im sogenannten Cyberraum. Bundesinnenminister Thomas de Maizière warnte unter anderem vor Stromausfällen durch Hackerangriffe auf zentrale Infrastrukturen und vor einer Zuspitzung der „asymmetrischen Bedrohungslage im Cyberraum“ – also dem Prinzip, dass auch einzelne Angreifer oder Gruppen großen Schaden anrichten können.

In der Cybersicherheitsstrategie selbst ist von „steigender Komplexität und Interdependenz der eingesetzten Technik und sich ständig wandelnden Bedrohungen“ die Rede, auch die „Privatsphäre der Bürgerinnen und Bürger“ werde „zunehmend angreifbar“. Ein Satz, der im Hinblick auf das kürzlich verabschiedete BND-Gesetz eine durchaus ironische Note trägt.

Zusammenarbeit von Staat und Wirtschaft

Für schnelle Hilfe bei Sicherheitsvorfällen will die Regierung eine freiwillige Feuerwehr im Cyberraum - CC BY 2.0 via flickr/frnetz

Für schnelle Hilfe bei Sicherheitsvorfällen will die Regierung eine freiwillige Feuerwehr im Cyberraum – CC BY 2.0 via flickr/frnetz

Ein Teil der Cybersicherheitsstrategie dreht sich um die verstärkte Kooperation von staatlichen Institutionen und Wirtschaft. Um IT-Sicherheit auf hohem Niveau gewährleisten zu können, seien „im Sinne eines kooperativen Ansatzes auch neue Wege zu beschreiten, um die jeweiligen Kompetenzen zu bündeln und zu nutzen“.

Einer dieser neuen Wege – wenn auch nicht explizit erwähnt – ist die geplante „Cyberwehr“. Anfang Oktober hat netzpolitik.org zusammen mit Zeit Online einen Entwurf der „Kooperationsvereinbarung Cyberwehr“ veröffentlicht, aus dem Pläne von Bundesinnenministerium (BMI) und Bundesamt für Sicherheit in der Informationstechnik (BSI) hervorgehen, eine Art Freiwillige Feuerwehr für IT-Sicherheitsvorfälle bei Kritischen Infrastrukturen zu gründen.

Als Kritische Infrastrukturen werden Institutionen bezeichnet, die für das Funktionieren des Gemeinwesens unverzichtbar sind. Dazu gehören unter anderem Wasser- und Energieversorger, Nahrungs- und medizinische Versorgung, aber auch Finanz- und Versicherungswesen.

IT-Spezialisten aus Unternehmen, die sich der Cyberwehr anschließen, sollen zu den Betreibern Kritischer Infrastrukturen geschickt werden können, wenn diese einen Sicherheitsvorfall nicht mehr selbst beheben können. Am Prinzip der Cyberwehr gab es einige Kritik. Am meisten wurde in Frage gestellt, was Unternehmen dazu motivieren sollte, anderen kostenlos eigene Experten zur Verfügung zu stellen. Zum anderen ist es auch für Betroffene kritisch, Dritten Zugriff auf die eigenen IT-Systeme zu gewähren. Zudem demonstrieren die Pläne, dass es dem BSI derzeit nicht möglich ist, genügend eigene Experten anzuwerben, um selbstständig helfen zu können.

Ausweitung des IT-Sicherheitsgesetzes

Das im Juni 2015 vom Bundestag beschlossene IT-Sicherheitsgesetz hat seinen Namen kaum verdient. Kritikpunkte lagen vor allem darin, dass Betreiber Kritischer Infrastrukturen im Normalfall nur anonyme Meldungen bei IT-Sicherheitsvorfällen abgeben müssen. Das kommt den Unternehmen zwar sehr entgegen, da sie so keinen Rufschaden befürchten müssen, senkt aber auch die Motivation, ausreichende Absicherungen zur Vermeidung solcher Vorfälle zu treffen.

Weiterhin gab es im Gesetz einige unklare Begriffsdefinitionen sowie eine Beschränkung auf Kritische Infrastrukturen. Letzteres zumindest könnte sich bald ändern. Die Bundesregierung will prüfen, ob die Regelungen auch auf „andere Unternehmen von hoher gesellschaftlicher Relevanz“ ausgeweitet werden sollen. Davon abgesehen ist eine Neuregelung der Gesetzgebung zur IT-Sicherheit allein wegen der auf EU-Ebene verabschiedeten Direktive zur Sicherheit von Netz- und Informationssysteme – kurz NIS-Direktive – notwendig. Spätestens bis zum Mai 2018 müssen die Mitgliedstaaten der EU ihre eigenen Rechtsvorschriften anpassen, um der Richtlinie nachzukommen.

„Digitaler Sorglosigkeit entgegenwirken“

Die Strategie der Bundesregierung will nicht nur Unternehmen in die Pflicht nehmen, sie enthält auch Pläne, die Bevölkerung zu befähigen, sich sicherer im Netz zu bewegen. Oder in den Worten der Regierung: „die digitalen Verwundbarkeiten zu minimieren“.

Da dafür bereits in der Schule der Umgang mit digitalen Medien geübt werden muss, sollen Bund und Länder enger zusammenarbeiten. Die Unterschiede in der Medienausbildung zwischen den Ländern sind immer noch eklatant und die Pläne der Bundesregierung wirken wie eine Kursänderung. Noch im März 2015 verwies die Regierung auf die Eigenverantwortung der Länder bei der Medienbildung, doch im Oktober dieses Jahres kündigte Bildungsministerin Johanna Wanka einen „Digitalpakt“ des Bundes mit den Ländern an.

Erfreulich klingt, dass sich die Regierung für „leicht handhabbare und sichere Verschlüsselung“ einsetzen will. Die IT-Sicherheitsforschung soll vorangetrieben und Informationsangebote für die Allgemeinheit sollen ausgebaut werden. Doch gleich im nächsten Absatz relativiert die Regierung sich selbst und will Strafverfolgern und Sicherheitsbehörden die Möglichkeit geben, „verschlüsselte Kommunikation zu entschlüsseln oder zu umgehen“, wenn es erforderlich ist.

[Es] müssen die technischen Fähigkeiten der Strafverfolgungs- und Sicherheitsbehörden zur Entschlüsselung parallel zu den technischen Entwicklungen in Sachen Verschlüsselungen stetig fortentwickelt werden.

Widersprüchliche Haltung zu Verschlüsselung

Eine konkrete Ausprägung dieses Ziels kennen wir bereits: ZITiS – die Zentralstelle für Informationstechnik im Sicherheitsbereich. Sie soll „technische Unterstützung der Sicherheits- und Fachbehörden des Bundes einschließlich der Nachrichtendienste im Hinblick auf deren operativen Cyber-Fähigkeiten“ leisten, sollen laut Sicherheitsstrategie „Synergieeffekte“ für die Sicherheitsbehörden entstehen.

Das ist nicht das einzige Geschenk für die Sicherheitsbehörden. Sie sollen, in Bund und Ländern, „leistungsstarke Analyse- und Auswertetools“ bekommen und das Bundesamt für Verfassungsschutz erhält mehr Personal für die Spionageabwehr.

Sichere Verschlüsselung bereitstellen und sie bei nächster Gelegenheit gleich wieder brechen. Die Bundesregierung hat sich dafür das Mantra „Sicherheit durch Verschlüsselung und Sicherheit trotz Verschlüsselung“ zurechtgelegt. Doch auch nach mannigfaltiger Wiederholung wird das Konzept, so wie die Bundesregierung es sich gedacht hat, nicht funktionieren.

Man kann keine Systeme bauen, die eine hundertprozentig vertrauliche Kommunikation versprechen und sie dann wieder durch Sicherheitsbehörden umgehen. Für jede Entschlüsselung durch Sicherheitsbehörden, für jeden Staatstrojaner, werden Sicherheitslücken in Kauf genommen, ausgenutzt und nicht geschlossen. Damit ist kein Datenschutz „auf höchstem Niveau“ möglich. Denn zu glauben, andere Geheimdienste oder Kriminelle könnten diese Lücken nicht auch ausnutzen, ist naiv.

Konstantin von Notz, netzpolitischer Sprecher der Grünen im Bundestag, kommentiert dazu gegenüber netzpolitik.org:

Statt endlich grundsätzliche Weichenstellungen zur Verbesserung der IT-Sicherheit, zum Schutz digitaler Infrastrukturen und privater Kommunikation vorzunehmen, stellt sie grundlegende Verfassungsprinzipien weiterhin offen in Frage.

Cyber-Abwehrzentrum reformieren

Das Nationale Cyber-Abwehrzentrum hat bislang keinen guten Ruf.

Das Nationale Cyber-Abwehrzentrum hat bislang keinen guten Ruf.

Ein Kind der Cybersicherheitsstrategie 2011 ist das „Nationale Cyber-Abwehrzentrum“. Bisher ist es kein besonders beliebtes Kind: „Nicht geeignet“ attestierte der Bundesrechnungshof dem Cyber-Abwehrzentrum 2014. Eigentlich sollte es als Lagezentrum für den Informationsaustausch zwischen beteiligten Bundesbehörden dienen und die Fähigkeiten verschiedener Behörden bei der Abwehr von sogenannten Cybergefahren zusammenführen. In der Realität war die Institution jedoch wenig aktiv und hilfreich. Daher soll sie nun reformiert werden.

Aus einer Kleinen Anfrage aus dem August ging hervor, dass eine Evaluation des Cyber-Abwehrzentrums stattgefunden hat – das Ergebnis ist leider nicht öffentlich zugänglich. Einige Informationen zur Umgestaltung gibt es dennoch: Im Juni antwortete das BSI auf Nachfrage von netzpolitik.org, dass in Zukunft auch anlassabhängig „die aufsichtsführenden Stellen über die Kritischen Infrastrukturen in Deutschland daran angebunden“ werden sollen. In der Sicherheitsstrategie werden auch die Länder eingeladen, teilzunehmen.

Außerdem heißt es, das Cyber-Abwehrzentrum solle „mit eigenen Bewertungs- und Auswertungsfähigkeiten ausgestattet“ werden. Bei seiner Gründung gab man dem Cyber-Abwehrzentrum kein eigenes Personal, alle zehn Mitarbeiter waren weiterhin den beteiligten Behörden zugeordnet.

Provider und „datenschutzkonforme Sensorik“

Ein Absatz, der Rätsel aufgibt, dreht sich um Zusammenarbeit mit Kommunikationsprovidern zur Erkennung und zum Umgang mit Cyber-Bedrohungen:

Der Ausbau datenschutzkonformer Sensorik zur Anomalieerkennung im Netz ist hierbei ein wirksames Mittel, um die Datensicherheit im Netz generell zu erhöhen. Um die Rechte der Betroffenen zu schützen, sollen die Erkenntnisse anonymisiert bzw. pseudonymisiert werden.

Schon als Zeit Online und der Deutschlandfunk im Sommer über einen Entwurf der Strategie berichteten, warfen sie die Frage auf, ob damit Deep Packet Inspection gemeint ist. Also das Analysieren und Hineinschauen in Datenpakete, auch hinsichtlich ihres Inhaltes.

Eine Rechtsgrundlage dafür gibt es nicht. Und dass die Erkenntnisse „anonymisiert bzw. pseudonymisiert“ werden sollen, beruhigt nicht. Zum einen, weil das Wörtchen „beziehungsweise“ signalisiert, dass eine Anonymisierung vermutlich nicht stattfinden würde. Und eine Pseudonymisierung, so ihre Eigenschaft, erlaubt eine nachträgliche Zuordnung.

Viele offene Fragen zum Schluss

Große Teile der Cybersicherheitsstrategie waren inhaltlich bereits vorher bekannt: Der geplante Aufbau von ZITiS, die Pläne zur Cyberwehr, die Umstrukturierung im Cyber-Abwehrzentrum – um nur einige Punkte zu nennen.

Liest man sich die 46 Seiten durch, auf denen im Durchschnitt über sechs mal pro Seite das Präfix „Cyber“ auftaucht, bleibt man stellenweise ratlos zurück. Vieles ist unklar: Wie soll die Zusammenarbeit von Wirtschaft und Staat bei Fragen der IT-Sicherheit aussehen? Wie will man Verschlüsselung stärken und gleichzeitig Sicherheitsbehörden mitlesen lassen? Was ist eigentlich „datenschutzkonforme Sensorik“? Wo soll eigentlich das ganze dafür benötigte Personal herkommen, an dem es schon heute an allen und Ecken fehlt? Und: Bis wann soll das alles umgesetzt werden? In dieser Legislaturperiode wird das nicht mehr funktionieren.

7 Kommentare
  1. Erschrockene Leserin 10. Nov 2016 @ 19:09

Kommentar hinterlassen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert. Die Kommentar-Regeln findest Du hier.

Unterstütze unsere Recherchen und Berichterstattung für Grundrechte und ein freies Internet durch eine Spende. Spenden