Noch mehr Überwachung geplant: Bundesregierung erarbeitet neue Cybersicherheitsstrategie

Die Bundesregierung will im Herbst eine neue „Cybersicherheitsstrategie für Deutschland“ auf den Weg bringen. Dazu gehören mehr Überwachungsmaßnahmen und eine aktive Rolle im „Cyberkrieg“. Das zeigt eine gemeinsame Recherche von Zeit-Online und dem Deutschlandfunk.

Möchte mit dem Urteil leben – Innenminister de Maizière (Archivbild). Foto: CC-BY-SA 2.0 Metropolico.org

Nach Information von Zeit Online und Deutschlandfunk will Innenminister Thomas de Maizière massiv in den Ausbau einer neuen digitalen Sicherheitsarchitektur investieren. Die Redakteure Kai Biermann, Patrick Beuth und Falk Steiner berufen sich dabei auf einen vom Innenministerium erarbeiteten Plan namens „Cybersicherheitsstrategie für Deutschland 2016“, der sich derzeit in der Abstimmung zwischen unterschiedlichen Ministerien befände und im Herbst vom Kabinett beschlossen werden solle. Sobald wir das Papier selber vorliegen haben, werden wir es einer ausführlicheren Analyse unterziehen.

Unter dem Eindruck der Hilflosigkeit, den Bundesregierung und Behörden im Angesicht des Bundestagshacks im Sommer 2015 machten, ist ein zentrales Element der Reform offenbar die Schaffung einer neuen digitalen Sicherheitsarchitektur des Bundes. Polizei, Bundeswehr, Regierung und Wirtschaft sollen besser vernetzt, bestehende Behörden gestärkt und neue Institutionen aufgebaut werden. So sollen etwa das Bundesamt für Sicherheit in der Informationstechnik (BSI) und das Cyberabwehrzentrum aufgewertet und besser ausgestattet werden. Gerade das seit 2011 bestehende Cyberabwehrzentrum, dem der Bundesrechnungshof 2014 noch Nutzlosigkeit attestierte, soll laut Zeit Online und Deutschlandfunk als zentrale Schnitt- und Koordinationsstelle Geheimdienste, Polizeien, Behörden, Zoll und Militär vernetzen. Als dritte Einrichtung soll zudem ein Computer Emergency Response Team (CERT) aufgebaut werden, dessen Fachleute Sicherheitsprobleme analysieren und lösen sollen.

Schnelle Eingreiftruppen und eigene „Cyber-Waffen“

Darüber hinaus sollen laut Zeit Online und Deutschlandfunk in Anlehnung an das Militär drei „schnelle Eingreiftruppen“ gegründet werden, die bei Bedarf ausrücken und möglichst schnell gegen digitale Angriffe helfen sollen. „Im Konzept des Innenministeriums steht dazu der Ausdruck ‚24/7‘ – rund um die Uhr, an jedem Tag der Woche“, so Zeit Online. Eine der Truppen soll unter dem Namen Mobile Incident Response Team (MIRT) beim BSI angesiedelt werden und vor allem für die Reparatur kritischer Infrastrukturen zuständig sein. Das Bundesamt für Verfassungsschutz soll ein „Cyber-Team“ bekommen, das bei terroristischen oder geheimdienstlichen Angriffen zuständig ist. Die dritte Einheit namens Quick Reaction Force soll nach dem Plan des Innenministeriums im Bundeskriminalamt angesiedelt werden und „als digitale Polizei bei kriminellen Angriffen Daten sicherstellen“, so Zeit Online. Darüber hinaus will das Innenministerium offenbar selbst in der Lage sein, eigene Waffen für den „Cyberkrieg“ zu entwickeln, um beim digitalen Wettrüsten nicht hinterherzuhängen:

Im Innenministerium soll außerdem eine zentrale Stelle entstehen, die Cyberwaffen beschafft und entwickelt. So zumindest kann die unscharfe Formulierung verstanden werden, nach der diese Stelle „technische Unterstützung für nationale Sicherheitsbehörden im Hinblick auf deren operative Cyberfähigkeiten“ leisten soll. Dafür würde sprechen, dass die staatliche Abwehr die gleichen Werkzeuge nutzen muss, die auch Angreifer verwenden. Das ist im Internet nicht anders als auf dem Schlachtfeld. Trotzdem gibt es viele Kritiker, die fordern, Deutschland solle sich nicht am internationalen Wettrüsten digitaler Waffen beteiligen. Diese Stabsstelle, die „bedarfsbezogen und zukunftsorientiert Methoden, Produkte und Strategien für die operative Umsetzung der Cyberfähigkeiten in den Sicherheitsbehörden erarbeitet“, könnte aber genau das tun.

Deep Packet Inspection und pseudonymisierte Massenüberwachung?

Die Ideen des Innenministers gehen jedoch offenbar noch weit über diese Maßnahmen hinaus. Ohne dass es konkreter werde, sieht das Papier laut Zeit Online und Deutschlandfunk auch stärkere Mitwirkungspflichten für Unternehmen bei der Identifizierung einzelner Nutzer und einen Ausbau des Strafrechts vor – „neue Taten bräuchten neue Gesetze und neue Befugnisse für die Sicherheitsbehörden“, schreibt das Innenministerium laut Zeit Online. Um dem Fachkräftemangel in Sachen IT-Sicherheit zu begegnen, soll zudem die Zusammenarbeit (auch der Bundeswehr) mit privaten Sicherheitsfirmen massiv ausgebaut werden.

Besonders brisant ist darüber hinaus, was das Papier zum Thema Verschlüsselung und Überwachung sagt. So soll Zeit Online und Deutschlandfunk zufolge die „Sensorik im Netz“ in Kooperation mit Providern ausgeweitet und ein Frühwarnsystem aufgebaut werden, um sich besser gegen Angriffe und Infektionen zu wappnen. Das Stichwort Deep Packet Inspection fällt zwar scheinbar nicht wörtlich, schwebt aber im Raum. Zumindest eine automatisierte Überwachung des kompletten Netzwerkverkehrs wird von de Maizière offenbar angestrebt:

Ein kleiner Zusatz im Ministerpapier legt das nahe: „Die Pseudonymisierung solcher Erkenntnisse ist dabei ein wirksames Mittel, um die Rechte der Betroffenen zu schützen“, heißt es dort. Übersetzt könnte das bedeuten: Alle Daten werden auf verdächtige Aktivitäten hin überprüft und die Privatsphäre indirekt geschützt, indem Klarnamen durch Nummern ersetzt werden. Eine solche Pseudonymisierung kann aber immer rückgängig gemacht werden.

Den eigenen Ansatz beim Thema Verschlüsselung umschreibt das Innenministerium laut Zeit Online wie folgt: „Die deutsche Kryptostrategie umfasst Sicherheit durch Verschlüsselung und Sicherheit trotz Verschlüsselung.“ Biermann, Beuth und Steiner sprechen in diesem Zusammenhang von einer „Janusköpfigkeit“ des selbst bisweilen eher kryptischen Papieres:

Einerseits will das Innenministerium, dass Deutschland die besten Verschlüsselungswerkzeuge der Welt entwickelt. Andererseits sollen Geheimdienste und Polizei jedes Programm und jede Kommunikation knacken können.

Darüber hinaus soll das Papier auch Passagen zum Thema digitale Bildung („Jede Schulabgängerin und jeder Schulabgänger sollte Grundkenntnisse von Informatik haben“), zur Haftung von Software-Herstellen und -Betreibern bei Sicherheitslücken und zu mehr Sicherheitszertifizierungen durch das BSI enthalten.

Von Notz: „Cybersicherheitsstrategie“ gefährdet IT-Sicherheit

Im netzpolitischen Blog der Grünen hat deren stellvertretender Bundestagsfraktionsvorsitzender Konstantin von Notz die Pläne des Innenministeriums bereits als ineffektiv und verfassungsrechtlich fragwürdig kritisiert:

Insgesamt ist die „Cybersicherheitsstrategie“ nicht geeignet, IT-Sicherheit effektiv zu erhöhen, im Gegenteil: Im Konglomerat mit den übrigen derzeit in der Diskussion befindlichen Initiativen will die Bundesregierung eine verfassungsrechtlich höchst fragwürdige, völlig neue Sicherheitsarchitektur für den digitalen Raum. Das wird insbesondere auch im Anspruch, sich zukünftig auch proaktiv am Cyberwar beteiligen zu wollen, noch einmal deutlich.
Während die Bundesregierung die geheimdienstliche Massenüberwachung final legalisiert, die parlamentarische Kontrolle gleichzeitig massiv erschwert und eine neue Bundesbehörde zum Knacken von Kryptographie etabliert, sollen nun gleich drei Eingreiftruppen IT-Sicherheit erhöhen, die man durch eigene Aktivitäten wie den Handel von Sicherheitslücken zugleich selbst massiv schwächt.
Anders als von der Bundesregierung mehrfach dargestellt, ist das Ziel offenbar nicht nur die Beratung, sondern auch ein proaktives Handeln des Computer Emergency Response Teams (CERT) und Quick Reaction Forces. Hier stellen sich zahlreiche verfassungsrechtliche Fragen, die bis heute unbeantwortet sind. Auch die Zusammenarbeit ziviler, militärischer und geheimdienstlicher Strukturen wirft erhebliche Fragen auf, die in der vorliegenden Strategie nicht beantwortet werden.

5 Ergänzungen

  1. Bei allem, was recht ist, aber 10 mal „laut/von Zeit-Online“ nervt dann doch beim lesen.

  2. Dem Mann geht es wohl nicht gut?! Man sollte ihm seinen Cyberspace-Account sperren.

  3. Das kann nicht normal sein. TdM kann sich offenbar vor Lobbyisten nicht retten. Man möge ihm bitte eine geheime Asylunterkunft anbieten, damit er endlich wieder Realpolitik im vernünftigen Sinne und für Bürger machen kann.

  4. „Im Innenministerium soll außerdem eine zentrale Stelle entstehen, die Cyberwaffen beschafft und entwickelt.“

    Das INNENMINISTERIUM treibt die Militarisierung des „deutschen“ Internetteils voran?
    Durch die defakto Schwächung von Hard- und Software. Spitzenleistung, von solchen Leuten war und ist leider nichts anderes zu erwarten.

  5. Die neue Stelle für Beschaffungen von Cyber-Mitteln beim BMI könnte der „Missing Link“ in der vor wenigen Wochen veröffentlichten Cyber-Plänen des BMVg sein. In Anhörungen wurde ja durch Frau von der Leyen und Frau Suder immer wieder auf die Gültigkeit des Parlamentsvorbehalts hingewiesen, was jedoch nicht zum offensichtlichen Ausbau der offensiven CNO-Fähigkeiten passen will. Eventuell schafft man sich mit der zivilen Stelle jetzt genau diese Ressource.

    Etwas ausführlicher hier:
    http://cyber-peace.org/2016/07/12/verbindung-der-neuen-cybersicherheits-strategie-zu-den-militaerischen-cyber-plaenen/

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.