Ironischerweise haben die Grünen bereits knapp drei Wochen vor Bekanntwerden der Cyberattacke „WannaCry“ in einem Fraktionsbeschluss deutlich gemacht, was nun durch den Angriff bestätigt wurde: Die bestehende digitale Sicherheit ist mangelhaft, und dies nicht nur im Falle kritischer Infrastrukturen. Der Beschluss der Grünen stellt eindeutige Forderungen zum Schutz von Grundrechten. Ziel von „WannaCry“ waren nicht nur kritische Infrastrukturen, wie Krankenhäuser und große Transportunternehmen wie die Deutsche Bahn, sondern es waren auch ganz normale Bürger*innen von den Angriffen betroffen. Die Sicherheitsstrategie der Bundesregierung schützt letztere jedoch wenig, so die Grünen.
Unternehmerische oder soziale Sicherheit?
In ihrem Papier geht es der grünen Bundesfraktion darum, dass der Begriff der kritischen Infrastruktur nicht nur auf Wirtschaftsunternehmen angewandt werden darf, um einzig ihnen Sicherheit zu gewähren. Beim Thema digitale Sicherheit müsse es sich um die Sicherheit für alle Bürger*innen handeln. Wie die Attacke durch „WannaCry“ zeigt, tragen den Schaden – ob nun direkt oder indirekt – die Bürger*innen. Das Verhalten der Bundesregierung, Überwachungsbefugnisse der Geheimdienste auszubauen, erwies sich zuletzt durch „WannaCry“ erneut als Fehlschlag. Schließlich waren die Lücken, die die Angriffe ermöglichten, dem amerikanischen Geheimdienst NSA bereits seit fünf Jahren bekannt und bewusst nicht von ihm geschlossen worden. Geheimdienste verschafften sich durch die Ermächtigung dieser Lücken eigene Vorteile in der Überwachung der Bevölkerung. Die Ausnutzung sogenannter Zero-Days, also Software-Fehler, die noch nicht öffentlich bekannt sind, ist seit langem geheimdienstliche Praxis.
Obwohl ein parlamentarischer Untersuchungsausschuss zum Abhörskandal der NSA die Ausmaße der Überwachung aufdeckte, hat sich den Grünen zufolge an der Strategie der Bundesregierung nichts geändert. Nach wie vor würden das Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität von IT-Systemen und das auf informationelle Selbstbestimmung durch Massenüberwachung unterlaufen. Laut dem Fraktionspapier der Grünen beschränken sich die „Maßnahmen des Bundesinnenministeriums […] allenfalls auf die Sicherheit der Bundesverwaltung“, wohingegen die Bürger*innen leer ausgehen und ungeschützt blieben. Dies zeige sich auch in der von Innenminister Thomas de Maizière kürzlich vertretenen Forderung nach staatlichem Zugriff auf Ende zu Ende verschlüsselten Datenverkehr.
Vertrauen in digitale Infrastruktur ermöglichen
Eine bürgerrechtsorientierte Sicherheitspolitik, wie sie die Grünen fordern, unterstützt dagegen die Fähigkeit der Bürger*innen zum Selbstschutz und verlangt eine besser koordinierte und zeitgemäßere Zusammenarbeit der staatlichen Aufsichtsbehörden, ohne dabei aber durch eine Ausweitung ihrer Befugnisse die Sicherheitsinteressen der Bürger*innen zu untergraben. Vielmehr sei es wichtig, dass digitalen Infrastrukturen mehr vertraut werden kann.
Datenschutz und IT-Sicherheit stehen sich also nicht gegenseitig im Wege, sondern das eine bedingt das andere. Ebenso sei die Verschlüsselungspraxis zwischen Individuen nicht das zu lösende Problem, sondern die Lösung des Problems der generell nie auszuschließenden Überwachung und Anfälligkeit für Angriffe digitaler Kommunikation. Die Schutzpflicht des Staates werde durch die bewusste Ausnutzung von Sicherheitslücken und die geplante Aushöhlung der Ende-Zu-Ende-Verschlüsselung unterminiert. Dies müsse, wie jede andere Straftat, welche Sicherheitslücken in IT-Systemen ausnutzt, verfolgt werden.
Die Grünen fordern aber nicht nur eine größere Transparenz der Arbeit von Geheimdiensten, sondern auch das Ende der Massenüberwachung. Die Befugnisse der Geheimdienste sollen klarer definiert werden, anstatt generell alle Bürger*innen in die Rasterfahndung zu integrieren. Außerdem müsse die Identifikation der Urheberschaft von Angriffen durch unabhängige Stellen geschehen, um die Verschleierung von rechtswidrigen Praktiken der Geheimdienste zu vermeiden.
Grenzen militärischer und staatlicher Cyber-Einsätze
Auch militärische Cyber-Einsätze sollen stärker reguliert werden. So könne die Rolle der Bundeswehr durch Cyberangriffe keineswegs gestärkt oder ihr Einsatz im Innern durch Angriffe im IT-Bereich legitimiert werden. Trotzdem soll die Bundeswehr in der Lage sein, ihre eigene IT-Infrastruktur zu schützen, jedoch nicht darüber hinaus auf andere Infrastrukturen zuzugreifen. Die parlamentarische Kontrolle der Bundeswehr-Einsatzbereiche sei noch mangelhaft und müsse dahingehend ausgebaut werden, die Einhaltung des Völkerrechts zur Abwendung von Nachtteilen für die Zivilbevölkerung zu garantieren.
Cybersicherheit könne außerdem nicht Angelegenheit einzelner Ressorts bleiben. Durch die Ablösung der Aufgabe aus dem Innenministerium und einer rechtlich eindeutig festgelegten Querschnitts-Zusammenarbeit der Bundesbehörden im geplanten Cyberabwehrzentrum solle möglichst große Transparenz möglich werden. Staatliche Hacking-Ansätze, die mit der Zentralstelle für Informationstechnik und Sicherheit (ZITIS) verwirklicht werden können, bewegen sich in rechtlichen Grauzonen, die prinzipiell Gefahr laufen, Grundrechtseingriffe aufgrund fehlender Spezialregelungen zu begehen, und müssten daher besser überprüft werden. Sollte die Bundesregierung ihre IT-Sicherheitsstrategie wie bisher weiterverfolgen, läuft sie den Grünen zufolge aus bürgerrechtlicher Sicht Gefahr, zur großen Tragödie zu werden.
Gut, dass die GRÜNEN als Oppositionspartei klare und richtige Forderungen formulieren. Wie viel davon wird aber in einer Schwarz-Grünen Koalition übrig bleiben? Wenn man sich das Verhalten der GRÜNEN als Regierungspartei in Baden-Württemberg anschaut, dann ist da leider nicht viel zu erwarten. Die CDU darf dort mit ihrem Innenminister mehr oder weniger machen, was sie will.
Sorry*innen , aber*innen dieses*innen macht*innen mich*innen aggressiv*innen. So*innen kann*innen man*innen keinen*innen Beitrag*innen mehr*innen ernst*innen nehmen*innen, geschweige*innen denn*innen entspannt*innen lesen*innen…
Danke*innen
Hi Name*innen,
dann bin ich ja beruhigt.
Btw: „Danke*innen“ – fancy Kalauer. Du kannst mich ruhig duzen. Nur bleibts beim *.
Grüß gut,
Alex, die Praktikant*in
In Frankreich hat das Regime offenbar die Tor-Guards, die von WannaCrypt verwendet wurden, für eine „Untersuchung“ eingesammelt.
https://mastodon.social/@nusenu/6481559
Betreiben öffentlicher Infrastruktur mit ranzigem Windows und ohne Backup? Kein Problem.
Betreiben von neutraler Netzinfrastruktur um das Internet wieder ein klein bisschen sicherer zu machen? Böse.
Schöne neue Cyberwelt kommt da auf uns zu.
Für die frankophonen: https://www.nextinpact.com/news/104302-wannacrypt-nuds-tor-saisis-par-autorites-francaises.htm
Ein ebenso übereifriger wie unterbelichteter Magistrat versucht offenbar, sich als Cyberjäger zu profilieren. Kommt, lasst uns das Internet ausdrucken! Ob in dem ganzen Apparat jemand merkt, was für ein Quatsch die Aktion ist?
Unterdessen zittert das Volk (jene Leute, die zwar zugeben, von IT nichts zu verstehen, aber von funkender, rechnender und unreifer Technik, die möglichst ihr Leben beherrschen soll, nicht genug kriegen können) vor den bösen Hackern, gegen die man angeblich nichts machen kann – lässt sich von „Sicherheits“-Sirenen verführen – sieht, was jeden Tag schief geht, hält die wachsende Abhängigkeit von schlampig gebauten, irrsinnig komplexen, unsicheren, gebackdoorten, intransparenten, proprietären IT-Systemen aber trotzdem unbeirrt felsenfest für „den Fortschritt“.
Dummheit mag höhere Gewalt sein. Leichtsinn ist es eigentlich nicht.
„Ziel von ‚WannaCry‘ waren nicht nur kritische Infrastrukturen, […] sondern es waren auch ganz normale Bürger*innen von den Angriffen betroffen.“
Ziel von „WannaCry“ war überhaupt niemand spezielles, sondern wie das ein Wurm halt so macht, alles, was die ausgenutzte Sicherheitslücke aufwies.
Können wir bitte mal die Terminologien korrekt bekommen? Alle faseln von „Angriff“ und „Cyberattacke“, aber das war stumpfe Ransomware. Conficker mit Verschlüsselung und Gelderpressung.
+1