In unserer digitalen und vernetzten Welt ist IT-Sicherheit elementar. Sie muss gegen viele Widerstände erkämpft werden, darunter mangelndes Wissen, knappe Ressourcen und andere Prioritäten. IT-Sicherheit braucht aber auch Unterstützung der Verantwortlichen.
Die Ampel-Regierung hat sich IT-Sicherheit auf ihre Fahnen geschrieben. Der Koalitionsvertrag enthält einen ganzen Absatz zu digitalen Bürgerrechten und IT-Sicherheit. Die Fortschritts-Koalition will das Bundesamt für Sicherheit in der Informationstechnik „unabhängiger aufstellen“ sowie „Schwachstellen immer schnellstmöglich schließen“.
Seitdem arbeiten die relevanten Ministerien an Gesetzen zu diesen Themen. Jetzt hat das Innenministerium zwei Zwischenberichte erstellt, die wir veröffentlichen. Zudem hat die Ampel eine Arbeitsgruppe aus Innenpolitikern und Innenministerium gegründet. Diese Arbeitsgruppe hat Eckpunkte erarbeitet, die wir ebenfalls veröffentlichen. Zunächst berichtete Tagesspiegel Background Digitalisierung.
„Selbständig“ unter Innenministerium
In Deutschland ist das Bundesamt für Sicherheit in der Informationstechnik für IT-Sicherheit zuständig. Doch die Behörde kommt aus dem Bundesnachrichtendienst und untersteht dem Innenministerium. Das führt immer wieder zu Interessenkonflikten. So hat das BSI die Programmierung des Staatstrojaners unterstützt und Quellcode beigesteuert. Spätestens seit dieser Enthüllung fordern Abgeordnete und Experten, das BSI aus der Abhängigkeit des Innenministeriums zu befreien.
Im Koalitionsvertrag spricht die Ampel davon, das BSI „unabhängiger“ zu machen – nicht „unabhängig“. Nach der Affäre um den ehemaligen BSI-Präsident Arne Schönbohm hat die Ampel die Position der neuen BSI-Präsidentin Claudia Plattner sogar noch abhängiger gemacht. Die Wirtschaftswoche spricht von „Willkür“ und „Schleudersitz“.
Laut dem Zwischenbericht hat die Ampel „im Wesentlichen“ aufgegeben, das BSI vollständig unabhängig vom Innenministerium zu machen. Stattdessen sollen nur einige Abteilungen unabhängig und weisungsfrei werden, andere nicht. Den Eckpunkte der Arbeitsgruppe zufolge soll das BSI „eine ’selbständige‘ Bundesoberbehörde im Geschäftsbereich des BMI“ sein. Also weiterhin unter dem Innenministerium, mit „selbstständig“ nur in Anführungszeichen.
Dem Chaos Computer Club reicht das nicht. Sprecher Dirk Engling kommentiert gegenüber netzpolitik.org: „Es ist längst überfällig, den offensichtlichen Zielkonflikt des BSI aufzulösen, für IT-Sicherheit in deutschen Firmen, der Zivilgesellschaft und Behörden einzutreten und gleichzeitig Schwachstellen für die digitalen Kriegsphantasien ihrer Schwesterdienste mit Geheimnishintergrund zu horten. Eine komplette Emanzipation vom BMI auf lange Sicht wäre ein begrüßenswerter nächster Schritt“.
Schwachstellen offenlassen und schließen
Fast alle IT-Produkte haben Sicherheitslücken. US-Behörden haben letztes Jahr über 50.000 Schwachstellen erfasst – alle zehn Minuten eine. Diese Schwachstellen müssen geschlossen werden, denn ihre Ausnutzung durch Unbefugte gefährdet neben der IT-Sicherheit auch die öffentliche und nationale Sicherheit.
Die Ampel hat im Koalitionsvertrag beschlossen, „Schwachstellen immer schnellstmöglich zu schließen“. Doch Polizei, Geheimdienste und Militär wollen Schwachstellen nicht melden und schließen, sondern offenhalten und selbst ausnutzen. Innenministerin Nancy Faeser und weite große Teile der SPD wollen Schwachstellen nur „managen“ und manche schließen, aber andere ausnutzen. Damit steht das klare Verspechen aus dem Koalitionsvertrag auf der Kippe.
Laut dem Zwischenbericht drängt das Innenministerium darauf, manche Schwachstellen offenzuhalten und auszunutzen. Das seien „Erfordernisse der Strafverfolgung, der Aufklärung der Nachrichtendienste und der Verteidigung“. In der Arbeitsgruppe erarbeiten Innenministerium und Ampel-Abgeordnete „konstruktiv Lösungsszenarien“.
Innenministerium gegen Koalitionsvertrag
Der liberale Abgeordnete Manuel Höferlin widerspricht. Gegenüber netzpolitik.org sagt er: „Schwachstellen müssen schnellstmöglich geschlossen und dürfen nicht offen gehalten werden. Gerade die stetig wachsende Gefahr von Cyberattacken durch ausländische Akteure verdeutlicht die Wichtigkeit dieses Vorhabens.“
Der grüne Abgeordnete Konstantin von Notz sprach im Sommer von einer Abwägung: „Eine Lücke, die nur eine sehr kleine Zahl von Menschen betrifft, könnte womöglich zugunsten der Sicherheitsbehörden offenbleiben.“ Zum aktuellen Stand der Verhandlungen kommentiert er gegenüber netzpolitik.org: „Ich erwarte von allen Verantwortlichen, auch den beteiligten Ministerien, dass die Vorgaben des Koalitionsvertrags nun entschlossen umgesetzt werden.“
Über die offenen Punkte verhandelt die Arbeitsgruppe „konstruktiv und lösungsorientiert“ weiter, schon am Donnerstag gibt es die nächste Sitzung. Das Innenministerium will bis Ende März eine „Einigung der noch offenen Punkte erzielen“ und ein Konzept erarbeiten. Danach folgt das ordentliche Gesetzgebungsverfahren.
Hier die Dokumente in Volltext:
- Datum: 31. März 2023
- Von: Bundesministerium des Innern und für Heimat
- An: Haushaltsausschuss
- Status: Zwischenbericht
BSI als Zentralstelle für IT-Sicherheit und unabhängigeres BSI
Der Haushaltsausschuss hat in seiner Sitzung am 19. Mai 2022 folgenden Beschluss gefasst:
1. Der Haushaltsausschuss begrüßt den weiteren Auf- und Ausbau des Bundesamtes für Sicherheit in der Informationstechnik (BSI) als Cybersicherheitsbehörde des Bundes und Gestalter einer sicheren Digitalisierung Deutschlands. Das BSI kontrolliert und prüft unter anderem die Regierungsnetze und stärkt insgesamt die IT-Resilienz der Bundesrepublik Deutschland. Damit ist das BSI das Kompetenzzentrum des Bundes für die digitale Sicherheit.
2. Der Haushaltsausschuss fordert die Bundesregierung auf, bis zum 31. Dezember 2022 ein Konzept vorzulegen, wie das BSI in Anlehnung an den Koalitionsvertrag unabhängiger aufgestellt und zur Zentralstelle für IT-Sicherheit ausgebaut werden soll.
In Erfüllung des Auftrags aus Ziffer 2 des o.g. Beschlusses wird in Bezug auf die unabhängigere Aufstellung des BSI (I.) und den Ausbau des BSI zu einer Zentralstelle im Bund-Länder-Verhältnis (II.) der nachstehende Zwischenbericht übermittelt. Sowohl in der Konzeption der Zentralstelle als auch in der Ausgestaltung eines „unabhängigeren BSI“ ist es nicht zuletzt aufgrund der Zeitenwende zu einem erhöhten Diskussions- und Abstimmungsbedarfs gekommen. Die neue sicherheitspolitische Lage hat eine veränderte Betrachtung der ursprünglich geplanten Vorgehensweisen erfordert und die Abstimmungen mit den zu beteiligenden Ländern und Ressort aufwändiger werden lassen. Es wird jedoch seitens BMI davon ausgegangen, dass sich die noch offenen Fragestellungen klären lassen. Das BMI wird sodann unaufgefordert die erbetenen Konzepte vorlegen.
I. Unabhängigere Aufstellung des BSI
BMI hat gemeinsam mit BSI Möglichkeiten einer im Koalitionsvertrag angeführten „unabhängigeren Aufstellung des BSI“ geprüft. Folgende Optionen wurden zwischenzeitlich untersucht:
- Teilweiser Verzicht auf Fachaufsicht
- Einrichtung einer obersten Bundesbehörde
Eine Festlegung derjenigen Arbeitsbereiche, die unabhängiger von der Fachaufsicht durch BMI aufgestellt werden sollen, ist lediglich sehr eng begrenzt möglich. Aufgaben, die das BSI hoheitlich wahrnimmt (insb. operative Eingriffsbefugnisse), bedürfen einer Fortsetzung der Legitimationskette von Parlament über Regierung auf Behördenebene: das BSI ist eine Bundesoberbehörde im Geschäftsbereich des BMI und Träger verschiedener hoheitlicher Aufgaben (Zertifizierung, Regulierungsbehörde für KRITIS, etc.). Die Ausübung von Staatsgewalt erfordert jedoch einen Zurechnungs-, Verantwortungs- und Legitimationszusammenhang zwischen Volk und Staatsorganen. Diesen „Zurechnungszusammenhang“ sieht das BVerfG u.a. durch die grundsätzliche Weisungsgebundenheit der Verwaltung gegenüber der Regierung hergestellt. Diese Komponente demokratischer Legitimation wird in der hierarchischen Ministerialverwaltung durch eine umfassende Dienst- und Fachaufsicht gewährleistet. Ein Wegfall der Weisungsmöglichkeit gegenüber dem BSI insgesamt würde einen „ministerial-freien Raum“ begründen. Dieser wäre besonders begründungsbedürftig und erforderte grundsätzlich einer auf Verfassungsebene angesiedelten Legitimation für die Durchbrechung des Grundsatzes der Weisungsabhängigkeit. Nach derzeitigem Prüferstand können die Optionen a. und b. daher nicht überzeugend begründet werden.
Die Prüfung weiterer möglicher Gestaltungsoptionen ist derzeit noch nicht abgeschlossen. Hierzu soll alsbald eine Abstimmung mit den Ressorts erfolgen, auch um einen Bericht der Bundesregierung an den Haushaltsauschuss zu ermöglichen.
II. Ausbau des BSI zu einer Zentralstelle im Bund-Länder-Verhältnis
BSI und BMI haben bis Mitte Juni des Jahres 2022 einen ersten Entwurf für ein Konzeptpapier zum Ausbau des BSI zu einer Zentralstelle im Bund-Länder-Verhältnis erstellt. Das Konzeptpapier soll als Diskussionsgrundlage dienen, um die Aufgaben der Zentralstelle gemeinsam mit den Ländern weiter zu konkretisieren und die Zentralstellenfunktion des BSI in die gesamtstaatliche Cybersicherheitsarchitektur zu integrieren. Der Entwurf des Konzeptpapiers wurde in bilateralen und gemeinsamen Workshops auf Arbeitsebene mit den Ländern unter Einbindung der Gremien der Innenministerkonferenz (IMK), der Landesarbeitsgruppe Cybersicherheit, und des IT-Planungsrates, der Arbeitsgemeinschaft Informationssicherheit diskutiert. Eine Überarbeitung des Konzeptpapiers unter Berücksichtigung der ersten Rückmeldungen der Länder erfolgte im September/Oktober 2022, im Anschluss wurde die Ressortabstimmung Ende Oktober 2022 eingeleitet. Diese dauert an.
Im Rahmen der Herbst-IMK Ende November/Anfang Dezember 2022 wurde deutlich, dass es auf Seiten der Länder zum Teil Vorbehalte gegen den Ausbau des BSI zu einer Zentralstelle gibt und noch weiterer Diskussionsbedarf besteht. Die Diskussionen mit den Ländern werden aktuell fortgesetzt.
- Datum: 28. Dezember 2023
- Von: Bundesministerium des Innern und für Heimat
- An: Haushaltsausschuss
- Status: Zwischenbericht
Unabhängigere Aufstellung und Ausbau des BSI als Zentralstelle für IT-Sicherheit
Der Haushaltsausschuss hat am 26. April 2023 den folgenden Beschluss gefasst:
Der Haushaltsausschuss des Deutschen Bundestages nimmt den Zwischenbericht [des BMI zur unabhängigeren Aufstellung und zum Ausbau des BSI als Zentralstelle für IT-Sicherheit vom 31. März 2023 – HHA-Drs. 20(8)3707 – ] zur Kenntnis und stellt fest, dass darin kein umsetzungsfähiges Konzept zur unabhängigeren Aufstellung des Bundesamtes für Sicherheit in der Informationstechnik (BSI) und zu dessen Ausbau als Zentralstelle für IT-Sicherheit enthalten ist.
Der Haushaltsausschuss fordert die Bundesregierung weiterhin auf, bis zum 31. August 2023 ein detailliertes Konzept für ein unabhängigeres BSI und dessen Ausbau zur zentralen Stelle im Bereich IT-Sicherheit vorzulegen. Der Bericht soll Zeitpläne sowie konkrete Vorschläge dazu enthalten, wie sich die Vereinbarung aus dem Koalitionsvertrag umsetzen lässt. Sofern verschiedene Umsetzungsmöglichkeiten für ein unabhängigeres BSI gegeneinander abgewogen wurden, sind auch diese detailliert darzustellen.
Der Haushaltsausschuss hat den Termin für die Vorlage auf Bitten des BMI zuletzt bis zum 31. Dezember 2023 verlängert. In Bezug auf die unabhängigere Aufstellung des BSI (I.) und den Ausbau des BSI zu einer Zentralstelle im Bund-Länder-Verhältnis (II.) wird der nachstehende Zwischenbericht übermittelt. Dieser wird durch ein Eckpunktepapier zum „unabhängigeren BSI“ und den BMI-Entwurf eines Zentralstellenkonzepts ergänzt.
I. Unabhängigere Aufstellung des BSI
Die AG BSI (eine Arbeitsgruppe aus Innenpolitikern der Koalitionsfraktionen und BMI) hat die Fristverlängerung genutzt, um in fünf Sitzungen auf Ebene der Abgeordneten und drei Sitzungen auf Mitarbeiterebene die Thematik gründlich aufzuarbeiten. Zudem hat die AG BSI eine Sachverständigenanhörung durchgeführt, um Stimmen aus Wirtschaft, Wissenschaft und Gesellschaft in die Lösungsfindung einzubringen. Diese Aktivitäten wurden durch Informationsgespräche mit den Sicherheitsbehörden ergänzt, um den dortigen Bedarf zur Nutzung von Schwachstellen für deren gesetzliche Aufgaben darzustellen.
Insgesamt konnten in den Diskussionen zum „unabhängigeren BSI“ deutliche Fortschritte erzielt werden, die dem anliegenden Eckpunktepapier näher dargestellt sind. Derzeit wird jedoch noch über einen Teilaspekt des „unabhängigeren BSI“ diskutiert. Der AG liegt hierzu ein Vorschlag vor, der die Abteilung „Operative Cybersicherheit“ und einige Zertifizierungsreferate des BSI weisungsfrei, mit eigener Leitung sowie eigener Personal- und Budgetverantwortung stellen will. Hier sind noch weitere Diskussionen in der AG erforderlich, um eine auch verfassungsrechtlich vertretbare Lösung abzustimmen. Die im Eckpunktepapier dargelegten Maßnahmen finden jedoch bereits heute im Wesentlichen die Zustimmung der AG.
Ein weiteres Thema, das der Koalitionsvertrag im Kontext „unabhängigeres BSI“ benennt, ist die Schaffung eines wirksamen Schwachstellenmanagements.
Von diesem Themenfeld sind besonders schwierige Abwägungen erfasst, die die Sicherheitsinteressen für deutsche IT-Systeme gegenüber den Erfordernissen der Strafverfolgung, der Aufklärung der Nachrichtendienste und der Verteidigung insgesamt betrachten müssen. Auch hier wurden zwischen den Vertretern in der AG BSI Lösungsszenarien konstruktiv erörtert. Allerdings ist der Stand der Verhandlungen noch nicht ausreichend fortgeschritten, um erste Ergebnisse vorlegen zu können. Insbesondere besteht angesichts der Bedeutung der diskutierten Maßnahmen für die Sicherheit Deutschlands noch weiterer Erörterungsbedarf.
II. Ausbau des BSI zu einer Zentralstelle im Bund-Länder-Verhältnis
BMI und BSI haben für den Ausbau des BSI zu einer Zentralstelle im Bund-Länder-Verhältnis einen Konzeptentwurf entwickelt. Dieser wurde – wie auch verschiedene fachliche und technische Fragen der Länder – in mehreren Workshops diskutiert und anschließend überarbeitet. Der Konzeptentwurf befindet sich gegenwärtig in der Ressortabstimmung. Bereits jetzt dient der Konzeptentwurf als Grundlage für die Erarbeitung der Entwürfe für die notwendigen Rechtsänderungen. Diese bereitet das BMI derzeit vor und plant, die Entwürfe Anfang 2024 für die Änderung des Grundgesetzes und die einfachrechtlichen Ergänzungen des BSI-Gesetzes für die weitere Abstimmung bereit zu stellen. Um Ihnen einen Einblick in den Stand der Arbeiten des BMI zu geben, ist der Entwurf des Zentralstellenkonzepts beigefügt, wie ihn BMI kürzlich in die Ressortabstimmung gegeben hat. Es wird darauf hingewiesen, dass die Ressortabstimmung noch nicht abgeschlossen ist.
Zusammenfassend ist festzustellen, dass die Arbeiten in der AG BSI zwar sehr konstruktiv und lösungsorientiert fortschreiten, aber bedauerlicherweise noch keine Grundlage für das von Ihnen erbetene detaillierte Konzept geschaffen werden konnte. Für Januar 2024 ist eine weitere Sitzung der AG BSI geplant. BMI erwartet, dass eine Einigung hinsichtlich der noch offenen Punkte erzielt werden kann. Auf dieser Basis wird das erbetene Konzept erstellt und innerhalb der Bundesregierung abgestimmt. Das BMI geht davon aus, dass es nunmehr gelingen wird, im ersten Quartal des neuen Jahres das erbetene Konzept zu übersenden.
- Von: Arbeitsgruppe BSI
- Status: Entwurf
Eckpunkte im Rahmen der AG BSI
I. Unabhängigeres BSI
Die Aufgabenbeschreibung des BSI in § 1 BSIG wird ergänzt. Es wird deutlich gemacht,
- dass es sich beim BSI um eine „selbständige“ Bundesoberbehörde im Geschäftsbereich des BMI handelt (§ 1 Abs. 1 S. 2 BSIG) und
- dass das BSI „seine wissenschaftlich-technischen Aufgaben fachlich unabhängig durchführt“ (§ 1 Abs. 1 S. 3 BSIG).
Die Verpflichtung des BSI, über eine Zusammenarbeit mit den Ressorts unverzüglich zu unterrichten (§ 26 Abs. 1 S. 2 GGO), wird gestrichen.
II. Gesetzliche Regelung des CVD-Prozesses
Im Rahmen des CVD-Prozesses nimmt das BSI bereits heute Meldungen zu Sicherheitslücken entgegen und wirkt gegenüber den Herstellern auf deren Schließung hin. Diesbezüglich wird nun folgendes gesetzlich festgeschrieben:
- Das BSI meldet die ihm gemeldeten Schwachstellen immer an den jeweiligen Hersteller.
- Die Weitergabe von Schwachstellen zum Zwecke der Ausnutzung wird untersagt.
- Das BSI schafft Transparenz über den Meldeprozess, insbesondere durch das Veröffentlichen einer CVD-Leitlinie.
Darüber hinaus wird der CVD-Prozess durch untergesetzliche Maßnahmen, wie etwa den Ausbau des automatisierten Informationsaustausches, gestärkt (vorbehaltlich zur Verfügung stehender Haushaltsmittel).
„Eine Lücke, die nur eine sehr kleine Zahl von Menschen betrifft, könnte womöglich zugunsten der Sicherheitsbehörden offenbleiben.“
Das ist grüne Volkverdummung. Schon deshalb, weil eine solche Lücke womoglich ohne Nutzen für die „Sicherheits“behörden ist.
Davon abgesehen: Was soll das für eine Lücke sein, die nur wenige Menschen betrifft? Eine Sicherheislücke im Entertainmentsystem eines Maybach S 680 4-Matic?
In dem Falle wäre eine Supervision durch eine unabhängige Stelle nötig, oder volle Transparenz bzgl. gehaltener Lücken ;). Fehler bei der Einstufung von Lücken hat es schon viele gegeben, und Kreativität dabei auch fast ebensoviel wie beim Einflicken von Lücken.
Jeder mit etwas Sachverstand weiß, daß aus einer „kleinen“ Lücke heraus, massenweise Ziele angegriffen werden können, bspw. über Exploit-Chains, Privilege Escalation oder dem Nachladen von Code, der weitere Teile der Infrastruktur infizieren/manipulieren kann.
Das bleibt wirklich schwammig und geht wohl auch fehl (- das, was Sie da zurecht kritisieren).
Selbst wenn man nicht klein/groß unterscheidet, sondern wie viele Nutzer betroffen sind, ist doch bitte gerne mal die Metrik bzw. Entscheidungsgrundlage dafür offenzulegen, und zumindest die sehr konkret auch technisch ausgereifte Beschreibung der prinzipiellen Richtung bereits im Entwurf eines Gesetztes oder einer Richtlinie mit aufzuzeigen.
Sonst ist klein/groß/viele/wenige bald beliebig. Andere Kriterien sind auch schlecht, aber können wir z.B. wirtschaftlichen Schaden ignorieren? „Nur 2000 Mittelständler betroffen“ (4 Milliarden Euro Schaden), „Nur ein Betroffener.“ (Zentralabitur 2024). Klar haben die keine Glaskugel, aber viel/wenig oder groß/klein reichen sicherlich NICHT. Wie verhindern wir, dass Behörden mehrere Länder sich „austauschen“, um gemeinsam Lücken offenzuhalten, um dann festzustellen, dass die einfach nur bei uns so und so viel Schaden anrichten wollten. Regelt man sowas auch gleich mit?
Lösung? Nösung! Z.B. offiziell erfasste Schadensfälle bei Versicherungen :). Jetzt wird es destruktiv – blos weg hier!