Inneres

Grüne wollen die IT-Sicherheit in Deutschland verbessern

Die Fraktion Bündnis 90/Die Grünen dringt darauf, die Sicherheit in der Informationstechnologie (IT) in Deutschland zu verbessern. Dazu soll die Bundesregierung ein umfangreiches Maßnahmenpaket umsetzen, fordert die Fraktion in einem Antrag (19/1328), den der Bundestag am Donnerstag, 19. April 2018, nach erster Lesung zur federführenden Beratung an den Innenausschuss überwiesen hat. 

Nach dem Willen der Grünen-Fraktion soll die Bundesregierung „schnellstmöglich ein neues IT-Sicherheitsgesetz vorlegen“, das mehr als nur die bisher berücksichtigte kritische Infrastruktur umfassen und auch öffentliche Stellen einbeziehen soll. Die Verantwortung für IT-Sicherheit müsse aus dem Bundesinnenministerium herausgelöst werden, „um den effektiven Grundrechtsschutz zu stärken“. Zudem müssten klare Zuständigkeiten innerhalb der Bundesregierung benannt werden.

Mehr Personal für Bundesdatenschutzbeauftragte

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) soll der Vorlage zufolge „zumindest im Rahmen seiner Aufgaben gegenüber Wirtschaft und Zivilgesellschaft“ unabhängig gestellt und in seiner Beratungsfunktion gegenüber Bürgern wie Unternehmen gestärkt werden. Zudem brauche das „Cyberabwehrzentrum“ der Bundesbehörden „hinreichend bestimmte Regelungen bezüglich seiner konkreten Aufgaben und der Zusammenarbeit der beteiligten Behörden“. Sowohl die Rechte und Pflichten dieser Behörden als auch Maßgaben für unterschiedliche Handlungsformate und der Umgang mit Informationen und Daten müssten klar gesetzlich geregelt werden.

Ferner soll das Personal der Bundesbeauftragten für den Datenschutz und die Informationsfreiheit laut Antrag „in einem neuen Herausforderungen und gesetzlichen Aufgaben angemessenen Umfang von circa 200 zusätzlichen Stellen aufgestockt werden“. Zudem muss nach Auffassung der Grünen-Fraktion insbesondere bei der Strafverfolgung, der Gefahrenabwehr und Gefahrenbeobachtung auf Maßnahmen, die die IT-Sicherheit gefährden, verzichtet werden.

„Hintertüren in Hard- und Software verbauen“

„Hierzu gehören unter anderem offensive Operationen und sogenannte ‚Hack backs‘, der staatliche Ankauf, das Offenhalten und die Nutzung von bislang nicht öffentlich bekannten Sicherheitslücken (‚Zero-DayExploits‘) und Überlegungen einer gesetzlichen Verpflichtung für Unternehmen, Hintertüren in Hard- und Software zu verbauen“, heißt es in der Vorlage weiter. 

Die behördliche Ausnutzung von Schwachstellen dürfe nur auf hinreichend konkreter gesetzlicher Grundlage und in einem rechtsstaatskonformen Verfahren erfolgen. Darüber hinaus plädieren die Abgeordneten unter anderem dafür, dass Sicherheitslücken schnellstmöglich im Zusammenspiel staatlicher und privater Akteure geschlossen und der Öffentlichkeit bekannt gemacht werden. (nal/19.04.2018)

zur Startseite
zur Startseite
Inneres

Experten vermissen klare Strategie der IT-Sicherheit

Experten vermissen eine klare Strategie Deutschlands im Bereich der IT-Sicherheit. Das ist ein Fazit aus einer öffentlichen Anhörung des Ausschusses für Inneres und Heimat am Montag, 8. April 2019. Grundlage der von Andrea Lindholz (CDU/CSU) und Jochen Haug (AfD) geleiteten Anhörung waren drei Oppositionsanträge.

Die FDP-Fraktion sprach sich in ihrem Antrag (19/7698) für einen Maßnahmenkatalog zur Stärkung der IT-Sicherheit aus, während die Linksfraktion (19/7705) das Bundesamt für Sicherheit in der Informationstechnologie (BSI) aus der Zuständigkeit des Bundesinnenministeriums lösen und in eine eigenständige Behörde umwandeln will. Die Fraktion Bündnis 90/Die Grünen (19/1328) fordert, die Regierung solle schnell ein IT-Sicherheitsgesetz vorlegen.

„Deutschland in Sachen IT-Sicherheit strategieunfähig“

In der Anhörung äußerten mehrere Experten, dass es ihrer Ansicht nach an einer klaren Strategie in Sachen IT-Sicherheit derzeit fehle. So sagte Dr. Sven Herpig von der Stiftung Neue Verantwortung, Deutschland sei in Sachen IT-Sicherheit derzeit „strategieunfähig“. Zudem gebe es bisher keine belastbaren Daten zur Wirksamkeit von Maßnahmen der Vergangenheit – gleichzeitig finde Gesetzgebung ohne die Einbeziehung der Zivilgesellschaft statt.

Dr. Rainer Baumgart von der secunet Security networks AG sagte aus Sicht der Wirtschaft, der Bereich der Sicherheitstechnik sei ein wachsender Markt. Deutschland verfüge über eine leistungsfähige Cybersicherheits-Industrie, die „nahezu Referenzmarkt“ sei. Das Land verfüge über eine hervorragende Sicherheitstechnik, die Angriffe unter der Gewährleistung des Datenschutzes aufdecken können. Diese werde aber noch nicht flächendeckend eingesetzt; hier brauche es Unterstützung.

„Erhöhung der IT-Sicherheit muss oberstes Ziel sein“

Klaus Landefeld vom Verband der Internetwirtschaft betonte, insbesondere der Bereich der vernetzten Geräte, der Ende 2019 auf etwa eine Milliarde Geräte ansteigen werde, sei eine Herausforderung. Es sei eine Grundfrage, ob die Sicherheit des Systems insgesamt erhöht werde oder wie sehr sie durch Zugriffsrechte des Staates oder der Geheimdienste gefährdet sei. Eine „konsequente Erhöhung“ der IT-Sicherheit müsste seiner Ansicht nach „oberstes Ziel sein“.

Frank Rieger vom Chaos Computer Club Berlin sagte, die gesetzliche Ausrichtung müsse „rein defensiv“ sein, da sich der Staat sonst in einem Konflikt befinde. Eigentlich müsse er sämtliche Sicherheitslücken schließen, dem stünden aber Wünsche der Geheimdienste entgegen. Rieger sprach sich für dynamische Zertifikate in der IT-Sicherheit aus; statische hätten „versagt“.

„Angriffsintensität nimmt deutlich zu“

Arne Schönbohm, der Präsident des BSI, führte aus, dass täglich 390.000 Schadprogramme entstünden und die „Angriffsintensität“ deutlich zunehme. Das BSI sei die einzige Bundesbehörde mit dem gesetzlichen Auftrag der Cyberabwehr und stelle seine Erkenntnisse sämtlichen Ressorts zur Verfügung. Allein 2018 habe die Behörde 16 Millionen Warnmails an Netzbetreiber versendet; seine Erkenntnisse würden überdies in die Zulassung von Produkten im Sicherheitsbereich einfließen. Oberstes Ziel aller Beteiligten sei eine sichere Infrastruktur.

Dr. Alexandra Sowa aus Bonn sagte in ihrem Statement, die vorliegenden Anträge enthielten zwar viele gute Ideen für die IT-Sicherheit, die die „Achillesferse des Informationszeitalters“ sei. Dennoch würden hier Dinge diskutiert, die längst besprochen worden seien. Der Bundestag müsse eine grundsätzliche Entscheidung treffen, ob er Techniken befördern wolle, die neue Lebens- und Arbeitsweisen möglich machten und letztlich Demokratie und Freiheit stärken würden, oder Technik zur Überwachung. 

Antrag der FDP

Die FDP-Fraktion macht sich für einen Maßnahmenkatalog zur Stärkung der IT-Sicherheit stark. Sie fordert, das Bundesamt für Sicherheit in der Informationstechnik (BSI) aus der Zuständigkeit des Bundesinnenministeriums herauszulösen und als zentrale Stelle für Fragen der IT-Sicherheit in der Informationsgesellschaft weiter zu etablieren. Das BSI müsse über alle Sicherheitslücken, die staatlichen Stellen bekannt werden, informiert werden und das zentrale Schwachstellenmanagement übernehmen.

Das Nationale Cyberabwehrzentrum (NCAZ) beim BSI soll nach dem Willen der Fraktion auf eine gesetzliche Grundlage gestellt und der Nationale Cyber-Sicherheitsrat in die dritte Säule des neu zu schaffenden Digitalministeriums eingegliedert werden. Zudem soll sich laut Vorlage eine neu einzusetzende Föderalismus-Kommission III auch mit der Frage der Zusammenarbeit zwischen Bund und Ländern im Bereich der IT-Sicherheit beschäftigen.

Bei der Beschaffung der Informationstechnik des Bundes soll das Kriterium der IT-Sicherheit dem Antrag zufolge ein wesentlich stärkeres Gewicht erhalten. Um- und Neubauten von kritischer Infrastruktur sollten grundsätzlich ein Cyber-Sicherheitskonzept beinhalten müssen, um Fördergelder zu erhalten.

Antrag der Linken

Die Linke dringt auf eine „Umsetzung effektiver Maßnahmen für digitale Sicherheit“. Sie fordert von der Bundesregierung einen Gesetzentwurf, um das BSI in eine eigenständige Behörde umzuwandeln, „die aus der Zuständigkeit des Bundesministeriums des Innern zu entlassen und deren Kernaufgabe die Erhöhung der digitalen Sicherheit für alle ist“. Ferner solle die Bundesregierung eine generelle Meldepflicht für Sicherheitslücken einführen.

Die Regierung wird ferner aufgefordert, den Einsatz von Staatstrojanern zu unterbinden und Sicherheitslücken wie Backdoors oder Zero-Day-Exploits weder zu nutzen noch anzuschaffen, den Export von Überwachungssoftware zu verbieten, sogenannte „Hackbacks“ durch staatliche Institutionen auszuschließen sowie „die deutsche Cyber-Sicherheitsstrategie strikt zivil, unter Ausschluss von Militär und Geheimdiensten auszurichten“. Die Bundeswehr soll nach dem Willen der Fraktion „konsequent auf digitale Sicherheit ihrer eigenen Systeme“ ausgerichtet werden; auf offensive Cyberfähigkeiten der Bundeswehr solle ebenso verzichtet werden „wie auf ihren Inlandseinsatz, auch zum Schutz kritischer Infrastruktur!.

Ferner wollen die Abgeordneten “digitale Gewalt„ als eigenen Phänomen-Bereich erfasst wissen, für den besonders geschulte Bereiche in den Strafverfolgungsbehörden und in der Justiz geschaffen werden sollen. Zudem sollen dem Antrag zufolge unter anderem mehr Ressourcen für Beratungsstellen für Opfer digitaler Gewalt bereitgestellt werden.

Antrag der Grünen

Die Grünen fordern von der Bundesregierung ein umfangreiches Maßnahmenpaket umsetzen. So soll sie nach dem Willen der Fraktion “schnellstmöglich ein neues IT-Sicherheitsgesetz vorlegen„, das mehr als nur die bisher berücksichtigte kritische Infrastruktur umfassen und auch öffentliche Stellen einbeziehen soll. Die Verantwortung für IT-Sicherheit müsse aus dem Bundesinnenministerium herausgelöst werden, “um den effektiven Grundrechtsschutz zu stärken„. Zudem müssten klare Zuständigkeiten innerhalb der Bundesregierung benannt werden.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) soll der Vorlage zufolge “zumindest im Rahmen seiner Aufgaben gegenüber Wirtschaft und Zivilgesellschaft„ unabhängig gestellt und in seiner Beratungsfunktion gegenüber und Bürgern wie Unternehmen gestärkt werden. Zudem brauche das “Cyberabwehrzentrum„ der Bundesbehörden “hinreichend bestimmte Regelungen bezüglich seiner konkreten Aufgaben und der Zusammenarbeit der beteiligten Behörden„. Sowohl die Rechte und Pflichten dieser Behörden als auch Maßgaben für unterschiedliche Handlungsformate und der Umgang mit Informationen und Daten müssten klar gesetzlich geregelt werden.

Ferner solle das Personal der Bundesbeauftragten für den Datenschutz und die Informationsfreiheit laut Antrag “in einem neuen Herausforderungen und gesetzlichen Aufgaben angemessenen Umfang von circa 200 zusätzlichen Stellen aufgestockt werden„. Zudem muss nach Auffassung der Grünen  vor allem bei der Strafverfolgung, der Gefahrenabwehr und Gefahrenbeobachtung auf die IT-Sicherheit gefährdende Maßnahmen verzichtet werden. (suk/sto/08.04.2019)

Liste der geladenen Sachverständigen

  • Dr. Rainer Baumgart, secunet Security Networks AG, Essen
  • Dr. Sven Herpig, Stiftung Neue Verantwortung
  • Klaus Landefeld, eco – Verband der Internetwirtschaft e. V., Berlin
  • Frank Rieger, Chaos Computer Club (CCC) Berlin e. V.
  • Arne Schönbohm, Präsident des Bundesamtes für Sicherheit in der Informationstechnik, Bonn
  • Dr. Aleksandra Sowa, Bonn
zur Startseite
zur Startseite