„Die Bundesregierung ist zu einer Gefahr für die IT-Sicherheit geworden“


Für das Bundesinnenministerium war es ein „ernstzunehmender Vorgang“. Als vor wenigen Wochen die Hackerattacke auf das Datennetz des Bundes bekannt wurde, war die Aufregung groß. Dann die vorsichtige Entwarnung: Der Angriff sei weitgehend fehlgeschlagen. Zwar hätten die Angreifer zwei Bundeseinrichtungen infiltrieren können, nicht aber das speziell gesicherte Datennetz des Bundes insgesamt, erklärte das Ministerium.

Der Vorfall wirft ein Schlaglicht auf die Verwundbarkeit von IT-Infrastrukturen, insbesondere von Netzen, die von Regierungsstellen genutzt werden. Aber nicht nur. Auch für Unternehmern und Bürger stellt sich die Frage: Ist Deutschland ausreichend gegen Cyberattacken gewappnet? Experten sehen schon länger einen großen Nachholbedarf – nicht zuletzt auch wegen der wachsenden Bedrohung durch Hacker. Die jüngste Attacke auf das Regierungsnetz, aber auch die zunehmenden Gefahren etwa für den Bundestag, scheinen die Politik wachgerüttelt zu haben.

Union und SPD wollen in dieser Legislaturperiode das Thema IT-Sicherheit in den Blick nehmen. „Wir werden das IT-Sicherheitsgesetz fortschreiben und den Ordnungsrahmen erweitern, um den neuen Gefährdungen angemessen zu begegnen“, heißt es dazu im Koalitionsvertrag.



Das ist aus Sicht der Grünen auch höchste Zeit. Der jüngst bekannt gewordene IT-Angriff habe „die Verletzlichkeit von IT-Systemen und digitalen Infrastrukturen in einer zunehmend vernetzten Welt erneut schmerzlich vor Augen geführt“, schreibt die Fraktion in einem Antrag, der am kommenden Donnerstag in den Bundestag eingebracht werden soll.

In dem Antrag, der dem Handelsblatt vorliegt, schlagen die Abgeordneten umfassende Maßnahmen zur Verbesserung der IT-Sicherheit in Deutschland vor. Dabei erheben sie schwere Vorwürfe gegen die Bundesregierung. Sie trage eine Mitschuld daran, dass es „insgesamt schlecht“ um die IT-Sicherheit bestellt sei. „Längst ist die Bundesregierung selbst zu einer Gefahr für die IT-Sicherheit geworden“, sagte Grünen-Fraktionsvize Konstantin von Notz dem Handelsblatt. Nötig sei eine „echte Kehrtwende“.

In einer Art Handlungskatalog fordern die Grünen etwa ein neues IT-Sicherheitsgesetz, das mehr als nur die bisher berücksichtigte kritische Infrastruktur umfassen solle. Rein passive Meldepflichten von Unternehmen bei IT-Sicherheitsvorfällen gehen der Fraktion nicht weit genug. Sie will künftig auch öffentliche Stellen einbeziehen und „insgesamt sehr viel stärker auf Anreize für proaktive Investitionen in gute IT-Sicherheitslösungen setzen“, wie es in dem Antrag heißt. Auch auf europäischer Ebene sehen die Grünen Handlungsbedarf. Die Bundesregierung solle sich für „klare und verbindliche IT-Mindeststandards“ einsetzen.

Außerdem wollen die Grünen die Zuständigkeiten für das Cyber-Thema neu ordnen. „Die Verantwortung für IT-Sicherheit muss aus dem Bundesinnenministerium herausgelöst werden, um den effektiven Grundrechtsschutz zu stärken“, heißt es in dem Antrag. Zu diesem Zweck soll das Bundesamt für Sicherheit in der Informationstechnik (BSI) nach Vorstellung der Grünen „zumindest im Rahmen seiner Aufgaben gegenüber Wirtschaft und Zivilgesellschaf - unabhängig gestellt“. Die Behörde soll demnach künftigen in seiner Beratungsfunktion gegenüber Bürgern und Unternehmen gestärkt werden.



Die Grünen wollen überdies bestehende Aufsichtsstrukturen besser ausstatten. So solle das Personal der Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) angesichts neuer Herausforderungen und gesetzlicher Aufgaben in einem „angemessenen Umfang von circa 200 zusätzlichen Stellen aufgestockt werden“, heißt es in dem Antrag. Zugleich solle die Bundesregierung „im Zusammenspiel mit den Ländern“ dafür sorgen, dass auch die Aufsichtsbehörden auf Landesebene als Experten vor Ort „eine angemessene, auch gesetzlich gebotene Stärkung erfahren“.

Sogenannte Cyber-Gegenschläge („Hackbacks“), wie sie schon von der Zentralen Stelle für Informationstechnik im Sicherheitsbereich (Zitis) überlegt wurden, lehnen die Grünen strikt ab. „Insbesondere bei der Strafverfolgung, der Gefahrenabwehr und Gefahrenbeobachtung muss auf IT-Sicherheit gefährdende Maßnahmen verzichtet werden“, heißt es in dem Antrag. Hierzu gehörten unter anderem offensive Operationen und „Hackbacks“, der staatliche Ankauf, das Offenhalten und die Nutzung von bislang nicht öffentlich bekannten Sicherheitslücken, sogenannte „Zero-Day-Exploits“, sowie Überlegungen einer gesetzlichen Verpflichtung für Unternehmen, Hintertüren in Hard- und Software zu verbauen.

Sicherheitslücken müssten vielmehr „schnellstmöglich im Zusammenspiel staatlicher und privater Akteure geschlossen und der Öffentlichkeit bekannt gemacht werden“, sagte Grünen-Fraktionsvize von Notz.



Die Grünen wollen überdies IT-Sicherheitsfirmen an den Pranger stellen, die mit autoritären Staaten zusammenarbeiten. „Eine Verbesserung bestehender Kontrollregime muss sowohl auf bundes-, europa- als auch internationaler Ebene angestrebt werden“, heißt es in dem Antrag. „In diesem Kontext ist die Prüfung der Einführung schwarzer Listen mit Unternehmen, die nachweislich gegen bestehende Kontrollregime verstoßen haben, zu überprüfen.“

Behörden in Deutschland sollen nach Ansicht der Grünen auf Kooperationen mit „fragwürdigen“ IT-Sicherheits-Firmen verzichten: „Solange staatliche Stellen nicht selbst in der Lage sind, entsprechende Programme zu programmieren und deren Verfassungskonformität einwandfrei und überprüfbar sicherzustellen, ist auf eine Zusammenarbeit mit Firmen, von denen bekannt ist, dass sie mit Sicherheitslücken handeln und ihre Produkte auch an autoritäre und totalitäre Staaten veräußern auch im Sinne der globalen IT-Sicherheit zu verzichten.“