Regierungskoalition will BSI neu aufstellen

0
1720
Im neuen Koalitionsvertrag findet sich eine halbe Seite zur IT-Sicherheit. Reichlich wenig, wenngleich die wichtigen Themen wie Open Source, Neuausrichtung des BSI und sichere Kommunikation angesprochen werden. Aber reicht das? (Foto: BS/Sozavisimos, pixabay.com)

Im Koalitionsvertrag der Ampelparteien wollen die Koalitionäre vor allem auf Open Source und Digitale Souveränität setzen. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) soll unabhängiger aufgestellt werden, das Mittel der aktiven Cyber-Abwehr – Hackback genannt – wird weiter abgelehnt. Reicht das, um den Gefahren aus dem Netz in dieser Legislaturperiode zu begegnen?

In einem sind sich Netz- und Digitalexpert(inn)en beim Thema IT-Sicherheit schon seit einigen Jahren einig: Das Thema muss zur Chefsache gemacht werden. Beim Blick auf das Koalitionspapier, welches im November veröffentlicht wurde, drängt sich die Frage auf, inwiefern die SPD, die Grünen und die FDP diesem Leitspruch auch folgen werden. Insgesamt 177 Seiten umfasst das Papier der Ampelparteien, die IT-Sicherheit nimmt – zusammen mit dem Thema “Digitale Bürgerrechte” – dabei knapp eine halbe Seite ein. Zwar taucht das Schlagwort “IT-Sicherheit” im Dokument noch an der einen oder anderen Stelle auf, dennoch kann die Frage gestellt werden, ob das einer modernen, digital-affinen Welt noch gerecht wird.

In die richtige Richtung

Im Grundsatz werden die richtigen Themen angesprochen. Die Parteien versprechen ein Recht auf Verschlüsselung und ein effektives Schwachstellenmanagement. Hiermit ist vor allem die rechtzeitige Schließung von Sicherheitslücken gemeint. Hier zeichnet sich eine Trendwende ab: White-Hat-Hacking soll legal werden: “Das Identifizieren, Melden und Schließen von Sicherheitslücken in einem verantwortlichen Verfahren, z. B. in der IT-Sicherheitsforschung, soll legal durchführbar sein”, heißt es im Papier. Dies würde bedeuten, dass “ethische Hacker/-innen” zukünftig nicht mehr strafrechtlich belangt werden dürften. Ethische Hacker/-innen sind Personen, welche IT-Sicherheitsmängel in IT-Infrastrukturen an die entsprechenden Stellen melden und nicht zu ihrem eigenen Vorteil nutzen. Das prominenteste Beispiel aus der jüngsten Zeit ist die IT-Forscherin Lilith Wittmann, welche eine Sicherheitslücke in der CDU-Connect-App entdeckt hatte und daraufhin von den Christdemokraten angezeigt wurde. Es kann damit gerechnet werden, dass der sogenannte “Hackerparagraf” 202c – welcher die Anzeige erst möglich gemacht hat – im Strafgesetzbuch modifiziert werden wird. Weiterhin lobenswert sind die geforderten Vorgaben von Security-by-Design/Default und die Haftung von Herstellern, die fahrlässig IT-Sicherheitslücken in ihren Produkten verursachen.

Des Weiteren möchten die Ampelparteien auch den Weg der digitalen Souveränität weiter beschreiten. Das gilt auch für den Fokus auf offene Standards, die Schaffung europäischer Ökosysteme beim Thema 5G oder Künstliche Intelligenz und die Verpflichtung einer durchgängigen Ende-zu-Ende-Verschlüsselung auf allen Kommunikationskanälen. Auch das Dauerdiskussionsthema zur Nutzung von Open Source ist im Papier präsent: Mehr Nutzung von Open-Source-Software, weniger Fokus auf proprietäre Software, heißt es im Koalitionsvertrag. Fördermöglichkeiten sollen vor allem für DSGVO-konforme Datenverarbeitung und den Einsatz digitaler Technologien für kleine und mittlere Unternehmen möglich gemacht werden.

Mehr Unabhängigkeit für das BSI

Interessant ist die zukünftige Rolle des BSI. So soll das Bundesamt zukünftig “unabhängiger aufgestellt und als zentrale Stelle im Bereich IT-Sicherheit ausgebaut werden.” In welcher Form diese Unabhängigkeit hergestellt werden soll, erwähnt das Papier nicht. Des Weiteren stellen die drei Parteien klar, dass das Offenhalten von Sicherheitslücken weiterhin abgelehnt wird und verpflichten die Cyber-Sicherheitsbehörde des Bundes dazu, die Schließung von Sicherheitslücken schnellstmöglich durchzuführen. Auch der Passus, dass “nicht vertrauenswürdige Unternehmen” nicht am Ausbau von Kritischen Infrastruktur (KRITIS) beteiligt werden sollen, ist vage formuliert. Gut möglich, dass damit die Vergabe des 5G-Ausbaus des chinesische Unternehmen Huawei weiter ausgeschlossen werden wird. Nicht überraschend ist die Ablehnung von aktiver Cyber-Abwehr. Bis auf die Christdemokraten lehnen dieses Verfahren alle demokratischen Parteien im Bundestag seit einiger Zeit ab. Ähnliches soll für die Uploadfilter gelten. Hier sehen die Koalitionspartner die Informations- und Meinungsfreiheit gefährdet und lehnen eine verpflichtende gesetzliche Grundlage für diese Art von Software ab.

Auch die Zentrale Stelle für Informationstechnik im Sicherheitsbereich (ZiTis) wird im Koalitionspapier scharf in den Blick genommen. Allerdings verweisen die Koalitionäre hier vor allem auf gesetzliche Grundlagen mit klaren Zuständigkeiten und “garantieren die lückenlose Kontrolle durch Parlamente und Datenschutzaufsichtsbehörden”. Eine ähnliche Wahrung der Grundrechte soll durch die strenge Kontrolle von Online-Durchsuchungen ermöglicht werden: “Solange der Schutz des Kernbereichs privater Lebensgestaltung nicht sichergestellt ist, muss ihr Einsatz unterbleiben”, heißt es im Koalitionsvertrag.

Schlussendlich spricht das Papier viele wichtige Punkte im Bereich der IT-Sicherheit an, bleibt bei den genauen Umsetzungsmöglichkeiten aber vage. Aber für die Präzisierung haben die neu gewählten Volksvertreter /-innen nun genug Zeit.

Kommentieren Sie den Artikel

Please enter your comment!
Please enter your name here