Positionen-Magazin
Kolumne von Sabine Leutheus­ser-Schnar­ren­ber­ger

Von Abwehr auf Angriff

Cyberverbrecher mit ihren eigenen Waffen zu schlagen: Das ist die Idee hinter der neuen IT-Sicherheitsstrategie der Bundesregierung. Doch so wird der Staat selbst zum Spion – und gefährdet die Freiheitsrechte seiner Bürger.

Die Sicherheit der IT stellt ein immer größeres Problem dar. Cyberangriffe bedrohen die Wirtschaft, die öffentliche Verwaltung und kritische Infrastrukturen. Auch private Daten sind durch Phänomene wie Computerbetrug oder Doxing bedroht. Täglich entstehen rund 390.000 neue Schadprogramme.

Das Bundesverfassungsgericht hat bereits 2008 die Vertraulichkeit der Kommunikation durch den Schutz informationstechnischer Systeme als Grundrecht entwickelt und damit die Verpflichtung des Staates formuliert, diese vom Nutzer selbst weitestgehend nicht zu gestaltende Infrastruktur besser zu schützen.

Der zuständige Bundesinnenminister legte im März einen ersten Referentenentwurf für ein neues IT-Sicherheitsgesetz (IT-SiG 2.0) vor. Herzstück ist ein ambitionierter Um- und Ausbau des Bundesamts für die Sicherheit in der Informationstechnik (BSI). Dieses soll zukünftig als zentrale „Hackerbehörde“ offensiv gegen Botnetze, Risiken im Internet der Dinge und die Verbreitung von Schadsoftware kämpfen und gleichzeitig für den Verbraucherschutz zuständig sein. Auch sind weitgehende Reformen diverser Gesetze geplant, vor allem des Strafgesetzbuchs und der Strafprozessordnung.


Zwar nimmt der Gesetzesentwurf viele der wichtigsten Herausforderungen in Angriff. Bei der Auswahl der Mittel fehlen jedoch oft das richtige Augenmaß und die Verhältnismäßigkeit. So stellt sich die Frage, ob der vorgeschlagene neue Straftatbestand gegen Handelsplätze des Darknets überhaupt erforderlich ist. Die Beihilfe zu Straftaten in diesem Bereich ist bereits strafbar, und schon heute werden Fahndungserfolge gefeiert. Auch die geplante Einführung des „digitalen Hausfriedensbruchs“, also die unbefugte Nutzung informationstechnischer Systeme, ist überflüssig und wurde 2016 von der Bundesregierung selbst abgelehnt. Die vorgesehene Aufwertung von Computerstraftaten zu schweren Straftaten im Sinne der Strafprozessordnung erscheint zudem unverhältnismäßig. Denn hierdurch können künftig auch in diesem Bereich Überwachungsmittel wie Onlinedurchsuchung oder Staatstrojaner eingesetzt werden, obgleich es nicht um die Abwehr besonderer Bedrohungen wie etwa terroristischer Anschläge geht.

Insgesamt zeigt der Entwurf des IT-SiG 2.0, dass die Bundesregierung zunehmend auf eine offensive IT-Sicherheitsstrategie setzt. Das bedeutet vor allem, IT-Sicherheitslücken aktiv auszunutzen – durch Onlinedurchsuchungen, Staatstrojaner oder sogar „Hack Backs“, die Daten auf fremden Servern löschen oder Hardware zerstören. Damit gerät der Staat aber in einen Zielkonflikt, da er diese Sicherheitslücken ja gerade schließen soll.

Eine nachhaltige IT-Sicherheitsstrategie muss daher stets defensiv sein. Im Mittelpunkt stehen der effektive Schutz der Netze und Daten sowie das Schließen von Sicherheitslücken. Um das Recht auf Verschlüsselung mit Leben zu füllen, sollten Telekommunikations- und Telemedienanbieter verpflichtet werden, ihre Dienste künftig immer abhörsicher und Ende-zu-Ende verschlüsselt anzubieten. Hersteller müssen die IT-Sicherheit von Hardund Software gerade bei Verbraucherprodukten bereits bei der Konstruktion berücksichtigen und angemessen lange Sicherheitsupdates zur Verfügung stellen. Bei fahrlässigen Schäden durch IT-Sicherheitslücken sollten sie auch haften. Nur so lässt sich mehr IT-Sicherheit erreichen, ohne Freiheits- und Grundrechte aufs Spiel zu setzen. 


Auch inter­essant