Ein neues Gesetz zur Cybersicherheit soll BKA und Bundespolizei offensive Befugnisse geben. Kritiker warnen vor staatlicher Netzlenkung nach autoritärem Vorbild.
Die Zeiten, in denen sich deutsche Sicherheitsbehörden im digitalen Raum weitgehend auf die Beobachtung und anschließende Strafverfolgung beschränkten, sind vorbei. Das Bundeskabinett hat am Mittwoch das lang diskutierte Gesetz zur Stärkung der Cybersicherheit auf den Weg gebracht. Damit reagiert die Bundesregierung auf eine Bedrohungslage, die sich seit Jahren verschärft. Wie massiv die wirtschaftlichen Dimensionen inzwischen sind, untermauern Zahlen des Digitalverbands Bitkom, der den jährlichen Schaden durch Cyberangriffe für die deutsche Wirtschaft zuletzt auf 202 Milliarden Euro beziffert. Angesichts hochprofessioneller Attacken staatlicher und nichtstaatlicher Akteure sowie wachsender hybrider Bedrohungen könnte das Gesetzesvorhaben eine Zäsur in der deutschen Sicherheitsarchitektur markieren.
Grundsätzlich stößt der Vorstoß, die Cybersicherheit für Wirtschaft, Verwaltung und Gesellschaft mit mehr Nachdruck anzugehen, in Branchenkreisen auf Zustimmung. Der Entwurf enthält dafür eine Reihe von Instrumenten, die auch von der Digitalwirtschaft begrüßt werden. So soll das Bundesamt für Sicherheit in der Informationstechnik (BSI) durch den Ausbau seiner Mobilen Incident Response Teams (MIRT) die Möglichkeit erhalten, bereits bei konkreten Verdachtsfällen frühzeitig vor Ort zu unterstützen.
Ferner würde das Vorhaben eine klare Grundlage für DNS-Blocklisten schaffen. Das gäbe Unternehmen Rechtssicherheit, wenn sie auf freiwilliger Basis gegen identifizierte Angreiferstrukturen vorgehen wollen. Auch der geplante, dreistellige Stellenzuwachs beim BSI, der Bundespolizei und dem Bundeskriminalamt (BKA) gilt als notwendiger Schritt, um langjährige Personalengpässe in der staatlichen Cyberabwehr zu beheben.
An entscheidenden Stellen schießt der Entwurf nach Ansicht von Kritikern jedoch weit über das Ziel hinaus. Im Zentrum der Kritik stehen die erweiterten Anordnungs- und Eingriffsbefugnisse, die faktisch sogenannte Hackbacks legalisieren. BKA und Bundespolizei sollen Angriffe künftig nicht mehr nur dokumentieren, sondern proaktiv im Ausland unterbinden dürfen. In der Praxis würde das bedeuten, dass Ermittler Datenverkehr blockieren, Systeme stilllegen und im Extremfall Daten auf fremden Servern löschen oder verändern dürften. Und das auch per Eilkompetenz bis zu drei Tage vor einer nachträglichen richterlichen Genehmigung.
Die Wirtschaft warnt hierbei vor unkalkulierbaren Risiken: Da sich Cyberangriffe technisch extrem schwer zweifelsfrei zuordnen lassen und Angreifer gezielt falsche Spuren legen, drohen bei solchen digitalen Gegenschlägen unbeteiligte Dritte getroffen zu werden. Statt mehr Schutz zu bieten, könnten Hackbacks die globale Sicherheit im Internet somit insgesamt schwächen. Der Branchenverband eco befürchtet gar einen Paradigmenwechsel weg von der Resilienz hin zu einer staatlichen Netzsteuerung durch Instrumente wie Datenumleitungen auf polizeiliche Server (Sinkholes). Mechanismen zur Inhalts- und Verkehrs-Lenkung, die auch die Bundesregierung bisher primär bei autoritären Staaten wie Russland oder der Türkei kritisiert habe, drohten so in Deutschland normalisiert zu werden.
Ein weiterer wunder Punkt des Gesetzes betrifft die geplante breite Pflicht für Telekommunikationsanbieter und IT-Unternehmen, sicherheitsrelevante technische Informationen an das BSI weiterzugeben. Bei Verweigerung stehen Bußgelder von bis zu 20 Millionen Euro im Raum. Der Bitkom malt eindringlich die Folgen dieses Eingriffs an die Wand: Diese Daten würden von privaten Cybersicherheitsunternehmen unter erheblichem finanziellem und personellem Aufwand erhoben und flössen bereits jetzt in die Abwehrstrukturen ein. Eine erzwungene Datenweitergabe an den Staat könnte dazu führen, dass Unternehmen weniger in diese Fähigkeiten investierten, was den gesamten deutschen Cybersicherheitsmarkt nachhaltig schwächen würde. Ferner erzeugten solche staatlichen Eingriffsbefugnisse erfahrungsgemäß einen immensen bürokratischen Aufwand, ohne im Ernstfall die flexibelste Antwort zu liefern.
Aus Sicht der Digital- und Internetwirtschaft lässt sich echte Cybersicherheit nicht durch Systemmanipulation und Netzeingriffe erzwingen, sondern vor allem durch Prävention, robuste Abwehrstrukturen und eine enge, kooperative Zusammenarbeit entlang der digitalen Lieferkette. Bewährte Formate wie koordinierte Schwachstellenmeldungen und der strukturierte, freiwillige Austausch von Bedrohungsinformationen zwischen Wirtschaft und Behörden seien deutlich schneller an neue, KI-gestützte Angriffsszenarien anpassbar als starre gesetzliche Vorgaben.
Im anstehenden parlamentarischen Verfahren fordern die Verbände daher umfangreiche Nachbesserungen: Weitreichende staatliche Eingriffe müssten auf klar umrissene Ausnahmesituationen begrenzt und so ausgestaltet werden, dass sie technisch sicher, verhältnismäßig und in der Praxis überhaupt fehlerfrei umsetzbar sind.
Stefan Krempl
Keine Kommentare:
Kommentar veröffentlichen