Der jüngste Angriff auf Betriebssysteme mit dem Erpressungs-Verschlüsselungsprogramm „WannaCry“ zeigt: Das Thema Cybersicherheit ist von allergrößter Bedeutung. Und zwar für alle in unserer durchdigitalisierten Gesellschaft. Wenn durch einzelne kriminelle Strafhandlungen die IT-Systeme ganzer Krankenhäuser oder der Deutschen Bahn weltweit lahmgelegt werden können, ist eine völlig neue Dimension erreicht.
Cybersicherheit muss deshalb endlich auch politisch genügend Aufmerksamkeit erfahren. Ausreden gibt es jedenfalls nicht mehr. Einerseits stellt die Digitalisierung eine praktisch unumgängliche Modernisierung der Wirtschaft unserer Gesellschaften dar. Andererseits hat diese Digitalisierung, zu der auch die Vernetzung nahezu aller Lebensbereiche und Gerätschaften gehört, derzeit schwer kalkulierbare Risiken geschaffen.
Digitale Verletzlichkeit
Zu lange hat man die im Mittelpunkt stehenden Fragen der IT-Sicherheit der Selbstregulierung der betroffenen Wirtschaftskreise überlassen. Diese falsch verstandene Wirtschaftsfreundlichkeit kommt nun gerade kleinere Unternehmen teuer zu stehen. Denn die systemischen Risiken großer IT-Angriffe wie bei „WannaCry“ sind durch einzelne Unternehmen allein überhaupt nicht mehr lösbar. Hier braucht es klare Regeln: Angefangen von Sicherheitsstandards über Haftungsfragen bis hin zu stärkeren Update-Pflichten und einem besseren Sicherheits-Support. Statistiken zeigen zudem: Nicht nur Privatverbraucher, sondern selbst Sicherheitsexperten in kritischen Sektoren unterschätzen die eigene Verletzlichkeit im Digitalen, auch weil es immer noch an guten Beratungs- und Unterstützungsangeboten fehlt.
Die Merkel-Regierungen der letzten zehn Jahre haben diese zentrale Sicherheitsfrage schlichtweg verschlafen. Jahrelang hat man die Öffentlichkeit mit symbolischen „Cyberstrategien“ hingehalten. Auch die Gründung eines Cyberabwehrzentrums oder mehr Aufsichtspersonal verpuffte wirkungslos. Denn weder national noch europäisch hat sich die Bundesregierung entschieden für höhere Anforderungen bei der IT-Sicherheit eingesetzt. Und das sogenannte IT-Sicherheitsgesetz ist bis heute aufgrund mangelhafter Umsetzung ohne spürbare Wirkung geblieben.
Stattdessen setzt man allein auf aktionistische Forderungen wie zweifelhafte Strafverschärfungen für IT-Angriffe, die Sicherheit lediglich vortäuschen und scheut weiterhin wirksame Maßnahmen wie Datenschutz, Verschlüsselung und regulative Vorgaben.
Geheimdienste setzen auf Angriff statt Abwehr – zulasten von uns allen
Das zuständige Bundesinnenministerium spielt hier zwischen eigenen Überwachungsinteressen und der eigentlichen Schutzverantwortung für die gesamte Bevölkerung eine ambivalente Rolle. Umso problematischer ist vor diesem Hintergrund, dass Inlands- und Auslandsgeheimdienste sowie die Bundeswehr um Befugnisse zur Cyberabwehr konkurrieren. Damit macht man allerdings die Böcke zum Gärtner. Denn das operative Interesse der Geheimdienste liegt keinesfalls im Bereich der Abwehr von IT-Angriffen. Stattdessen verstehen Geheimdienste unter Cyberabwehr den Ausbau ihrer im Geheimen entwickelten digitalen Angriffskapazitäten auf die von ihnen verfolgten Ziele – die allgemeine Sicherheit einfacher Endnutzer zählt da wenig.
Cybercrime muss konsequent verfolgt und Betroffene sind so früh wie möglich zu warnen und zu unterstützen. Wir brauchen mehr Erfolge bei Strafverfahren, um die Rechtsdurchsetzung zu stärken. Doch handelt es sich dabei nur um ein letztes Element in einem sinnvollen Maßnamenpaket – der wirksamste Schutz im Digitalen beginnt viel früher.
Markige Forderungen der Sicherheitsbehörden schützen hingegen weder die Wirtschaft noch den einfachen Endnutzer. Im Gegenteil. WannaCry liefert den offenkundigen Beleg, dass am Ende völlig unbeteiligte Zivilstrukturen und Verbraucher Leidtragende dieser kontraproduktiven Aufrüstungsspirale im Digitalen sind. Denn durch das heimliche Anhäufen und Nutzen von Informationen über Schwachstellen (sogenannte Zero Days), aber auch durch den Einsatz von Staatstrojanern, können wiederum riesige Schutzlücken entstehen. Die geheim gehaltenen Informationen über Schutzlücken verhindern rechtzeitige Schutzvorkehrungen und die Abwehr gravierender Risiken für die Allgemeinheit.
Grünes Papier zur Sicherheit im Digitalen: Freiheit erhalten, Frieden sichern, Schutz wirksam stärken
Eine verantwortungsvolle, weil umsichtige wie entschlossene IT-Sicherheitspolitik sieht völlig anders aus. Wir Grüne im Bundestag skizzieren in einem Positionspapier unter Zusammenschau innen- und außenpolitischer Perspektiven umfassende Lösungsansätze:
- Die Verantwortung für Cybersicherheit muss aus dem Bundesinnenministerium herausgelöst werden. Auch das Bundesverteidigungsministerium ist ungeeignet, eine zivilgesellschaftliche Kommunikationsinfrastruktur zu überwachen und zu beschützen.
- Das mit zuständige Bundesamt für Sicherheit muss in wesentlichen Aufgabenfeldern unabhängig gestellt und damit zu einer vertrauenswürdigen und gut ausgestatteten Aufsichts- und Beratungsstelle werden.
- Grundlegende Strukturfragen der IT-Sicherheit müssen klarer geregelt, sanktioniert aber auch mit Anreizsystemen für bessere Sicherheitslösungen beantwortet werden – von Transparenz und Zertifizierung der IT-Software, über Haftungsregeln bis hin zu stärkeren Update- und Supportpflichten.
- Europa muss als entscheidende Regelungsebene in Fragen der IT-Sicherheit von Deutschland aktiv angesprochen und unterstützt werden. Europa wird hier weltweit, wie beim Datenschutz, vorangehen müssen.
- Die hochkomplexen Fragen der Täterschaft (Attribution) bei gravierenden IT-Angriffen müssen unabhängig festgestellt werden. Sie drohen sonst zu völlig unberechenbaren Spielen politischer Schuldzuweisung zu werden. Das hat etwa der Streit um das Hacking von E-Mailkonten im Rahmen der US-Wahl gezeigt. Wir regen deshalb den Aufbau eines unabhängigen und international anerkannten Teams von Sachverständigen für diese Fragen an.
- In Fragen von staatlichem Hacking (Cyberwar) zwischen Staaten verlangen wir den vollen Respekt völkerrechtlicher Bindungen und insbesondere die Wahrung der Rechte des Deutschen Bundestages, über alle operativen Vorgänge nicht nur voll informiert zu werden, sondern auch zu entscheiden. Angesichts der erhebliche Eskalationsgefahren und Risiken von Kollateralschäden lehnen wir offensive Aktionen im Digitalen ab.