Faesers Pläne bringen das digitale Deutschland nicht voran. Die Politik hat die Digitalisierung nicht verstanden. Der Leitartikel.
Berlin - Im Bundesinnenministerium ist man aufgewacht. Besser spät als nie widmet sich Nancy Faeser ( SPD) mit ihrer Cybersicherheitsagenda einem Thema, das in der deutschen Innenpolitik viel zu lange stiefmütterlich behandelt wurde.
Angesichts der stellenweise desolaten Lage der IT-Sicherheit in Wirtschaft und Verwaltung waren die Erwartungen an das Papier zu Recht hoch. Expert:innen rechnen im Zuge der Eskalation der Beziehungen zwischen Russland und den Nato-Staaten mit Angriffen auf die digitale Infrastruktur - auch hierzulande. Dagegen gilt es sich zu schützen.
Agenda von Nancy Faser für Cybersicherheit setzt ungenügende ZieleLeider rauscht Faesers Papier in großen Teilen an diesem Ziel vorbei. Entgegen einem zentralen Versprechen des Koalitionsvertrages will die Innenministerin nun das Grundgesetz ändern, um Sicherheitsbehörden das Eindringen in fremde Computersysteme zu ermöglichen. Sie nennt das nur nicht mehr Hackback, sondern „aktive Cyberabwehr".
Ziel soll es sein, im Falle eines Angriffs auf digitale Infrastrukturen den Server der Angreifenden abschalten zu können. IT-Sicherheitsexpert:innen warnen aber seit vielen Jahren, dass es mitnichten immer eindeutig ist, von welchem Computer ein Angriff ausgeht. Wer sich auskennt, nutzt für einen Angriff nicht einfach sein eigenes System, sondern verschleiert sein Handeln, indem zunächst unbeteiligte Server gekapert werden, die den Angriff dann ferngesteuert ausführen.
Cybersicherheit: Kritische Infrastruktur besser schützenWas die deutschen Sicherheitsbehörden im fremden Land ausschalten, könnte also die digitale Infrastruktur eines Krankenhauses, eines Stromversorgers oder einer Universität sein. Von den Schäden für die Zivilbevölkerung des fremden Landes mal ganz abgesehen: Cyberangriffe gehen nicht nur von staatlichen Akteuren aus.
Reagiert Deutschland auf den Angriff einer Gruppe von Kriminellen mit lediglich finanziellen Absichten und schaltet bei der Abwehr aus Versehen Teile der russischen Stromversorgung ab, deren Infrastruktur für den Angriff missbraucht wurde, dürfte das nicht gerade zur Entspannung der weltpolitischen Lage beitragen.
Vorstoß zu mehr Cybersicherheit lässt Hintertüren offenNoch viel gravierender ist, dass für derartige Manöver Sicherheitslücken in Software offen gelassen werden müssen. Wer an fremde Server herankommen will, muss eine Hintertür kennen. Polizei und Geheimdienste durchsuchen aktiv Betriebssysteme und andere Software nach Sicherheitslücken, um sie für die eigene Arbeit ausnutzen zu können, anstatt sie zu schließen. Auch für die sogenannten Staatstrojaner, Spionagesoftware, die es Polizei und Geheimdiensten ermöglicht, E-Mails und Chatnachrichten von Verdächtigen mitzulesen, braucht es diese Sicherheitslücken.
Dass Nancy Faeser diese Praxis nicht aufgeben will, zeigt, wie wenig man im Bundesinnenministerium verstanden hat, worauf es bei der IT-Sicherheit wirklich ankommt. Denn eine solche Hintertür steht allen offen, staatlichen Akteuren wie Kriminellen. Den Weg, mit dem der deutsche Staat in fremde Systeme eindringt, können auch die Akteure nehmen, vor denen man sich eigentlich schützen will. Die Folge wird weniger, nicht mehr Sicherheit sein.
Cybersicherheit der Bevölkerung braucht BildungsinitiativenGleichzeitig fehlen in Faesers Agenda Zusagen für Bildungsinitiativen für Wirtschaft, öffentlichen Dienst und die breite Bevölkerung. Noch zu oft ist das Einfallstor für Cyberkriminelle ein zu unsicheres Passwort, der Klick auf den Anhang einer unseriösen Mail oder das verschlafene Sicherheitsupdate fürs Betriebssystem.
Es fehlt eine Strategie, wie in der öffentlichen Verwaltung auf Software mit offenem Quellcode umgestellt werden soll, um sich nicht von den Programmen US-amerikanischer Tech-Konzerne abhängig zu machen und um Sicherheitslücken schneller zu finden.
Updatepflicht für Software - Ein Muss für CybersicherheitExpert:innen kämpfen seit langer Zeit für eine Updatepflicht für ältere Software, damit ein Smartphone oder Computer nicht nach fünf Jahren zum Sicherheitsrisiko wird, wenn die alte Software nicht mehr aktualisiert wird und die neue Version auf dem Gerät nicht läuft.
Sie kämpfen für ein Cyberhilfswerk, das in digitalen Katastrophenfällen sofort unterstützen und die Folgen des Angriffs abmildern könnte. Sie kämpfen für bessere Arbeitsbedingungen für IT-Fachkräfte im öffentlichen Dienst, so dass nicht weiterhin in manchen Bundesministerien über achtzig Prozent der Stellen für IT-Sicherheit unbesetzt bleiben.
Cybersicherheit: Ansätze gibt es, verfolgt werden sie nichtAn all diesen Stellen gäbe es unzählige Ansatzpunkte, um die IT-Sicherheit in Deutschland politisch voranzubringen. Dass diese Felder in der Cybersicherheitsagenda nur unzureichend adressiert werden, zeigt, wie desolat es um die politische Kompetenz in Sachen Digitalisierung bestellt ist.
Wie so häufig werden Vorhaben in diesem Bereich genutzt, um die Befugnisse von Polizei und Geheimdiensten auf Kosten von Sicherheit und Privatsphäre auszuweiten. Warnungen aus Wissenschaft und Zivilgesellschaft bleiben auf der Strecke - und damit auch die Cybersicherheit in Deutschland. (Jana Ballweber)
Zum Original