Die „Cybersicherheitsstrategie“ der Bundesregierung ist gefährlich und naiv
Die Bundesregierung hat ein Strategiedokument zur Cybersicherheit veröffentlicht. Damit möchte man die Sicherheit von Bürgern und Unternehmen erhöhen und die digitale Strafverfolgung an die Anforderungen des 21. Jahrhunderts anpassen. Experten dagegen kritisieren das Vorhaben als gefährlich, bestenfalls naiv. Bis Mittwoch, 16. Juni, nimmt das Innenministerium Korrekturvorschläge und Kommentare an, mit deren Hilfe sich vielleicht das Schlimmste noch verhindern ließe.
Regierung scheitert erneut beim Thema Cybersicherheit
Das derzeit 128 Seiten umfassende Dokument „Cybersicherheitsstrategie für Deutschland 2021“ findet sich hier als PDF, fürs Feedback hat die Bundesregierung ebenfalls ein PDF bereitgestellt, das auf fünf Seiten die Möglichkeit der Bewertung und Kommentierung eines jeden Kapitels bietet. Das Ziel des Innenministers ist klar: effizientere Strafverfolgung auch im Internet. Das Bundesinnenministerium hält es für nötig, dazu auch sichere Verschlüsselungstechnologien „knacken“ zu können, um Straftäter zu überwachen. Außerdem werde man neue Konzepte entwickeln und Behörden einrichten, die beispielsweise das Wissen über Softwarefehler, Sicherheitslücken und potentielle Hintertüren gezielt zurückhalten, damit die Entwickler diese Löcher nicht stopfen und Behörden sie für ihre Zwecke nutzen können. Die Lücken zu reparieren würde zwar die Sicherheit der Software verbessern, ist aber aus Sicht des Gesetzgebers nicht gewünscht, weil sie neben Kriminellen eben auch die Ermittler aussperrt.
Dieses „verantwortungsvolles Schwachstellenmanagement“ getaufte Vorgehen aus Abschnitt 8.3.8 der Cybersicherheitsstrategie bedeutet nichts anderes, als das der Staat seine Bürger im Unklaren über Sicherheitslücken lassen will, um sie besser unbegrenzt ausspionieren zu können. Selbst, wenn es den Behörden um gerechtfertigte Zugriffe z.B. bei Ermittlungen zu schweren Straftaten geht, heiligt der Zweck nicht die Mittel. Kritiker sagen klar, es sei überaus naiv, anzunehmen, dass Kriminelle diese Hintertüren nicht auch finden und benutzen würden. So ein Vorhaben öffne Tür und Tor für Angreifer, mache Kriminellen das Leben leichter und verschärfe die gesellschaftliche Bedrohung durch Cyberkriminelle. Der Staat vernachlässige hier eine seiner wichtigsten Aufgaben: seine Bürger, Behörden und Unternehmen vor Kriminellen zu schützen.
Verschlüsselung soll umgangen werden
Ebenso umstritten ist das bereits früher diskutierte Konzept „Sicherheit durch Verschlüsselung und Sicherheit trotz Verschlüsselung gewährleisten“ (Abschnitt 8.3.9). Die Vorwürfe der Kritiker reichen zu Recht von mangelnder technischer Expertise bis zum fehlendem Willen, die von der Verfassung garantierten Grundrechte der Bürger zu respektieren. Und die Ankündigung, die vielfach kritisierten IT-Gesetze des Jahres 2021 „an den technischen Fortschritt anzupassen“ (Abschnitt 8.3.14), bedeute nichts weniger als die nach Ansicht von mailbox.org ohnehin verfassungswidrigen Gesetze (Beispiel TKG-Novelle, Artikel-10-Gesetz) noch weiter zu verschärfen.
Formuliertes Ziel der Cybersicherheitsstrategie ist es „technische und operative Lösungen für den rechtmäßigen Zugang zu Inhalten aus verschlüsselter Kommunikation“ zu entwickeln. Das verstehen wir als direkten Angriff nicht nur auf die E-Mail-Verschlüsselung und sondern auch auf die Privatsphäre all unserer Kunden. Ohne Not riskiert die Regierung so Integrität und Vertraulichkeit unserer Daten, und auch das Vertrauen in Rechtsstaat, Ermittler, Geheimdienste und die Demokratie im Allgemeinen.
Sicherheit für Bürger oder Geheimdienste?
Selbst IT-Experten finden kaum Gutes in dem Papier: Manuel Atug, Sprecher der unabhängigen Arbeitsgruppe zur Verbesserung der IT-Sicherheit und Resilienz unserer kritischen Infrastrukturen (AG KRITIS), bezeichnen es auf Twitter als „völlig defekt“ und „ein trauriges Bild für Deutschland“. Die grundlegende Schilderung der „Cyberbedrohungslage“ fehle in dem Entwurf noch komplett – obwohl sie doch als Grundvoraussetzung in der Argumentation für eine Verschärfung der Methoden dient.
„Wer Staatstrojaner und den Hackback [das „Hacken“ der Angreifer, also den aktiven Gegenangriff mit den gleichen Mitteln (mailbox.org)] zur Gefahrenabwehr fordert, wer glaubt, digitale Souveränität mit einer geheimdienstnahen Hackerbehörde („ZITiS“) zu erreichen, die auch noch als privatwirtschaftliche GmbH für Entwicklung und Kauf von Sicherheitslücken zuständig wird, der, hat ein grundlegend falsches Verständnis von Sicherheit im Cyberraum. “ erklärt Atug. „Es gibt nur ‚Sicherheit durch Verschlüsselung‘ für die Zivilgesellschaft, die Wirtschaft und die kritischen Infrastrukturen. ‚Sicherheit trotz Verschlüsselung‘ gilt nur für Sicherheitsbehörden und Nachrichtendienste.“
Es bleibt zu hoffen, dass sich möglichst viele Bürger an der Möglichkeit beteiligen, Kommentare (und Noten) einzubringen.
Autor: Markus Feilner