Cybersicherheitsstrategie - Horst Seehofer regelt seinen Nachlass

mailbox.org-CEO Peer Heinlein über die umtriebigen IT-Gesetzesinitiativen
unseres Bundesinnenministers

Die Legislaturperiode der jetzigen Bundesregierung neigt sich dem Ende zu – und insbesondere Horst Seehofers Innen- und Heimatministerium läuft seit Wochen auf Hochtouren und peitscht gleich ein ganzes Sammelsurium fragwürdiger Änderungen durch den Bundestag: Ein neues Telekommunikationsgesetz, ein neues IT-Sicherheitsgesetz, ein neues Bundespolizeirecht, ein neues Verfassungsschutzrecht und – als Sahnehaube – auch noch eine neue „Cybersicherheitsstrategie“. Was halt im Schlussverkauf noch raus muss.

Externe Sachverständige, Branchenverbände und Unternehmen wissen gar nicht, zu welchem Gesetzesverfahren sie zuerst hektisch Stellung nehmen sollen, so schnell kommen sie angeflogen. Unmöglich, sich um alles gleichzeitig zu kümmern, auch wenn ein jedes scharfen Protest und kritische Auseinandersetzung bedarf: Aushöhlung der Grundrechte, Verfassungswidrigkeit, Schäden für den Wirtschaftsstandort Deutschland, kontraproduktive Effekte, unklare Rechtslage – so lässt sich der allgemeine Tenor der Stellungnahmen wohl zusammenfassen

Zeit für Einarbeitung? Kaum. Das liegt aber nicht nur an der Vielzahl der verschiedenen, zeitgleich laufenden Vorhaben, sondern auch daran, dass Horst Seehofer auch sonst mächtig Druck macht. Während Seehofers Ministeriale über Jahre am Gesetzesvorhaben tüfteln, mit politischen Verbündeten und Gegnern feilschen und auch denen entscheidende Änderungen erst kurz vor Schluss bekannt geben, räumt das Innenministerium externen Sachverständigen immer wieder nur wenige Stunden Zeit für Stellungnahmen ein. Egal, ob 500 Seiten Änderungen beim Telekommunikationsgesetz (TKG) oder 128 Seiten Cybersicherheitsstrategie: Stellungnahme binnen weniger Tage, danach ist Annahmeschluss. Wie großzügig. Die Kommentierungsfrist betrug beim IT-Sicherheitsgesetz zuletzt keine 24 Stunden.

„Man muß Gesetze kompliziert machen“

Wie man heikle Ideen durch den Bundestag bringt, weiß Horst Seehofer durchaus. „Man muss Gesetze kompliziert machen, dann fällt es nicht so auf“ erzählte er schon im Juni 2019 in einer öffentlichen Rede und wer ihn kennt, weiß, wie er dabei schelmisch gluckst und sich ob seiner Raffinesse freut.

Jeglicher Protest von Sachverständigen und Branchenverbänden wird ausgesessen, das geht vorbei. Aber es zeigt mehr als deutlich: Inhaltliche Auseinandersetzung, fachlich fundierte Statements, die Befragung von Sachverständigen zu den Folgen dessen, was da gerade beschlossen wird, ist nicht erwünscht und soll durch Zeitdruck möglichst im Keim erstickt werden.

Verständlich, wirft man einen Blick auf die strategischen Hintergründe.

Selbst die Sachverständigen der CDU/CSU waren dagegen

Es ist schon besonders bemerkenswert und selten, wenn beispielsweise bei einer Anhörung wie der zum IT-Sicherheitsgesetz selbst die von der CDU/CSU und SPD höchstselbst vorgeschlagenen Sachverständigen bei bestem Bemühen kein gutes Haar am Gesetzesentwurf finden konnten und eindringlich in ganzer Breite scharf kritisierten. So machen Anhörungen von Sachverständigen dem Innenministerium wirklich keinen Spaß mehr, das muss man verstehen.

„Wenn man keine Fürsprecher mit Sachverstand finde, sollte man ein Vorhaben ‚einfach seinlassen’“ resümierte CCC-Sprecher Linus Neumann.

Beschlossen wurde das in der Luft zerrissene IT-Sicherheitsgesetz natürlich trotzdem nahezu unverändert. Die Branche ist entsetzt – den Rest werden die höheren Gerichte regeln und am Ende wird das Bundesverfassungsgericht in Karlsruhe entscheiden. Seriöse Politik, gerade die eines für Recht und Gesetz besonders verantwortlichen Innenministers, sieht anders aus.

Die Legislaturperiode geht zu Ende – Horst Seehofer regelt also seinen Nachlass. Wer unsicher ist, ob er in der nächsten Legislaturperiode noch im Amt ist, sollte seine politischen Schäfchen ins Trockene bringen, solange er noch kann.

Sein politisches Erbe: Mehr Überwachung im Internet

Der Noch-Innenminister verfolgt einen Plan, er will gestalten und als politisches Erbe einen tiefen Fußabdruck hinterlassen, der das Internet noch auf Jahre hinweg prägen soll. Alle in den letzten Monaten beschlossenen Gesetzesnovellen verfolgen die gleichen Muster: Mehr Überwachung der Internet-Nutzer, weniger Kontrolle für die ermittelnden Stellen. Mehr Einschränkungen des grundgesetzlich verankerten Brief-, Post- und Fernmeldegeheimnisses, weniger geschützte, private und verschlüsselte Kommunikation. Immer wieder gab es Vorstöße zu noch mehr Eingriffen und Überwachungsmaßnahmen – gerade auch gegenüber E-Mail-Providern – die dann oftmals erst in letzter Sekunde zurückgezogen wurden.

So auch beim am 10. Juni beschlossenen „G10-Gesetz“ zum Einsatz des sog. Staatstrojaners, das zunächst auch eine Mitwirkungspflicht von Providern vorsah. E-Mail-Anbieter und andere sogenannte „over the top“-Anbieter wurden in letzter Sekunde dann doch wieder ausdrücklich davon ausgenommen.

Das liegt einerseits an der starken Szene der sicheren E-Mail-Anbieter, die hier in Deutschland ganz besonders gut organisiert sind und diese Positionen verteidigen. Das liegt aber auch daran, dass der Rückzug einer Maximalforderung einkalkuliert ist. Ein Scheinangriff, der trotzdem Wirkung zeigt. Denn die Politik der kleinen provozierenden Nadelstiche führt auf Dauer zu einem Gewöhnungs- und Schwächungseffekt. Und so gilt: Was jetzt nicht klappt, klappt vielleicht beim nächsten Mal.

Was geklappt hat: Die Mitwirkungspflicht der Leitungsprovider blieb, die im Zweifel nicht nur Datenverkehr zu Manipulationszwecken umleiten, sondern sogar Zutritt zu ihren Räumen und die Installation von Hacking-Proxys der Sicherheitsbehörden in ihren eigenen Netzen gewährleisten müssen. Vom „passiven Akteur hin zum aktiven Gehilfen der Sicherheitsbehörden und der staatlichen Stellen“ resümiert der Branchenverband Bitkom und beklagt ebenso wie der Branchenverband ECO auch die wirtschaftlichen Auswirkungen des Vertrauensverlustes der Bürger und den dadurch entstehenden Wettbewerbsnachteil deutscher Anbieter im internationalen Feld.

Und auch das eiserne Prinzip, von staatlichen Kontroll- und Überwachungsmaßnahmen ausgenommen zu sein, solange noch gar kein strafrechtliches Verhalten vorliegt, gilt im G10-Gesetz bereits nicht mehr. Die sog. „Quellen-TKÜ“, also das aktive Anzapfen eines Computers eines Internet-Nutzers, ist präventiv schon unterhalb der Schwelle eines konkreten Anfangsverdachts möglich. Hoppla.

Cybersicherheitsstrategie: „Verantwortungsvolles Schwachstellenmanagement“

Und Seehofer denkt langfristig, möglicherweise auch über seine eigene Ministerschaft hinaus. „Cybersicherheitsstrategie“ heißt das zuletzt bekannt gewordene Vorhaben aus seinem Ministerium. Kein Gesetzesentwurf, kein Beschluss, noch keine bindende Realität. Aber ein strategisches Dokument, das als Doktrin die Richtung und Ausgestaltung der zukünftigen Politik noch auf Jahre hinweg in Seehofers Sinne vorgeben soll.

Unverbindlich, gewiss. Aber prägend. Und auch hier gilt: Der Gewöhnungseffekt lässt grüßen. Was lange genug wiederholt und statuiert wird, klingt irgendwann nicht mehr erschreckend, sondern bekannt, verständlich, normal – und aufgrund allgemeiner Bekanntheit irgendwie nach etabliertem Konsens.

Vom „Verantwortungsvollen Umgang mit 0-day-Schwachstellen“ ist unter Abschnitt 8.3.8 auf Seite 88 des Entwurfs die Rede und meint damit, dass der Staat die ihm bekannten IT-Sicherheitsschwachstellen nur noch „grundsätzlich“ melden soll und stattdessen durch ein „verantwortungsvolles Schwachstellenmanagement“ eine „effektive Strafverfolgung mit Hilfe der Nutzung von (0-day-) Schwachstellen erzielt“ werden kann.

Gemeint ist damit nicht weniger als: Der Staat hackt aktiv zurück, will den technisch wie verfassungsrechtlich umstrittenen Staatstrojaner einsetzen. IT-Experten und Bürgerrechter hingegen sind sich einig: Der einzig verantwortungsvolle Umgang mit Sicherheitslücken ist deren sofortige Schließung.

„Sicherheit trotz Verschlüsselung“

Und „Sicherheit durch Verschlüsselung und Sicherheit trotz Verschlüsselung“ (8.3.9, Seite 90ff) meint im Grunde nichts anderes, als dass verschlüsselte sichere Kommunikation seiner Bürger ja nett und erstrebenswert sei – aber nur, solange die zuständigen Behörden „durch Ausgleichsmaßnahmen“ weiterhin nach Belieben mitlesen können. Und so sieht die Cybersicherheitsstrategie „technische und operative Lösungen für den rechtmäßigen Zugang zu Inhalten aus verschlüsselter Kommunikation“ vor. Aber, keine Angst: „Um einem Missbrauch dieser Lösungen sowohl im europäischen als auch im internationalen Bereich vorzubeugen, werden technische, organisatorische und rechtliche Maßnahmen mit vorgesehen.“ Also alles safe.

Niemand will einen rechtsfreien Raum im Internet, niemand will Kriminalität Tür und Tor öffnen und niemand will, dass organisierte Kriminalität im Internet nach Belieben agieren und sich versteckt koordinieren kann.

Totschlag-Argumente statt abgewogener Diskussion

Aber dieses gerne beschriebene Maxium-Szenario ist eine Drohkulisse, die sachliche Abwägung unterbinden soll. Denn hier geht es nicht um die dramatischsten Einzelfälle, sondern um die breite Wirkung gegenüber allen Teilen der Bevölkerung. Eine sehr breite Wirkung – zu breit.

Seehofers Cybersicherheitsstrategie geht zu weit, wenn er durch zweifelhafte Hacking-Maßnahmen, durch Schaffen oder Offenhalten von Sicherheitslücken die Computersysteme und damit auch das Leben seiner Bürger gefährdet (und damit Cyberkriminalität erst recht Tür und Tor öffnet). Wenn durch eine Abschwächung von Verschlüsselung die sichere Kommunikation der Bürger verhindert und auch Oppositionelle, Journalisten und Whistleblower in der ganzen Welt gefährdet werden, statt sie zu schützen.

Das Grundrecht auf digitale Intimsphäre wird ausgehöhlt

Im Jahr 2008 hat das Bundesverfassungsgericht ein Grundrecht auf digitale Intimsphäre („Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme“) formuliert, das anerkennt, dass der Mensch im heutigen Digitalisierungszeitalter auf digitale Vernetzung angewiesen ist, da er nur in einem gesicherten Raum die Entfaltung und Auslebung seiner Persönlichkeit wahrnehmen und ganz er selbst sein kann.

Einschränkungen dieses Grundrechts sind natürlich rechtlich möglich und da lässt sich Horst Seehofer nicht lumpen: Seine Gesetzesparaden sorgen für dessen Aushöhlung, verschieben die Grenzen, um es zu minimieren. Er ignoriert zur Verfolgung seiner eigenen Interessen, was das Bundesverfassungsgericht ihm und seinen Kollegen zum Schutz der Bürger grundsätzlich aufgegeben hat.

Und wieder wird es (ganz wie beispielsweise bei der mehrfach gescheiterten Vorratsdatenspeicherung) das Bundesverfassungsgericht sein, das die aktuellen Gesetzesvorhaben zurechtstutzen und die Politik in die Schranken weisen muss. Was nicht okay ist, denn es ist die Aufgabe der Politik und eines Innenministers im Besonderen, die eigenen Gesetze zu achten, auszubauen und zu bewahren, statt zu riskieren außerhalb des Grundgesetzes zu agieren.

Nährboden für Misstrauen und Verschwörungstheorien

Und auch das Misstrauen der Bürger in den eigenen Staat wächst, denn diese bemerken sehr wohl, wer sie schützt und von wem sie sich gefährdet fühlen. Das gesamtgesellschaftliche Bild des eigenen Staates wandelt sich – ein politischer Schaden mit großen gesellschaftlichen Auswirkungen, denn dieses fehlende Vertrauen ist ein Teil des Nährbodens, auf dem beispielsweise auch die wüsten Verschwörungstheorien der Corona-Leugner wachsen konnten.

Unklar, wie die ganze Sache ausgeht, unklar, wie die politische Landschaft nach der nächsten Bundestagswahl aussehen wird. Aber eines ist klar: Es prägt. Irgendwas bleibt immer hängen.