Cyberstrategie 2021: Horsts Hacker

K urz vor knapp ist die scheidende Bundesregierung doch noch mit ihrer neuen Strategie zur Cybersicherheit um die Ecke gekommen.

Das Innenministerium hat gut zwei Jahre lang an einer Gesetzesnovelle gearbeitet, deren Auswirkungen im Grunde schnell zusammengefasst sind: Sie macht das Internet noch unsicherer. Das kann auch niemanden wirklich verwundern, schließlich wurde es unter Horst Seehofer entwickelt. Und auch der Zeitpunkt passt, denn mit den Folgen darf sich dann ja die neue Regierung herumschlagen. Eine Regierung, der Horst Seehofer ziemlich sicher und die Union nach aktuellen Umfrageergebnissen womöglich nicht mehr angehören werden.

Zum Hintergrund: Die Bundesregierung hatte 2011 eine erste Cybersicherheitsstrategie vorgelegt, die 2016 fortgeschrieben wurde. Vor allem die Ergänzungen im IT-Sicherheitsgesetz von 2016 waren ein wichtiger Meilenstein der deutschen Cybersicherheit. Denn Betreiber von kritischen Infrastrukturen, wie beispielsweise Stromnetze und Wasserwerke, wurden dazu verpflichtet, IT-Sicherheitsstandards einzuhalten und Cyberangriffe an die zuständigen Stellen zu melden.

Damals war dies noch eine mutige und vorausschauende Entscheidung. Nur hat sich seitdem gesetzlich nichts mehr verändert – das Internet und unsere digitalen Möglichkeiten allerdings schon.

Nach langer Stille hat Horst Seehofer dann überraschend im Juni doch noch einen Gesetzentwurf vorgelegt. Kritik folgte prompt. 38 Vereine, Verbände, IT-Firmen und Netzwerke sowie 32 Wis­sen­schaft­le­r:in­nen appellierten nachdrücklich an die Bundesregierung, den vorgelegten Entwurf in dieser Legislaturperiode nicht mehr zu beschließen.

„Hackbacks“: digitales Wettrüsten

In der Kritik standen dabei vor allem zwei Punkte: erstens das Thema Hackbacks. Das Wort setzt sich zusammen aus dem Begriff „Hacken“ und englisch „back“ für „zurück“. Bei diesem „Zurückhacken“ geht es darum, dass der Staat selbst Angriffe gegen Cyberkriminelle starten möchte – eine Änderung des Grundgesetzes vorausgesetzt.

Das Problem bei solchen Hackbacks: Man begibt sich in ein digitales Wettrüsten. Der Wissenschaftliche Dienst des Bundestages spricht sogar vom „Risiko eines Rüstungswettlaufs und einer Militarisierung des Internets – was mehr neue Probleme schaffen als bestehende lösen würde“. Außerdem ist es kaum möglich, eine klare Regelung zu definieren: Wann ist ein Angriff legitimiert, wer darf ihn durchführen und welche Personen werden mit diesem Wissen „ausgestattet“? Außerdem lässt sich bei solchen Cyberangriffen auch meistens schlecht ein konkretes Ziel definieren. Denn oft ist nicht zweifelsfrei klar, wer Verursacher eines Angriffs ist. Also bleibt bei einem Gegenangriff auch ein enorm hohes Restrisiko, die Falschen zu treffen.

Der zweite Klopper ist die Ankündigung, dass „technische und operative Lösungen für den rechtmäßigen Zugang zu Inhalten aus verschlüsselter Kommunikation entwickelt“ werden sollen. Will heißen: verschlüsselte Daten und Nachrichten schön und gut, aber in vielen – wirklich sehr vielen – Einzelfällen soll der Verfassungsschutz dann doch mitlesen dürfen. Und zwar mithilfe von technischen Hintertüren, die in unsere Geräte und Programme eingebaut werden. Wie er allerdings sicherstellen möchte, dass diese sogenannten Backdoors nur vom Verfassungsschutz – und auch nur im absoluten Ernstfall – genutzt werden, erklärt der Innenminister nicht.

Nun wurde das Absichtspapier auf Druck der Union aber doch noch schnell beschlossen und legt damit die Richtung für die kommenden Jahre fest. Und das, obwohl nicht nur der Wissenschaftliche Dienst des Bundestages, sondern auch alle im Bundestag vertretenen Parteien gegen Hackbacks sind. Also alle außer den Unionsparteien. Falls also noch jemand ein Argument gegen das Kreuzchen bei der CDU/CSU braucht: die „Cybersicherheitsstrategie 2021“ wäre eins.