Mehr Befugnisse für IT-Sicherheitsbehörde: Wurmschutz oder Bürgerkontrolle?

Eigentlich hat das neue "Gesetz zur Stärkung der Sicherheit in der Informationstechnik des Bundes" eine noble Mission: Es soll dafür sorgen, dass Angriffe auf die inzwischen so wichtige IT-Infrastruktur des deutschen Staates künftig besser abgewehrt werden können.

Beauftragt wird mit diesem Job das Bundesamt für Sicherheit in der Informationstechnik, kurz BSI, das viele Bürger vor allem durch seine Warnmeldungen zu Computerviren, Hackmöglichkeiten und anderen IT-Angriffsszenarien kennen. Seit ihrem Start 1991 ist die zivile Behörde dem Bundesinnenministerium zugeordnet, ihre Vorläufereinrichtung war ursprünglich dem Bundesnachrichtendienst unterstellt.

Das neue BSI-Gesetz, dessen Entwurf Mitte Januar vom Bundeskabinett verabschiedet wurde und das derzeit im Bundesrat debattiert wird, enthält allerdings nicht unkritische Befugnisse wie die bessere Zertifizierung von Sicherheitsprodukten für den Bund oder die Möglichkeit, sich aktiv im Kampf gegen Viren und Würmern zu positionieren.

Den Beamten soll künftig auch erlaubt sein, die Daten- und Sprachkommunikation von Bürgern und Unternehmen mit Bundesbehörden zur Erkennung und Vermeidung von Sicherheitgefahren zu überwachen. Die Nutzungsdaten dürfen demnach so lange gespeichert werden, bis ein Angriff erkannt und abgewehrt wurde. Danach sind sie laut Gesetzentwurf wieder zu löschen.

Sollte das BSI dabei auf Informationen stoßen, die einen terroristischen Hintergrund zu haben scheinen, muss die Behörde die zuständigen Polizei- und Nachrichtendienste einschalten.

Für Bundesinnenminister Wolfgang Schäuble ermöglicht das neue BSI-Gesetz eine Sicherung der Kommunikationsnetze, auf die die Verwaltung angewiesen sei und kläre Zuständigkeiten. "Ohne einheitliche hohe Sicherheitsstandards und eine klare Kompetenzverteilung innerhalb der Bundesverwaltung wächst die Gefahr, dass Schwachstellen ein Eindringen in die IT-Systeme einer Vielzahl von Behörden ermöglichen", sagte er bei der Bekanntgabe des Gesetzentwurfs im Januar.

Auf Seiten der Daten- und Privatsphärenschützer sieht man das Vorhaben naturgemäß etwas anders. Beim Arbeitskreis Vorratsdatenspeicherung sieht man im BSI-Gesetz eine konsequente Fortsetzung der obrigkeitsstaatlichen Politik der letzten Jahre. Das BSI-Gesetz erlaube eine verdachtslose Aufzeichnung des Surfverhaltens im Internet - obwohl das Innenministerium dies zunächst dementiert habe.

"Angesichts des international wachsenden Bewusstseins für die Gefahren von immer mehr Datensammlungen stellen die bisher starken Datenschutz-Regelungen in Deutschland einen Standort-Vorteil dar", kommentierte Ralf Bendrath vom Netzwerk Neue Medien, das einst aus dem Umfeld der Grünen Jugend entstand und gegen immer schärfere Überwachungsmaßnahmen eintritt.

Neben Bürgerorganisationen kritisieren inzwischen auch die Datenschutzbeauftragten des Bundes und der Länder die neuen Möglichkeiten, die das Gesetz dem BSI bieten soll. Unter Vorsitz des Bundesdatenschützers Peter Schaar verabschiedeten die Landesdatenschützer in dieser Woche einstimmig eine Erklärung, in der sie die geplanten Befugnisse für "zu weitgehend" bezeichnen.

"Ich erkenne das mit dem Gesetzentwurf verfolgte Ziel, die IT-Sicherheit zu verbessern, durchaus an", sagte Schaar. Dies dürfe aber nicht auf Kosten des Datenschutzes gehen. "Kritisch sehe ich insbesondere die Ermächtigung des BSI, die gesamte Sprach- und Datenkommunikation aller Unternehmen und Bürger mit Bundesbehörden ohne Anonymisierung beziehungsweise Pseudonymisierung abzuhören und auszuwerten." Auch sei das BSI nicht verpflichtet, ihm bei seiner Arbeit aufgefallene Sicherheitslücken und Schadprogramme der Öffentlichkeit zu melden.

Bei Netzbürgerrechtlern fürchtet man, dass das BSI damit Projekten wie der Abhöreinrichtung "Bundestrojaner" Vorschub leisten könnte, den das BKA unter anderem über Sicherheitslücken einschleusen will.