Scharfe Kritik an Cybersicherheitsagenda des BMI

Cyberattacken auf deutsche Unternehmen und Behörden haben in den vergangenen zwei Jahren stark zugenommen. Zudem warnen Sicherheitsexperten, der Bundesverfassungsschutz und das Bundesamt für Sicherheit in der Informationstechnik (BSI) immer wieder davor, dass die russische Invasion in die Ukraine auch für Deutschland die Cyberbedrohungslage verschärft habe. Vor diesem Hintergrund stellte Bundesinnenministerin Nancy Faeser am Dienstag einen umfassenden Maßnahmenkatalog zur Cyberabwehr vor.

Dazu gehört eine neu organisierte Cybersicherheits-Architektur mit einer führenden Rolle des Bundes und mehr Befugnissen für die Sicherheitsbehörden. So soll das BSI zu einer zentralen Anlaufstelle für Bund und Ländern werden. Auch das Bundeskriminalamt und der Verfassungsschutz sollen gestärkt werden.

Überwachung, Staatstrojaner und Hackbacks

Während die geplante Grundgesetzänderung zur Stärkung des BSI als zentrale Anlaufstelle für IT-Sicherheit weitgehend Zuspruch erhält, sehen IT-Experten die Agenda an anderer Stelle kritisch. So beklagt Bitkom-Präsident Achim Berg, dass man für ein vermeintliches Mehr an Sicherheit von den Vorgaben des Koalitionsvertrags abweichen und stärker in die Privatsphäre der Bürgerinnen und Bürger eingreifen wolle. "Eine Auflösung der Ende-zu-Ende-Verschlüsselung bei digitaler Kommunikation darf es nicht geben", warnte der Bitkom-Sprecher. "Das würde zu tief und in unverhältnismäßiger Weise in das Grundrecht auf geschützte Kommunikation eingreifen."

Manuel Atug, IT-Sicherheitsexperte und Mitglied des Chaos Computer Club (CCC), sieht das ähnlich: "Das BMI verharrt leider immer noch in längst überkommenen Überwachungsphantasien und Logiken der Ewiggestrigen." Gegenüber "CSO" bezeichnete der Experte die ausufernden Befugnisse der Behörden als höchst fragwürdig und den Grundrechten widersprechend. Die Agenda ermögliche das Brechen von Verschlüsselungen, Quellen-TKÜ (Staatstrojaner), die Chatkontrolle, das Predictive Policing, automatisierte Gesichtserkennungen, die Nutzung von Schwachstellen und auch Hackbacks, also staatliche Vergeltungsschläge als Reaktion auf Hackerangriffe.

Bitkom-Präsident Berg fügt hinzu, die vorgesehene verstärkte Nutzung von Künstlicher Intelligenz durch die Polizei müsse intensiv geprüft werden. Hier seien die Vorgaben des AI Acts der Europäischen Union und des Koalitionsvertrags zwingend einzuhalten.

Nach Meinung des Verbands der Internetwirtschaft eco ist die Agenda aktuell an einigen Stellen zu unkonkret. Der eco-Vorstand IT-Sicherheit, Norbert Pohlmann, befürchtet ebenfalls, dass künftig problematische Instrumente wie Staatstrojaner oder Hackbacks eingesetzt werden könnten. "Es muss klar sein, dass eine Erhöhung der IT-Sicherheit nicht auf Kosten bürgerlicher Freiheiten im Netz gehen darf. Massive Eingriffe in die Vertraulichkeit elektronischer Kommunikation könnten das Vertrauen der Bürger in digitale Technologien untergraben und gleichzeitig selbst zum Sicherheitsrisiko im Netz werden", betont Pohlmann.

Dennis-Kenji Kipker, Wissenschaftler und Experte für IT-Sicherheitsrecht, ist von der Cybersicherheitsagenda ebenfalls nicht begeistert: "Die Formulierungen im Dokument sind vage und verklausuliert und laden zur Kaffeesatzleserei, aber nicht zur konkreten Verbesserung von Cybersecurity ein." Er schlägt vor, "dass wir in Deutschland ganz generell einmal über eine Neuordnung der Kompetenzen und Zuständigkeiten in der Cybersicherheit nachdenken sollten".

Auch in der IT-Sicherheitsbranche gibt es kritische Stimmen, die Tim Berghoff, Security Evangelist bei G Data, wie folgt zusammenfasst: "Ja, Cybercrime ist ein Problem, das bekämpft werden muss. Das ist alles richtig, wichtig und nachvollziehbar. Der Agenda-Entwurf schlägt jedoch alle Warnungen und Bedenken zahlreicher renommierter Fachleute - vor allem um das Thema Hackback sowie verstärkte Überwachung - in den Wind." Dies sei ein Rückschritt und kein Sprung nach vorne.