Stellungnahme zur Cybersicherheitsstrategie 2021

Heute soll die finale Cybersicherheitsstrategie des Bundesministeriums des Innern, für Bau und Heimat (BMI) vorgestellt werden. Aufgrund des wie so oft viel zu kurzen Beteiligungszeitraumes veröffentlichen wir unsere Stellungnahme erst jetzt. Sie mag bei der andauernden gesellschaftlichen Diskussion rund um das Thema Cybersicherheit nützlich sein, die leider nach wie vor öffentliche Sicherheit zu sehr als Sicherheit der Sicherheitsbehörden versteht. Dies ist eine Vertiefung der Themen des offenen Briefs an die Deutsche Bundesregierung zur Cybersicherheitsstrategie⁰ vom 25.6.2021.

Die jüngsten Nachrichten unterstreichen, dass IT-Sicherheit in erster Linie auf den Schutz informationstechnischer Systeme abzielen muss, und die Bestrebungen den sogenannten Sicherheitsbehörden Zugriff auf die Systeme von Kriminellen und potentiellen Angreifer:innen geeignet sind die IT-Sicherheit Aller zu gefährden. Drei Beispiele:

1. Der Angriff auf die Verwaltung des Landkreises Anhalt-Bitterfeld zeigt wie essentiell IT-Systeme in allen Bereichen sind, und wie hier Sicherheitslücken durch Organisierte Kriminalität ausgenutzt werden um großen Schaden anzurichten.¹ An erster Stelle sollte daher alle Energie darauf verwendet werden Sicherheitslücken zu schließen. Stattdessen basiert die Überwachung und Infiltration krimineller Netzwerke durch Trojaner großteils darauf Sicherheitslücken offen zu halten, was schließlich Kriminalität fördert, da diese Sicherheitslücken nicht exklusiv für die „Sicherheitsbehörden“ vorgehalten werden können, sondern in allen Systemen und für alle Angreifer:innen gleichermaßen vorhanden sind. Eine Bekämpfung der Angreifer:innen erscheint vor dem Hintergrund ihrer Vielzahl und der breiten Angriffsmöglichkeiten unzureichend gesicherter Systeme zudem wenig zielführend für die Erhöhung des Sicherheitsniveaus.

2. Sicherheitslücken in iOS ermöglichten beispielsweise die Installation der Spähsoftware „Pegasus“ der NSO Group², die zwar nach eigenen Angaben Trojaner nur zur Bekämpfung von Kriminalität und Terrorismus verkauft, diese aber nachweislich gegen Journalist:innen, Menschrechtanwälte³ und Politiker:innen⁴ eingesetzt wurden. Ebenso wie Sicherheitslücken kann auch die Anwendung von Überwachungssoftware nicht wirksam auf den Einsatz gegen "Kriminelle und Terroristen" beschränkt werden. Vielmehr wird diese hier von verschiedenen Staaten eingesetzt um kritische Journalisten und politische Gegner zu überwachen. Zudem wird in autoritären Regimen Kritik kriminalisiert⁵, und so der Einsatz von Überwachungssoftware und die Verfolgung der Kritiker:innen legitimiert. Als demokratischer Rechtsstaat ist es eine besondere Verantwortung für Deutschland eine demokratische und freiheitliche IT-Sicherheitspolitik zu pflegen und vorzuleben, und sich hier durch eine Politik der technischen Sicherheit profilieren, anstelle die invasiven überwachenden Sicherheitsstrategien autoritärer Staaten nachzuahmen.

3. In der Begründung zur Entscheidung über die Verfassungsbeschwerde der Gesellschaft für Freiheitsrechte e.V. (GFF) gegen gegen die Novelle des Polizeigesetzes Baden-Württemberg vom November 2017, die den umfangreichen Einsatz von Staatstrojanern zur Überwachung von Zielpersonen erlaubt wird folgendes deutlich: Das Bundesverfassungsgericht bestätigt die Auffassung, dass staatliche Stellen Grundrechte verletzen, wenn sie Sicherheitslücken in IT-Systemen geheim halten, ohne ihre Risiken zu bewerten.⁶ Es ist kaum zu vermeiden, dass Cyberkriminelle und ausländische Geheimdienste von den Sicherheitslücken profitieren, die deutsche Behörden bewusst nicht schließen lassen.

Stellungnahme

Verweise