Zum Hauptinhalt springen

Runder Tisch zu IT-Sicherheit ist reine PR

Im Wortlaut von Jan Korte,

Von Jan Korte, Datenschutzbeauftragter der Fraktion DIE LINKE. im Bundestag






Tag für Tag werden wir mit neuen Enthüllungen zum NSA-Skandal konfrontiert. Merkels Acht-Punkte-Programm vom 19. Juli diesen Jahres "für einen besseren Schutz der Privatsphäre“ hat anscheinend nicht geholfen. Wenig deutet darauf hin, dass sich das ändern könnte. Zusammengenommen sind die acht Punkte, ähnlich wie die Ankündigung eines "No spy-Abkommens“, denn auch eher ein Eingeständnis der aktuellen skandalösen Zustände als ein Programm zu Aufhebung der Ursachen.

Eine Verwaltungsvereinbarung aus den Jahren 1968/69 ist inzwischen faktisch außer Kraft gesetzt. Mit den USA wolle man weiter Gespräche führen. Für Nachrichtendienste sollten "gemeinsame Standards" etabliert werden. Die Wirtschaft sollte dabei unterstützt werden, im Bereich der Internettechnologien "verstärkt Kompetenzen auszubauen“. Und den Bürgern wurde die Internetseite "Deutschland Sicher im Netz" empfohlen. Schlimmer noch: Kein Abkommen, das die Datenweitergabe regelt, ist gekündigt, PNR und SWIFT funktionieren weiter wie bisher. Keine einzige Regelung zum Datenaustausch der Geheimdienste und Sicherheitsbehörden wurde ausgesetzt oder neu verhandelt. Und noch immer redet die Bundesregung davon, dass sie mit dem Datenklau ausländischer Geheimdienste an Internetknoten über die auch deutsche und europäische Daten fließen, auch nur das Geringste zu tun habe – ganz so als endete ihre Verpflichtung zum Schutz der Grundrechte am Rhein.

Desolater Zustand

Die Fortsetzung der Expertengespräche mit den USA, die Forderung nach UN- und EU- Regelungen zum Datenschutz bleiben Lippenbekenntnisse oder noch schlimmer: Sie segnen den derzeitigen desolaten Zustand nur ab, solange die Bundesregierung nicht ihre eigene Verhandlungsführung zur Datenschutzgrundverordnung und zu weiteren internationalen Regelungen kritisch überprüft und große Teile davon neu verhandelt. Viel ist der Bundesregierung zum NSA-Skandal und seiner Aufarbeitung also bis heute nicht eingefallen.

Oder doch? Stimmt, da war ja noch der Runde Tisch "Sicherheitstechnik im IT-Bereich". Für den 9. September 2013 hat die Beauftragte der Bundesregierung für Informationstechnik, Staatssekretärin Cornelia Rogall-Grothe, ein paar Wirtschaftslobbyisten zu sich eingeladen. Es soll diskutiert werden, wie den deutschen Unternehmen zu einem höheren Sicherheitsniveau beim Einsatz von Informationstechnik verholfen werden kann.

Das ist schön. Aber was hat es mit dem NSA-Skandal zu tun?

Ehrlich gesagt: Gar nichts. Eine verbesserte IT-Sicherheit ist natürlich kein Schutz gegen Spionage, die auf der Grundlage von geheimen Abkommen zwischen Regierungen ermöglicht wird. Die gegen deutsche Bürger und Unternehmen gerichtete Spionage der NSA fand nach derzeitigem Kenntnisstand offenbar zum Teil mit Billigung der deutschen Bundesregierung statt, zum Teil verschafften einzelne Unternehmen der NSA die Möglichkeit, Verschlüsselungen und Sicherheitsvorkehrungen zu umgehen. Wenn Unternehmen gezwungen, per Gesetz verpflichtet werden oder freiwillig bereit sind, geschützte Daten an einen Geheimdienst herauszugeben, nützt eine noch so robuste IT-Sicherheit wenig. Was hier helfen würde, wäre eine sofortige Beendigung der Zusammenarbeit deutscher mit ausländischen Geheimdiensten, die die Grundrechte der Bürgerinnen und Bürger massenhaft verletzt. Und die Einführung drastischer Strafen für in Deutschland tätige Unternehmen, die mit ausländischen Geheimdiensten kooperieren, sowie das Verbot auch für deutsche Geheimdienste, Telekommunikationsunternehmen zur Kooperation jenseits von klar begrenzten und kontrollierbaren Einzelfällen zu verpflichten.

Bundesregierung meint es nicht ernst

Aber machen wir uns keine Illusionen. Nichts von alledem wird am 9. September auf dem Programm stehen. Wahrscheinlich wird es vor allem darum gehen, die Debatte um einen mangelnden Schutz der Privatsphäre der Bürgerinnen und Bürger in eine Diskussion um Wirtschaftsförderung für die deutsche IT-Industrie umzumodeln.

Besonders ernst meint die Bundesregierung es mit solchen Initiativen nämlich nicht, wie die Erfahrung lehrt. So hat zum Beispiel das Bundesinnenministerium bereits im Februar 2011 eine nationale Cyber-Sicherheitsstrategie beschlossen, die sich ausdrücklich auch auf Cyber-Spionage und Cyber-Ausspähung richtet. Effekt: Null. Und der Referentenentwurf eines "Gesetzes zur Erhöhung der Sicherheit informationstechnischer Systeme“, den das Bundesinnenministerium im März 2013 vorgelegt hat, ist gar nicht erst in die parlamentarische Beratung eingebracht worden. In diesem Entwurf war vorgesehen, Unternehmen zu verpflichten, "einen Mindeststandard an IT-Sicherheit einzuhalten und dem Bundesamt für Sicherheit in der Informationstechnik (BSI) erhebliche IT-Sicherheitsvorfälle zu melden". Doch nach einem Sturm von Protesten aus der deutschen Wirtschaft, die gesetzliche Vorgaben grundsätzlich ablehnt und stattdessen für Selbstregulierung plädiert, scheiterte der Entwurf im Juni 2013 am Widerstand des Bundeswirtschaftsministers. Dieser hatte nicht den Mut, sich mit der IT-Industrie anzulegen und die Meldepflicht an das BSI durchzusetzen. Dieselbe Bundesregierung, die jetzt Runde Tische für mehr IT-Sicherheit veranstaltet, ist also gerade erst davor zurückgeschreckt.

Runde Tische helfen nicht. Was hilft, sind strenge Vorgaben, am besten seitens der EU. Die Europäische Kommission hat bereits im Februar 2013 ihren Vorschlag für eine EU-weite IT-Sicherheitsrichtlinie vorgelegt. Darin sollen Mindeststandards für IT-Sicherheit und Cyber-Security in der Europäischen Union festgelegt werden. Es stünde der Bundesregierung gut zu Gesicht, sich bei den Verhandlungen über diese Richtlinie für folgende Punkte einzusetzen:

  • Die Anforderungen, die in Sachen IT-Sicherheit an Unternehmen gestellt werden, dürfen nicht von der Größe dieser Unternehmen abhängig gemacht werden, sondern vom Umfang der Datenverarbeitung: Je mehr Daten von Bürgerinnen und Bürgern ein Unternehmen verarbeitet, desto höher müssen auch die Sicherheitsanforderungen sein. Auch wenn das Unternehmen eine kleine IT-Klitsche ist.
  • Das Trennungsgebot zwischen Nachrichtendiensten und Polizei muss zwingend eingehalten werden. Einen uneingeschränkten Datenaustausch zwischen Nachrichtendiensten und Polizeibehörden darf es auch auf EU-Ebene nicht geben. Und dabei sind endlich auch andere Organisationsformen der Sicherheitsbehörden in Mitgliedstaaten zu beachten, bei denen Geheimdienste Teil der Polizeien sind.
  • Das Vorhaben, Drittstaaten im Rahmen von Abkommen einen Zugang zu dem geplanten Kooperationsnetzwerk zu ermöglichen, das zum EU-weiten Datenaustausch genutzt werden soll, ist abzulehnen, sofern diese Drittstaaten europäische Datenschutzstandards nicht einhalten.
  • Sicherheitsrelevante Vorfälle sollten von den Unternehmen unverzüglich und verpflichtend gemeldet werden. Die nationalen Behörden sollten verpflichtet werden, die Öffentlichkeit über bekannt gewordene Angriffe und Schwachstellen so frühzeitig wie möglich zu informieren. Der Schutz der Bürgerinnen und Bürger muss Vorrang vor eventuellen Imageschäden der Unternehmen haben.
  • Die vorgesehenen Sicherheits-Audits dürfen keine reinen Schreibtischtests bleiben. Vielmehr sollten Unternehmen verpflichtet werden, ihre Infrastruktur regelmäßigen Penetrationstests zu unterwerfen, sie also freiwillig echten Hackerangriffen auszusetzen, um Schwachstellen aufzuspüren.
  • Die Vorgaben der geplanten EU-Datenschutz-Grundverordnung sind auch im Rahmen der IT-Security-Richtlinie zwingend zu beachten.

Die geplante Richtlinie hält übrigens kein EU-Mitglied davon ab, im eigenen Land ein höheres Sicherheitsniveau gesetzlich festzuschreiben. Ein im Hinblick auf Datenschutz und BürgerInnenrechte fortschrittliches IT-Sicherheitsgesetz könnte auch in Deutschland auf die Agenda gesetzt werden. Ein solches Vorhaben würde DIE LINKE im Bundestag jederzeit unterstützen. Für die PR-Maßnahmen der Bundesregierung gilt das allerdings nicht.

linksfraktion.de, 6. September 2013