Regierung beschließt neue Cybersicherheitsstrategie

Cyberattacken auf öffentliche Infrastruktur oder Unternehmen gibt es bereits regelmäßig. Nun hat die Regierung eine neue Cybersicherheitsstrategie verabschiedet, die sich mit solchen Problemen befassen soll. Doch es gibt viel Kritik.

Das Bundeskabinett hat für die kommenden fünf Jahre eine neue Strategie für Cybersicherheit beschlossen. Dabei geht es um den Schutz von Behörden, kritischer Infrastruktur, Unternehmen und Bürgern vor Cyberattacken. In dem Papier, das am Mittwoch verabschiedet wurde, weist die Regierung auf die gestiegene Bedrohung hin.

Um Daten der Bundesbehörden zu schützen, soll demnach künftig sichergestellt werden, "dass das Bundesamt für Sicherheit in der Informationstechnik (BSI) frühzeitig in Digitalisierungsvorhaben des Bundes eingebunden wird". Außerdem sollen durch klar benannte Meldewege rechtliche Unsicherheiten bei der Aufdeckung von IT-Schwachstellen von Unternehmen ausgeräumt werden.

"Zahl der Angriffe nimmt zu"

"Die Zahl der Cyberattacken nimmt zu, die Angriffe werden ausgefeilter, die potenziellen Schäden immer größer", sagte der innenpolitische Sprecher der Unionsfraktion, Mathias Middelberg. "Da der Cyberraum keine Ländergrenzen und Verwaltungsebenen kennt, müssen Bund und Länder noch intensiver bei der Abwehr von Cybergefahren zusammenarbeiten", mahnte der CDU-Politiker. Nur wenn es gelinge, die Risiken zu minimieren, könnten sich die Vorteile der Digitalisierung voll entfalten.

Die Bundesregierung hatte 2011 eine erste Cybersicherheitsstrategie vorgelegt, die 2016 fortgeschrieben wurde. Die ressortübergreifende Cybersicherheitsstrategie 2021 setzt den Rahmen für die kommenden fünf Jahre. In dem Dokument geht es auch um mögliche neue Befugnisse für staatliche Stellen.

So heißt es, es sei "unter anderem zu prüfen, ob Ermittlungsmaßnahmen, wie Telekommunikationsüberwachung und Online-Durchsuchung, auch für die Ermittlung von Computerdelikten zur Verfügung stehen sollten". Zudem sollen die geltenden strafrechtlichen Regelungen im Bereich des Computerstrafrechts auf Reformbedarf überprüft werden. Konkreter wird es an dieser Stelle aber nicht. Denn das wird dann eine Entscheidung für die nächste Regierung sein.

Kritik von Experten und Opposition

Die Cybersicherheitsstrategie stieß bereits vor ihrem Beschluss auf Kritik. Große Kritikpunkte waren unter anderem die geplanten Hackbacks – also das Zurückhacken durch den Staat bei Attacken, oder dass sogenannte Zero-Day-Schwachstellen offen gehalten werden, damit Polizei und Geheimdienste sie verwenden können. Solche Schwachstellen können beispielsweise ausgenutzt werden, um den sogenannten Staatstrojaner auf Geräte von Verdächtigen zu laden.

In der Cybersicherheitsstrategie schreibt die Regierung zwar, dass durch den Beschluss ein "verantwortungsvolles Schwachstellenmanagement" gegeben werde. Sicherheitsforscher haben aber schon häufiger davor gewarnt, dass solche Lücken auch von Kriminellen ausgenutzt werden können. Das sagte beispielsweise der Sicherheitsforscher Michael Wiesner in einem Interview mit t-online über die Gefahr von Cyberattacken auf Deutschland. Das Interview finden Sie hier.

Ein Beispiel für so einen Fall: 2017 nutzten Kriminelle eine Lücke in Windows, um den Trojaner WannaCry zu verbreiten. Der Trojaner verschlüsselte Rechner und verlangte von Nutzern ein Lösegeld. Unternehmen und User weltweit waren betroffen. Die Kriminellen nutzen für den Trojaner eine Schwachstelle, die dem US-Geheimdienst NSA seit Jahren bekannt war und die er selber nutze – Microsoft aber nicht gemeldet hatte.

Auch Mario Brandenbug, der technologiepolitischen Sprecher der FDP, kritisiert das Gesetz in einer Stellungnahme. Laut Brandenburg werden durch die offen gehaltenen Backdoors "Einfallstore für Cyberkriminelle gefördert". Auch kritisiert der FDP-Politiker die geplanten Hackbacks und dass das BSI nicht – wie immer wieder von Experten gefordert – vom Innenministerium getrennt wird und als unabhängige Behörde agiert. Brandenburg bezeichnet den Beschluss darum als "überhastete Cybersicherheitsstrategie, die diesem komplexen und wichtigen Digitalthema nicht gerecht wird."

Konstantin von Notz von den Grünen nennt in einer Stellungnahme die Cybersicherheitsstrategie eine "Unsicherheitsstrategie". Auch von Notz fordert, dass das BSI zumindest "in Teilen unabhängig gestellt werden" sollte. "Überfällig ist auch ein echtes 'Schwachstellen-Management' von IT-Sicherheitslücken, das es trotz vielfältiger Versprechen bis heute noch immer nicht gibt", so der Grünen-Politiker.