Bundestagswahl: Alle wollen IT-Sicherheit, aber jeder anders
In Anhalt-Bitterfeld ruft der Kreis den Katastrophenfall aus, weil Ransomware die Verwaltung lahmlegt . In einer Düsseldorfer Klinik fällt die IT aus und schwerkranke Patienten müssen verlegt werden. Der Bundestag wird wiederholt Ziel von Phishing-Angriffen .
Den Handlungsbedarf bei der IT-Sicherheit würde niemand leugnen und so widmen alle großen Parteien dem Thema Aufmerksamkeit in ihren Wahlprogrammen.
IT-Sicherheit für Verbraucher
Bei ihren geplanten Maßnahmen zu IT-Sicherheit für Endnutzer unterscheiden sich die demokratischen, im Bundestag vertretenen Parteien auf den ersten Blick wenig. Sie führen ihre Vorschläge jedoch in unterschiedlichem Detailgrad aus. Recht allgemein bleibt die SPD: "Wir wollen Hersteller darauf verpflichten, Softwareprodukte, digitale Dienste und technische Geräte so zu konzipieren, dass sie sicher sind" , heißt es im Wahlprogramm der Sozialdemokraten(öffnet im neuen Fenster) . Neben diesem Security-by-Design-Ansatz wollen sie auch Security by Default: sichere Standardeinstellungen zur Pflicht machen.
CDU und CSU(öffnet im neuen Fenster) wollen den Weg weitergehen, der mit einem IT-Sicherheitskennzeichen begonnen wurde - also den Kunden eine Orientierung und einen Anreiz beim Kauf von IT-Produkten geben. Für digitale Plattformen soll es einen "klaren Rechtsrahmen" geben, dazu gehören für die Union Fragen von "Haftung, Sicherheit, Gewährleistung, Software-Updates, Nutzerbewertungen und Produktrankings" .
Hersteller in die Pflicht nehmen
Die FDP wird in ihrem Programm(öffnet im neuen Fenster) schon ein wenig konkreter. Hersteller sollen für Schäden haften, die "fahrlässig durch IT-Sicherheitslücken verursacht werden" . Ebenso wollen die liberalen verpflichtende Updates während der "üblichen Nutzungsdauer" eines Produktes. Einen genauen Zeitrahmen nennen sie jedoch an dieser Stelle nicht.
Das tut dafür die Linke(öffnet im neuen Fenster) , die für IT- und Elektrogeräte eine Nutzungsdauer von fünf Jahren garantieren will. Dazu soll eine Sicherheitszertifizierung "obligatorisch für den Marktzugang" werden.
Für Bündnis 90/Die Grünen(öffnet im neuen Fenster) sind Sicherheitsupdates auch eine Frage der Nachhaltigkeit. Sie wollen das mit einer Pflicht zur "angemessenen, risikoorientierten und benutzerfreundlichen Bereitstellung von Sicherheitsupdates" vorantreiben.
Während sich die Parteien bei der Stärkung des Bundesamtes für Sicherheit in der Informationstechnik (BSI) weitgehend einig sind, sieht dies bei einer Verpflichtung zum Schließen von Sicherheitslücken oder digitalen Gegenangriffen, sogenannten Hackbacks, anders aus.
Sicherheitslücken: Offen oder Geschlossen?
Unstrittig scheint unter den Parteien die zentrale Rolle des BSI: Alle wollen es stärken. Seine Unabhängigkeit liegt dabei Grünen, Linken und SPD besonders am Herzen. Die Union will es zu einer "Zentralstelle für Fragen der Informations- und Cybersicherheit" ausbauen.
Die FDP sieht das BSI als verpflichtende Anlaufstelle für staatliche Stellen, denen Sicherheitslücken bekannt werden. Die Liberalen stellen sich vor, dass es dann die Koordination übernimmt: Hersteller informieren, diesen dazu bewegen, die Lücke zu schließen und sie koordiniert veröffentlichen, wenn dies misslingt. Laut den Liberalen soll der Staat keine Sicherheitslücken für Ermittlungszwecke aufkaufen dürfen.
Auch Linke und Grüne wollen eine Meldung von Lücken verpflichtend machen, nennen jedoch noch keine Details. Die Sozialdemokraten versprechen: "Digitale Hintertüren sollen nicht offen gehalten werden." Im Zuge dessen nennt die FDP auch ein sogenanntes Schwachstellenmanagement(öffnet im neuen Fenster) - eine lang diskutierte Forderung, dass der Umgang von insbesondere staatlichen Stellen mit Sicherheitslücken klar geregelt werden muss. Entsprechendes hatte erst kürzlich das Bundesverfassungsgericht in einem Urteil gefordert .
Staatstrojaner lehnen Grüne und die FDP ab. Die Liberalen zumindest, "solange nicht sichergestellt ist, dass der Kernbereich der privaten Lebensgestaltung der Menschen geschützt ist" . Die Linke will sie rigoros verbieten, genau wie andere "Spyware aller Art" . Die Union hingegen plant, Voraussetzungen für Online-Durchsuchung und Quellen-Telekommunikationsüberwachung bundesweit anzupassen, "sodass diese Instrumente rechtssicher und effektiv eingesetzt werden können" .
Union will den digitalen Gegenschlag
CDU/CSU bekennen sich in ihrem Programm auch deutlich zum sogenannten Hackback: "Wir müssen bei schweren Cyber-Angriffen in der Lage sein, aktiv auf die Ursache einzuwirken, um sie zu beenden." Dafür wollen die beiden Parteien sowohl rechtliche als auch technische Voraussetzungen schaffen.
Einer der Kritikpunkte an dieser aktiven Cyberabwehr: Für digitale Gegenschläge brauchen staatliche Stellen unter Umständen Sicherheitslücken, um sie beim entsprechenden Gegner ausnutzen zu können. Damit entsteht ein Interessenskonflikt: Lücken offenhalten, um sie auszunutzen? Oder Lücken schließen, um die digitale Welt für alle sicherer zu machen? Wie man mit Sicherheitslücken umgehen sollte, führt die Union in ihrem Programm jedoch nicht aus.
Die FDP will keine "digitale[n] Vergeltungsschläge" und verweist auf die "Gefahr eines digitalen Wettrüstens" und das Risiko, dass Kollateralschäden entstehen. SPD und Linke äußern sich nicht explizit zu diesem Thema, ebenso wie die Grünen. Letztere verweisen jedoch darauf, dass es bei der Bundeswehr ein an der "Defensive orientiertes Selbstverständnis" im Digitalen brauche. Die Linken lehnen einen Paradigmenwechsel hin zum "Cyberwar" ab.
Cyberquote, Cyberhilfswerk und Cyberrüstungskontrolle
In den Programmen der Parteien finden sich auch einige Ideen, die nicht direkt mit denen der anderen vergleichbar sind. So will die Union eine "Cyberquote" für IT-Vorhaben im öffentlichen Dienst. Ein bestimmter Anteil des Budgets soll künftig in IT-Sicherheit investiert werden müssen. Die Grünen greifen in ihrem Programm die Idee des Cyber-Hilfswerks auf, das ähnlich dem THW bei IT-Vorfällen bereitsteht.
Die Linken fordern in ihrem Programm explizit, die Bundeswehreinheit "Cyber- und Informationsraum" aufzulösen. Sie sprechen sich auch dagegen aus, die Bundeswehr am Schutz kritischer Infrastrukturen im Inland zu beteiligen. Die SPD will im Bereich "Cyber und Künstliche Intelligenz" Rüstungskontrolle etablieren.