Koalitionsvertrag: Zeitenwende bei der IT-Sicherheit

Otto Schily, Wolfgang Schäuble, Thomas de Maizière, Hans-Peter Friedrich und Horst Seehofer: Diese fünf Bundesinnenminister von Union und SPD haben seit den Terroranschlägen vom 11. September 2001 dafür gesorgt, dass die Überwachung der Bürger, nicht nur im Internet, immer weiter verschärft wurde.

Der neue Koalitionsvertrag, den SPD, Grüne und FDP am 24. November vorgestellt haben, will diese Entwicklung nicht nur stoppen, sondern teilweise sogar korrigieren. Messen lassen muss sich die Koalition aber am Ende an der tatsächlichen Umsetzung der Pläne.

Ob Vorratsdatenspeicherung, Staatstrojaner, automatische Gesichtserkennung, Nutzerverifzierung oder Bestandsdatenauskunft: In den vergangenen Jahren gab es kaum einen Überwachungswunsch der Sicherheitsbehörden, der nicht von den Innenministern gesetzlich umgesetzt werden wollte.

Nicht dauernd in Karlsruhe scheitern

Zwar versuchte die SPD in den vergangenen Jahren gelegentlich, die schlimmsten Auswüchse zu verhindern. Doch wie das Beispiel Vorratsdatenspeicherung gezeigt hat, waren sich auch die Sozialdemokraten innerhalb der Koalition nicht zu schade, offensichtlich europarechtswidrige Gesetze durchzudrücken.

Häufig genug mussten Gerichte die gesetzlichen Vorstöße von Union und SPD wieder stoppen. Das betraf beispielsweise die Reform des Bundesnachrichtendienstes (BND), die vom Bundesverfassungsgericht in großen Teilen abgelehnt wurde. Solche Fehler will die neue Koalition möglichst nicht mehr begehen.

Recht auf Verschlüsselung soll kommen

Wie eine Zeitenwende bei der IT-Sicherheit lesen sich daher die entsprechenden Passagen im Koalitionsvertrag. "Wir führen ein Recht auf Verschlüsselung, ein wirksames Schwachstellenmanagement mit dem Ziel, Sicherheitslücken zu schließen, und die Vorgaben 'security-by-design/default' ein. Auch der Staat muss verpflichtend die Möglichkeit echter verschlüsselter Kommunikation anbieten", heißt es. Letzteres lässt sich als Absage an die De-Mail verstehen.

Etwas unklar ist die Formulierung, wonach das Bundesamt für Sicherheit in der Informationstechnik (BSI) "unabhängiger" werden soll. Das deutet darauf hin, dass das BSI keine oberste Bundesbehörde und damit nicht so unabhängig wie der Bundesdatenschutzbeauftragte werden soll. Aus Koalitionskreisen hieß es, dass die Teile des BSI, die beispielsweise für Beratung oder Schwachstellen zuständig sind, dem Innenministerium auf jeden Fall entzogen werden. Die Aufsicht über Netze des Bundes könnte unter der Ägide des Ministeriums bleiben.

Sicherheitslücken "schnellstmöglich" schließen

Zudem sollen alle staatlichen Stellen verpflichtet werden, ihnen bekannte Sicherheitslücken beim BSI zu melden und sich regelmäßig einer externen Überprüfung ihrer IT-Systeme zu unterziehen. Entscheidend für die IT-Sicherheit ist jedoch, dass das BSI diese Lücken auch den Unternehmen meldet und nicht für die Zwecke der Sicherheitsbehörden hortet. Innerhalb des Schwachstellenmanagements soll man sich "immer um die schnellstmögliche Schließung bemühen". Ebenfalls soll der Staat keine Sicherheitslücken "ankaufen oder offenhalten".

Damit würde die Ampelkoalition sogar noch über die Vorgaben des Bundesverfassungsgerichts hinaus gehen. Die Karlsruher Richter hatten den Sicherheitsbehörden in einem Urteil vom Juli dieses Jahres erlaubt, "eine Quellen-Telekommunikationsüberwachung mittels einer unbekannten Schutzlücke durchzuführen".

Zur besseren IT-Sicherheit soll laut Koalitionsvertrag die Legalisierung von White-Hat-Hacking beitragen.