Koalitionsvertrag: Zeitenwende bei der IT-Sicherheit
Otto Schily, Wolfgang Schäuble, Thomas de Maizière, Hans-Peter Friedrich und Horst Seehofer: Diese fünf Bundesinnenminister von Union und SPD haben seit den Terroranschlägen vom 11. September 2001 dafür gesorgt, dass die Überwachung der Bürger, nicht nur im Internet, immer weiter verschärft wurde.
Der neue Koalitionsvertrag, den SPD, Grüne und FDP am 24. November vorgestellt haben , will diese Entwicklung nicht nur stoppen, sondern teilweise sogar korrigieren. Messen lassen muss sich die Koalition aber am Ende an der tatsächlichen Umsetzung der Pläne.
Ob Vorratsdatenspeicherung, Staatstrojaner, automatische Gesichtserkennung, Nutzerverifzierung oder Bestandsdatenauskunft: In den vergangenen Jahren gab es kaum einen Überwachungswunsch der Sicherheitsbehörden , der nicht von den Innenministern gesetzlich umgesetzt werden wollte.
Nicht dauernd in Karlsruhe scheitern
Zwar versuchte die SPD in den vergangenen Jahren gelegentlich, die schlimmsten Auswüchse zu verhindern . Doch wie das Beispiel Vorratsdatenspeicherung gezeigt hat, waren sich auch die Sozialdemokraten innerhalb der Koalition nicht zu schade , offensichtlich europarechtswidrige Gesetze durchzudrücken.
Häufig genug mussten Gerichte die gesetzlichen Vorstöße von Union und SPD wieder stoppen. Das betraf beispielsweise die Reform des Bundesnachrichtendienstes (BND), die vom Bundesverfassungsgericht in großen Teilen abgelehnt wurde . Solche Fehler will die neue Koalition möglichst nicht mehr begehen.
Recht auf Verschlüsselung soll kommen
Wie eine Zeitenwende bei der IT-Sicherheit lesen sich daher die entsprechenden Passagen im Koalitionsvertrag(öffnet im neuen Fenster) . "Wir führen ein Recht auf Verschlüsselung, ein wirksames Schwachstellenmanagement mit dem Ziel, Sicherheitslücken zu schließen, und die Vorgaben 'security-by-design/default' ein. Auch der Staat muss verpflichtend die Möglichkeit echter verschlüsselter Kommunikation anbieten" , heißt es. Letzteres lässt sich als Absage an die De-Mail verstehen.
Etwas unklar ist die Formulierung, wonach das Bundesamt für Sicherheit in der Informationstechnik (BSI) "unabhängiger" werden soll. Das deutet darauf hin, dass das BSI keine oberste Bundesbehörde und damit nicht so unabhängig wie der Bundesdatenschutzbeauftragte werden soll. Aus Koalitionskreisen hieß es, dass die Teile des BSI, die beispielsweise für Beratung oder Schwachstellen zuständig sind, dem Innenministerium auf jeden Fall entzogen werden. Die Aufsicht über Netze des Bundes könnte unter der Ägide des Ministeriums bleiben.
Sicherheitslücken "schnellstmöglich" schließen
Zudem sollen alle staatlichen Stellen verpflichtet werden, ihnen bekannte Sicherheitslücken beim BSI zu melden und sich regelmäßig einer externen Überprüfung ihrer IT-Systeme zu unterziehen. Entscheidend für die IT-Sicherheit ist jedoch, dass das BSI diese Lücken auch den Unternehmen meldet und nicht für die Zwecke der Sicherheitsbehörden hortet. Innerhalb des Schwachstellenmanagements soll man sich "immer um die schnellstmögliche Schließung bemühen" . Ebenfalls soll der Staat keine Sicherheitslücken "ankaufen oder offenhalten" .
Damit würde die Ampelkoalition sogar noch über die Vorgaben des Bundesverfassungsgerichts hinaus gehen. Die Karlsruher Richter hatten den Sicherheitsbehörden in einem Urteil vom Juli dieses Jahres erlaubt , "eine Quellen-Telekommunikationsüberwachung mittels einer unbekannten Schutzlücke durchzuführen."
Zur besseren IT-Sicherheit soll laut Koalitionsvertrag die Legalisierung von White-Hat-Hacking beitragen.
White-Hacking soll legal werden
"Das Identifizieren, Melden und Schließen von Sicherheitslücken in einem verantwortlichen Verfahren, z. B. in der IT-Sicherheitsforschung, soll legal durchführbar sein" , heißt es. Das müsste zur Folge haben, dass der sogenannte Hackerparagraf 202c des Strafgesetzbuches modifiziert wird. Die umstrittenen Hackbacks gegen mutmaßliche Akteure von Cyberangriffen lehnt die Koalition "als Mittel der Cyberabwehr grundsätzlich ab" .
Dennoch will auch die Ampel weiterhin Staatstrojaner einsetzen. Zwar soll der Bundespolizei diese Befugnis wieder entzogen werden. Doch das entsprechende Gesetz wurde ohnehin vom Bundesrat gestoppt und ist daher nicht in Kraft getreten. Die Ampel will lediglich die Eingriffsschwellen beim Einsatz staatlicher oder kommerzieller Überwachungssoftware hoch setzen.
Die Vorgaben des Bundesverfassungsgerichts für den Einsatz der Online-Durchsuchung sollen umgesetzt werden. Das erscheint sinnvoll, da ohnehin mehrere Verfassungsbeschwerden zu dieser Problematik laufen. Die Befugnis des Verfassungsschutzes zum Einsatz von Überwachungssoftware werde "im Rahmen der Überwachungsgesamtrechnung überprüft" . Das ist eine sehr schwammige Formulierung.
Gesetzliche Grundlage für Zitis
Für die umstrittene Hackerbehörde Zitis will die Koalition immerhin gesetzliche Grundlagen schaffen und eine lückenlose Kontrolle durch Parlamente und Datenschutzaufsichtsbehörden garantieren. Am eigentlichen Auftrag, der Entwicklung von Überwachungstools, soll offenbar nichts geändert werden.
Der Verzicht auf die Nutzung von Sicherheitslücken erschwert diese Aufgabe. Allerdings gibt es noch andere Möglichkeiten, Spionageprogramme auf Endgeräten zu platzieren. Zudem haben die Behörden solche Instrumente in der Vergangenheit praktisch nie eingesetzt . Daher dürfte sich in der Praxis durch ein konsequentes Schwachstellenmanagement wenig ändern.
Positiv ist der Verzicht auf eine flächendeckende Videoüberwachung und den Einsatz von automatischer Gesichtserkennung zu vermerken.
Vorratsdatenspeicherung nur "anlassbezogen"
"Das Recht auf Anonymität sowohl im öffentlichen Raum als auch im Internet ist zu gewährleisten" , fordert die Koalition. Zudem fordert das Papier, biometrische Erkennung im öffentlichen Raum sowie automatisierte staatliche Scoring Systeme durch KI europarechtlich auszuschließen.
Die Pläne zur Vorratsdatenspeicherung könnten auf eine Art Quick-Freeze-Regelung hinauslaufen. Ein solches Verfahren hatte die damalige Justizministerin Sabine Leutheuser-Schnarrenberger (FDP) schon im Jahr 2010 vorgeschlagen . Allerdings wollte Leutheusser-Schnarrenberger den Richterbeschluss erst bei der Auswertung der Daten und noch nicht bei deren Speicherung, was die Effektivität des Instruments einschränken würde.
Die Ausgestaltung des Gesetzes soll auch vom anstehenden Urteil des Europäischen Gerichtshofs (EuGH) zur Vorratsdatenspeicherung abhängen . Entscheidend ist in diesem Fall, dass die Speicherung nur "anlassbezogen" und damit nicht massenhaft auf Vorrat erfolgen soll.
Login-Falle als Ermittlungsinstrument
Als Alternative will die Koalition mit der sogenannten Login-Falle "grundrechtsschonende und freiheitsorientierte Instrumente schaffen, um die Identifizierung der Täterinnen und Täter zu erreichen" . Wie diese "Falle" funktioniert, hat der SPD-nahe Digitalverein D64 im Juni dieses Jahres beschrieben(öffnet im neuen Fenster) . Demnach sollen die Anbieter auf Anfrage der Behörden aktuelle IP-Adressen übermitteln, um pseudonyme Nutzer identifizieren zu können.
Interessant dürfte werden, welche Ergebnisse die geplante "Überwachungsgesamtrechnung" bringt. Bis Ende 2023 plant die Koalition "eine unabhängige wissenschaftliche Evaluation der Sicherheitsgesetze und ihrer Auswirkungen auf Freiheit und Demokratie im Lichte technischer Entwicklungen" . Eine noch zu gründende Freiheitskommission soll die Politik bei künftigen Sicherheitsgesetzen beraten und Freiheitseinschränkungen evaluieren. Das ist an sich zu begrüßen. Allerdings wird sich zeigen, inwieweit diese Empfehlungen in der Praxis umgesetzt werden.
Uploadfilter werden wieder einmal abgelehnt
Etwas unklar erscheint, was mit der folgenden Formulierung gemeint ist: "Zum Schutz der Informations- und Meinungsfreiheit lehnen wir verpflichtende Uploadfilter ab." Will sich die Ampel damit für die Abschaffung des umstrittenen Artikels 17 der EU-Urheberrechtsrichtlinie einsetzen, der gerade erst im August dieses Jahres in Deutschland in Kraft getreten ist ? Oder hat die SPD diesen Passus aus Versehen aus dem Koalitionsvertrag von 2018 übernommen, in dem es hieß: "Eine Verpflichtung von Plattformen zum Einsatz von Upload-Filtern, um von Nutzern hochgeladene Inhalte nach urheberrechtsverletzenden Inhalten zu 'filtern', lehnen wir als unverhältnismäßig ab." Eingeführt wurden die Uploadfilter dennoch.
Gegen aktuelle Pläne auf EU-Ebene wendet sich folgender Passus: "Allgemeine Überwachungspflichten, Maßnahmen zum Scannen privater Kommunikation und eine Identifizierungspflicht lehnen wir ab." Es muss sich aber noch zeigen, ob die Koalition tatsächlich die geplante Chatkontrolle verhindern kann. Erst vor wenigen Tagen haben die EU-Innenminister die "proaktive" Erkennung und Meldung von Kindesmissbrauch gefordert. Dazu will die EU-Kommission den Anbietern von Mail- und Messengerdiensten dauerhaft die Durchleuchtung von Nutzerinhalten ermöglichen.
Durchgängige Ende-zu-Ende-Verschlüsselung
Gleich an drei Stellen im Vertrag geht die Koalition auf die EU-Pläne zu Regulierung der IT-Konzerne ein, das sogenannte Digitale-Märkte-Gesetz (Digital Marktes Act, DMA). Dazu sollen auch europäisch einheitliche Interoperabilitätsverpflichtungen gehören. Einen entsprechenden Beschluss hat das Europaparlament erst am Dienstag gefasst. "Dabei sollen – basierend auf internationalen technischen Standards – das Kommunikationsgeheimnis, ein hoher Datenschutz und hohe IT-Sicherheit sowie eine durchgängige Ende-zu-Ende-Verschlüsselung sichergestellt werden" , schreibt die Koalition.
Es bleibt zu hoffen, dass die neue Bundesregierung diese Pläne nicht nur in Deutschland, sondern auch auf europäischer Ebene durchzusetzen versucht. Bislang wollte das Bundesinnenministerium von den Anbietern verlangen, die Inhalte zwar weiterhin zu verschlüsseln, den Ermittlern aber dennoch Zugriff auf verschlüsselte Kommunikation zu gewähren. Möglicherweise hat die Ampel jedoch eingesehen, dass diese Quadratur des Verschlüsselungskreises nicht möglich ist .
Insgesamt finden sich in dem Koalitionsvertrag viele gute Ansätze zur IT-Sicherheit. Doch Papier ist bekanntlich geduldig. Der neue Koalitionsvertrag wäre leider nicht der erste, der am Ende seinen Ansprüchen nicht gerecht wird.
- Anzeige Hier geht es zu Hacking & Security: Das umfassende Handbuch bei Amazon Wenn Sie auf diesen Link klicken und darüber einkaufen, erhält Golem eine kleine Provision. Dies ändert nichts am Preis der Artikel.