Original-URL des Artikels: https://www.golem.de/news/bsi-lagebericht-2016-de-maiziere-lehnt-praeventivbefugnis-fuer-hackbacks-ab-1711-131036.html    Veröffentlicht: 08.11.2017 14:15    Kurz-URL: https://glm.io/131036

BSI-Lagebericht 2016

De Maizière lehnt Präventivbefugnis für Hackbacks ab

Die künftige Bundesregierung könnte deutschen Behörden die Erlaubnis für Gegenangriffe im Internet erteilen. Doch die potenziellen Koalitionspartner Grüne und FDP könnten sich querstellen.

Nach Ansicht von Bundesinnenminister Thomas de Maizière sollten deutsche Behörden nur bei großen Gefahren für die Landessicherheit und kritische Infrastrukturen aktiv gegen Hacker zurückschlagen. Eine allgemeine Präventivbefugnis halte er für "unverhältnismäßig und nicht richtig", sagte der CDU-Politiker am Mittwoch bei der Vorstellung des diesjährigen Lageberichts des Bundesamtes für Sicherheit in der Informationstechnik (BSI) (PDF).

Der Minister fügte hinzu: "Aber zur Abwehr einer unmittelbar bevorstehenden erheblichen Gefahr, für die Sicherheit der Bundesrepublik Deutschland oder zentraler kritischer Infrastrukturen, und vor allem für die Verhütung weiterer Schäden bei laufenden Angriffen, die diese erhebliche Gefahr bedeuten, halte ich es für richtig und verhältnismäßig, diesen Angriff vor Ort zu beenden."

Keine Einigung mit Grünen und FDP

Die bisherige Bundesregierung lässt seit einiger Zeit die Notwendigkeit und Möglichkeit einer Rechtsgrundlage für solche Gegenangriffe prüfen. Dabei geht es neben völkerrechtlichen Aspekten auch um die Frage, welche Behörde mit dem Auftrag ausgestattet werden soll. Möglicherweise wäre eine Grundgesetzänderung erforderlich, um einer Bundesbehörde die Gefahrenabwehr übertragen zu können. Die Prüfung ist laut de Maizière noch nicht abgeschlossen.

Anders als in der großen Koalition mit der SPD gibt es bei der Union und ihren potenziellen Partnern einer sogenannten Jamaika-Koalition, Grünen und FDP, noch keinen Konsens für eine solche Befugnis. "Da sind wir nicht einig", räumte de Maizière ein und fügte hinzu: "Wir haben in den Sondierung darüber ein erstes Gespräch geführt und noch keine Einigung erzielt. Das wird sicher weiterer Gespräche bedürfen. Dabei geht es aber dann auch nicht nur um das Ob, sondern auch um das Wie. Und das wird dann die neue Bundesregierung sicher zu entscheiden haben."

De Maizière: Großangriff nicht erst abwarten

Bisher haben sich die CDU, CSU, Grüne und Liberale in den Sondierungsgesprächen lediglich darauf verständigt, "eine bundesweit einheitliche Abwehr von Gefahren und Angriffen aus dem Cyberraum" anzustreben. Zudem wollen die Verhandlungspartner "so schnell wie möglich zusätzliche Stellen für die polizeilichen Sicherheitsbehörden von Bund und Ländern sowie für das BSI schaffen."

Der Innenminister hofft jedoch darauf, dass die Fähigkeiten zum digitalen Gegenangriff bewilligt sind, bevor es tatsächlich zu einer schwerwiegenden Cyberattacke kommt. "Ich hoffe jedenfalls nicht, dass wir eine solche Entscheidung erst fällen, wenn wir Gegenstand eines großflächigen Angriffs geworden sind, dessen weitere Ausbreitung wir nicht verhindern können. Dann, vermute ich, wird es sehr schnell einen Konsens geben", sagte de Maizière. Seiner Ansicht nach hängt sehr viel "von der genauen Beschreibung der Sachverhalte und der Notwendigkeiten ab." Wenn die Zeit für eine Einigung zu knapp sei, müsse man sich später darum kümmern.

IT-Sicherheitsgesetz soll ausgedehnt werden

Eine Präferenz für eine bestimmte Behörde wollte der Minister nicht nennen. "Jede Entscheidung für eine Behörde wirft Fragen auf. Es ist eine Abwägungsentscheidung", sagte der CDU-Politiker. Infrage kommen neben dem Bundesnachrichtendienst (BND) der Verfassungsschutz, das Bundeskriminalamt (BKA) oder das BSI. Dort ist heute bereits das sogenannte Cyber-Abwehrzentrum angesiedelt, das in jedem Fall ausgebaut und eine zentrale Rolle bei der Abwehr von Angriffen spielen soll.

Nach Ansicht de Maizières sollten nicht "fünf oder sechs Behörden" die Fähigkeit für aktive Cyberabwehr bekommen. "So viele Leute, die so was können, können wir gar nicht in verschiedenen Behörden auftreiben. Also muss es eine Behörde sein, oder ein Zusammenwirken von Behörden", sagte er weiter.

Bislang 34 Vorfälle gemeldet

Der Minister kündigte bei der Vorstellung des BSI-Berichts zudem an, dass die Anforderungen des IT-Sicherheitsgesetzes auf weitere Einrichtungen wie Krankenhäuser angewandt werden sollten. Zwar sei in den Sondierungsverhandlungen noch nicht darüber gesprochen worden, doch hätten verschiedene Krankenhäuser selbst darauf gedrängt, als besonders schützenswerte kritische Infrastruktur eingeschätzt zu werden.

Dem Lagebericht zufolge sind seit Einführung der Meldepflicht bis 30. Juni 2017 34 Meldungen beim BSI eingegangen. Davon fielen 18 in den Sektor Informationstechnik und Telekommunikation, elf in den Sektor Energie, drei in den Sektor Wasser und zwei in den Sektor Ernährung. Häufig hätten menschliche Fehler wie beispielsweise falsche Konfigurationen zu einer IT-Störung geführt. Weitere häufige Ursachen seien Hardwaredefekte oder fehlerhafte Software durch fehlerhafte Updates. BSI-Chef Arne Schönbohm geht davon aus, dass von den betroffenen Firmen keine Meldungen bewusst zurückgehalten werden.  (fg)


Verwandte Artikel:
Bundeshack: Hack auf Bundesregierung erfolgte über Lernplattform Ilias   
(08.03.2018, https://glm.io/133227 )
APT28: Behörden untersuchen Angriff auf Regierungsnetzwerk   
(28.02.2018, https://glm.io/133063 )
Spionage: Angriff auf Bundesregierung dauert noch an   
(01.03.2018, https://glm.io/133075 )
Mögliche Jamaika-Koalition: Behörden sollen kritische Sicherheitslücken künftig melden   
(17.11.2017, https://glm.io/131198 )
Arne Schönbohm: BSI-Chef will digitalisierte Wahlen   
(12.09.2017, https://glm.io/130008 )

© 1997–2019 Golem.de, https://www.golem.de/