Trojaner: Wie die Ampel beim Schwachstellenmanagement die Kurve kriegen will

Inhaltsverzeichnis

Das Ampel-Regierungsbündnis hat mit seinem Koalitionsvertrag vor rund zweieinhalb Jahren versprochen, die IT-Sicherheit zu stärken. So heißt es in dem Fahrplan für die nicht mehr allzu lange Legislaturperiode, dass der Staat "keine Sicherheitslücken ankaufen oder offenhalten", sondern sich unter Federführung eines unabhängigeren Bundesamts für Sicherheit in der Informationstechnik (BSI) "immer um die schnellstmögliche Schließung bemühen" soll. Zugleich hat sich die Ampel vorgenommen, die Eingriffsschwellen bei Überwachungssoftware wie Staatstrojanern zu erhöhen und die bestehenden Befugnisse für die Polizei einzuschränken.

Mit diesem angekündigten Paket setzt sich seit Monaten unter anderem eine Arbeitsgruppe aus Innenpolitikern der Koalitionsfraktionen und des Bundesinnenministeriums (BMI) auseinander. Eigentlich sollten in dieser AG BSI bis zum vorigen Herbst konkrete Vorschläge für den Umgang mit IT-Schwachstellen spruchreif werden. Das BMI teilte dazu aber immer nur pauschal mit: Die Meinungsbildung sei zwischen den Ressorts noch nicht abgeschlossen.

Geleakte Zwischenberichte der Arbeitsgruppe zeugten jüngst eher von Stillstand. Beim Schwachstellenmanagement gelte es, neben "Sicherheitsinteressen für deutsche IT-Systeme" auch "Erfordernisse der Strafverfolgung, der Aufklärung der Nachrichtendienste und der Verteidigung" zu betrachten, betont demnach das BMI. Das Ressort präferiert seit Langem, dass Sicherheitsbehörden weiterhin gegebenenfalls Schwachstellen für Überwachungszwecke ausnutzen können. Auch ein neuer Ansatz für das BMI dürfe nicht zu einem "ministerial-freien Raum" führen.

Blockade bei echter IT-Sicherheitspolitik überwinden

Nicht nur aus SPD-Kreisen ist nun aber zu hören, dass Politiker der Ampel mit dem Wechsel an der Spitze der Abteilung Cyber- und Informationssicherheit (CI) im BMI die Hoffnung verbinden, "endlich die Blockaden bei der Weiterentwicklung des IT-Sicherheitsrechts und der IT-Sicherheitsarchitektur zu überwinden". Dazu zähle die Etablierung eines wirksamen Schwachstellenmanagements genauso wie die unabhängigere BSI-Aufstellung. Als Hauptproblem habe sich immer wieder erweisen, dass die Abteilung CI "innere Sicherheit und IT-Sicherheit als Gegensatz" begriffen und "aus vermeintlichem Schutz der inneren Sicherheit an Vorschlägen" festgehalten habe, die die IT-Security und Ende-zu-Ende-Verschlüsselung grundsätzlich in Frage stellten.

Hintergrund ist, dass Innenministerin Nancy Faeser (SPD) vorige Woche den Leiter der CI-Abteilung, Andreas Könen, in den einstweiligen Ruhestand versetzte. Er galt in allgemeinen digitalpolitischen Fragen als kompetent, doch auch als "Mr. Überwachung". Könen war einer der Köpfe etwa hinter der von Ex-Innenminister Horst Seehofer (CSU) vorangetriebenen Cybersicherheitsstrategie der Bundesregierung, die auf digitale Gegenschläge in Form von Hackbacks, auf Exploits sowie den Ausbau der Hackerbehörde Zitis setzt.

Auch die angesichts der aktuellen Herausforderungen so dringend nötige Weiterentwicklung der Cybersicherheitsstrategie müsse jetzt vorankommen, heißt es daher aus der SPD. Die Abteilung CI dürfe nicht länger den Fokus der Cyberabwehr auf Hackbacks verengen, die der Koalitionsvertrag ausdrücklich ausschließt. Die personelle Neuaufstellung müsse jetzt genutzt werden, um die bislang bestehenden Blockaden aufzulösen und die Koalitionsvereinbarung umzusetzen.

Auch Grüne und Liberale drängeln

"Wir haben, auch wenn man inhaltlich nicht immer auf einer Linie lag, stets sehr gut mit Andreas Könen zusammengearbeitet", erklärte Konstantin von Notz, Fraktionsvize der Grünen, gegenüber heise online. Mit Blick auf die "zahlreichen im Koalitionsvertrag verankerten, bisher nicht umgesetzten Vorhaben zur Erhöhung von IT-Sicherheit und der Stärkung gesellschaftlicher Resilienz in Krisenzeiten" erinnert der Innenpolitiker aber daran, "dass jede Umstrukturierung immer auch eine Chance für einen inhaltlichen Neuanfang darstellt".

"Das gegenwärtig praktizierte strategische Offenhalten von Schwachstellen stellt ein eklatantes Sicherheitsrisiko dar", mahnt Maximilian Funke-Kaiser, digitalpolitischer Sprecher der FDP-Bundestagsfraktion. Sicherheitslücken müssten daher geschlossen werden. Der Liberale zeigt sich nun optimistisch, "dass wir in der AG BSI hier schnell eine Lösung finden". Sein innenpolitischer Kollege Manuel Höferlin drängt auf ein Gesamtpaket mit einer weiteren Geheimdienstreform und einer gesetzlichen Grundlage für die Zitis. Bis zum Sommer könnte dieses stehen. Für die künftige Stellung des BSI würden die Ampel-Fraktionen selbst Eckpunkte aufstellen.

Internetwirtschaft: Digitale Bürgerrechte als staatliche Pflicht

"Mit Friederike Dahns, der künftigen Leiterin der Abteilung CI, sollten jetzt die Themen vorangebracht werden, die uns am wichtigsten sind", betont Klaus Landefeld, Vize-Vorsitzender des eco-Verbands der Internetwirtschaft: Dazu gehörten neben den Kernaufgaben der AG BSI auch die Umsetzung des Cyber Resilience Act sowie das lange angekündigte Update des IT-Sicherheitsgesetzes. Die ins Stocken geratene Umsetzung der Cybersicherheitsrichtlinie NIS2 müsse ebenfalls vorankommen. Zudem bräuchten Forderungen wie das von Digitalminister Volker Wissing (FDP) vorangetriebene Recht auf Verschlüsselung "im BMI festen Rückhalt".

"Wir haben große Hoffnung, dass mit der Umstrukturierung im BMI eine Abkehr von der gescheiterten Überwachungspolitik der letzten Jahre erfolgt", unterstreicht Erik Tuchtfeld, Co-Vorsitzender des SPD-nahen Netzpolitik-Vereins D64. Zu lange habe sich das Innenministerium etwa mit dem "Projekt Staatstrojaner" eher bemüht, Schwachstellen für eigene Zwecke offenzuhalten. Auch bei der Vorratsdatenspeicherung müsse die Wende eingeleitet werden. Der einseitige Fokus auf solche grundrechtswidrigen Maßnahmen habe alternative Lösungen verhindert, die Deutschland sicherer machen könnten.

(mho)