So könnte die Regierung gegen Cyber-Kriminalität aufrüsten

Berlin. Investition in Geheimdienste, höhere Strafen, strengere Meldeplicht – wie die künftige Regierung den Cyber-Gefahren begegnen kann.

Burkhard Lischka hält es für „das Megathema der Zukunft“: der Schutz vor Cyberangriffen. „Wir sehen uns bereits jetzt zahlreichen Attacken von Cyberkriminellen ausgesetzt, sind dafür aber noch viel zu wenig gewappnet“, warnt der SPD-Innenpolitiker. Es sei zu befürchten, dass „Angriffe auf Krankenhäuser, Energieinfrastruktur und Logistik weiter zunehmen“. In ihren Sondierungsgesprächen kamen Union und SPD über Binsenwahrheiten („eine erfolgreiche Digitalisierungsstrategie setzt Datensicherheit voraus“) kaum hinaus. Was auf die nächste Bundesregierung zukommen wird:

• „Abwehrzentrum plus“

Das Bundesamt für Sicherheit in der Informationstechnik (BSI), das die Regierung bei IT unterstützt und die Wirtschaft berät, wird gestärkt. Schon 2017 bekam es 180 neue Stellen, insgesamt hat es 840 Mitarbeiter. Das BSI ist das IT-Kompetenzzentrum des Bundes, hier unterhalten Polizei und Geheimdienste zusammen ein Cyberabwehrzentrum. „Wir brauchen eine viel stärkere Bündelung der Zuständigkeiten“, fordert Lischka. Es könne nicht sein, dass mehr als ein Dutzend Landeskriminalämter und Bundesbehörden auf eigene Faust versuchten, einer steigenden Zahl von Hackerangriffen Herr zu werden.

Geplant ist, die Bundesländer stärker einzubeziehen, einen Titel gibt es dafür auch schon: „Abwehrzentrum plus“. Parallel dazu baut der Bund in München mit der Zentralen Stelle für Informationstechnik im Sicherheitsbereich (ZITiS) einen eigenen Zulieferer für die Sicherheitsbehörden auf. ZITiS soll die Software zur Spurensicherung, Überwachung und zur Entschlüsselung entwickeln. Die Behörde hat 30 Mitarbeiter, bis Ende der Legislaturperiode will sie jedes Jahr 100 Experten einstellen.

• „Hack back“

Den Behörden ist es bisher nur möglich, Cyberangriffe zurückzuverfolgen. Künftig sollen sie mehr tun: abgesaugte Daten auf fremden Servern löschen und zum digitalen Gegenschlag („Hack back“) ausholen. Innenminister Thomas de Maizière (CDU) würde notfalls feindliche Server zerstören, für ihn wäre es der digitale „finale Rettungsschuss“. Dafür fehle allerdings die „rechtliche Handhabe“, gibt SPD-Mann Lischka zu bedenken. Eine Grundgesetzänderung erscheine ihm „unabdingbar“. Dazu bräuchte man im Bundesrat die Zustimmung der Länder, deren Polizeien nach Lischkas Ansicht originär zuständig wären.

De Maizière will die Lizenz zum „Hack back“ hingegen für den Bund und spekuliert darauf, dass die Länder sie ihm am Ende schon aus Kostengründen überlassen werden. Aber wer könnte die Aufgabe am besten erledigen, das BSI, die Bundeswehr, die Polizei? Die Geheimdienste rufen „Hier“. Beim BND heißt es: „Wir können das.“ Hans-Georg Maaßen nennt wiederum sein Kölner Bundesamt für Verfassungsschutz eine „nationale Sicherheitsbehörde“. Ein Wink mit dem Zaunpfahl. Über „Hack back“ wird das letzte Wort erst in den Koalitionsverhandlungen fallen.

• Härtere Strafen für Datenklau

Ohnehin sind Strafgesetze und Ermittlungsbefugnisse bisher „nicht hinreichend auf das Zeitalter der Internet- und Computerkriminalität zugeschnitten, wie Sven Rebehn, der Geschäftsführer des Deutschen Richterbundes, sagte. Sicherheitsexperten klagen, auch schwere Cyberdelikte könnten aktuell „kaum härter bestraft werden als ein einfacher Taschendiebstahl“. Rebehn meint, um auch in schwerwiegenden Fällen angemessene Urteile verhängen zu können, „müsste der Gesetzgeber den Strafrahmen vor allem für das Ausspähen von Daten, Datenhehlerei und Computersabotage anheben“. Bislang liegt die Höchststrafe für Datenhehlerei bei drei Jahren.

Die Strafbarkeit ist umstritten, weil auch Journalisten und ihre Informanten, auch sogenannte Whistleblower, betroffen sein könnten. Beim Karlsruher Bundesverfassungsgericht liegt denn auch eine Klage vor, die von mehreren Organisationen unterstützt wird, darunter Reporter ohne Grenzen. Wie Gerichtssprecher Michael Allmendinger unserer Zeitung erklärte, haben die Richter die Bundesregierung, die Landesregierungen und den Datenschutzbeauftragten um eine Stellungnahme gebeten und ihnen dazu eine Frist bis Ende März 2018 gesetzt. Ein Verhandlungs- oder Entscheidungstermin sei derzeit allerdings nicht absehbar.

• Bund muss investieren

Längst sei der digitale Raum, so BND-Chef Bruno Kahl, „zu einem sehr wichtigen Instrument substaatlicher Gruppen geworden. Der ‚Islamistische Staat‘ hat auf diesem Wege mehrere Terroranschläge in Europa gesteuert.“ Nicht nur für Terroristen ist der Cyberraum verlockend. Der Verfassungsschutz hat massive Aktivitäten chinesischer Nachrichtendienste in sozialen Netzwerken festgestellt.

Behördenchef Maaßen fordert, „wir brauchen eine Cybersicherheitsarchitektur 4.0“, man müsse mit der technischen Entwicklung Schritt halten. Das bedeutet mehr Kompetenzen, massive Investitionen. Bereits der letzte Koalitionsvertrag ging von einem Zielwert von zehn Prozent aller IT-Ausgaben der Bundesbehörden allein zur Abwehr von Cyberangriffen aus.

• Die Bringschuld der Wirtschaft

Auch die Anforderungen an die Wirtschaft steigen. Schon die amtierende Bundesregierung plante, mehr Unternehmen als bisher gesetzlich zu verpflichten, den Behörden Cyberangriffe zu melden. Das IT-Sicherheitsgesetz, das 2015 in Kraft trat, sieht Meldepflichten für Betreiber kritischer Infrastruktur vor. Seither sind rund 34 Attacken gemeldet worden. Nun wird erwogen, mehr Branchen einzubeziehen, konkret die Auto- und Chemieindustrie. In Unionskreisen heißt es, das Vorhaben habe „höchste“ Priorität.

Um sicherheitsrelevante Schlüsseltechnologien besser vor einem Ausverkauf zu schützen, wird auch erwogen, Investitionen von Drittstaaten zu stoppen. Dazu müsste das Außenwirtschaftsgesetz geändert werden. Das Problem ist, dass Drittstaaten deutsche IT-Sicherheitschampions aufkaufen, während in der EU zu wenig investiert wird. Hinter den Kulissen ist drastisch von einem Marktversagen bei der digitalen Sicherheit die Rede. Der Präsident des Branchenverbandes Bitkom, Achim Berg, sagte unserer Zeitung, es sei wichtig, dass es in Deutschland Unternehmen gibt, die über großes Know-how in den Bereichen IT-Sicherheit und Verschlüsselung verfügten. Der Staat habe nach seiner Ansicht allerdings schon die Handhabe, „bei besonders sicherheitskritischen Unternehmensübernahmen zu intervenieren“. Die Politik, kritisiert Berg, mache von diesen Möglichkeiten allerdings „sehr sparsam Gebrauch“.