Peter Welchering: Weil sie sich viel vorgenommen haben, aber im wesentlichen Wortwolken vorgestellt haben. Die Bundesregierung will Deutschland zum IT-Wirtschaftsstandort Nr. 1 machen, aber wie, das verrät sie uns nicht, zumindest nicht in dieser digitalen Agenda. Denn da bleibt sie so allgemein, dass sie sogar hinter den Forderungen des Koalitionsvertrages in Sachen Digitalisierung zurückbleibt.
Manfred Kloiber: Ganz konkret sollen aber doch bei den Bundesbehörden neue Stellen im Rahmen der Digitalen Agenda geschaffen werden.
Welchering: Die gehen auf das Konto des IT-Sicherheitsgesetzes. Aber das Sicherheitsgesetz ist ja ein wesentlicher Eckpfeiler der digitalen Agenda. Das BKA bekommt 108 zusätzliche Stellen und größere Zuständigkeiten. Die können künftig immer dann die Ermittlungen an sich ziehen, wenn „sicherheitsrelevante Einrichtungen" von Cyberattacken betroffen sind. Das BfV kriegt 55 neue Stellen und soll sich auch stärker um Wirtschaftsspionage kümmern. Und das Bundesamt für Sicherheit in der Informationstechnik erhält 133 neue Stellen. Der Stellenzuwachs für das BSI ist deshalb in die Kritik geraten, weil damit das strukturelle Problem des BSI nicht gelöst wird: Es bleibt unter der Obhut des Innenministeriums und wir nicht unabhängig. Diese Unabhängigkeit bräuchte es aber, um auf Cybergefahren angemessen reagieren zu können.
Kloiber: Zwischenfrage: Aber da dürfte doch die Meldepflicht von Cyberattacken dem BSI bei dieser Aufgabe helfen.
Welchering: Kaum, und das sagen auch BSI-Mitarbeiter. Aber die sagen das nicht laut, weil sie ja direkt dem BMI unterstehen. Die hätten ihre Bedenken gegen die Meldepflicht von Cyberattacken vermutlich laut geäußert, wenn das BSI eine unabhängige Behörde wie der Bundesrechnungshof wäre.
Kloiber: Was spricht denn gegen diese Meldepflicht?
Welchering: Zum einen ist diese Meldepflicht anonym, zum anderen: Sie packt das Übel nicht an der Wurzel. Gemeldet werden muss: Ich bin angegriffen worden. Das ist fein für die Statistik, hilft aber in Sachen Sicherheit nicht weiter. Da würde nur eine Meldepflicht für Sicherheitslücken weiterhelfen. Jeder Cyberangriff beruht auf einer Sicherheitslücke, die er ausnutzt. Das sind Programmierfehler, falsche Verweise auf Speicherstellen. Pro 1000 Zeilen Programmcode für eine Software gehen die Experten von bis zu 30 Fehlern und somit Sicherheitslücken aus. Ein Betriebssystem hat 700 bis 800 Millionen Programmzeilen, also viele Fehler, viele Sicherheitslücken. Nur wenn diese Sicherheitslücken konsequent gemeldet, also öffentlich gemacht werden müssten, damit sie gleich geschlossen und unschädlich gemacht werden können. Dann würde mehr Sicherheit geschaffen. Aber das IT- Sicherheitsgesetz sieht gerade keine Meldepflicht für Sicherheitslücken vor.
Kloiber: Und wie kam es dazu? In die Meldepflicht für Cyberattacken hätte man doch gut die Pflicht mit aufnehmen können, Sicherheitslücken öffentlich zu machen und so schließen zu lassen.
Welchering: Das mögen die Sicherheitsbehörden nicht. Denn der vor einer Woche neu vorgestellte BKA- Bundestrojaner für die Online-Durchsuchung, die BND-Spähsoftware, die Überwachungssoftware der Verfassungsschützer – diese gesamte Schadsoftware beruht ja auf genau solchen Sicherheitslücken. Eine Meldepflicht für Sicherheitslücken würde die IT-Welt zwar sicherer machen, aber den Sicherheitsbehörden eben den Ausspäh-Job erschweren.
Kloiber: In der Regierungspressekonferenz am Mittwoch, auf der die digitale Agenda vorgestellt wurde, ist auch von größerer Dynamik für die Digitalwirtschaft gesprochen worden. Gibt es da konkrete Maßnahmen?
Welchering: Die einzige, die ich da erkennen kann, ist die Zertifizierungspflicht für Unternehmen, die sog. kritische Infrastruktur betrieben, also Energieversorger, Banken, Bundesbahn, Betriebe des öffentlichen Nahverkehrs, Rechenzentren, die für die Versorgung wichtig sind, Raffinerien, Wasserwerke usw. Solche Betreibe müssen sich alle zwei Jahre zertifizieren lassen. Da muss also alle zwei Jahre eine Sicherheitsüberprüfung stattfinden. Und die dürfen nur bestimmte – letztlich von den Bundesbehörden – zertifizierte Experten vornehmen. Das ist als ABM für nicht ganz so fitte ehemalige Mitarbeiter von Sicherheitsbehörden bezeichnet worden.
Kloiber: Gibt es Themen, die die IT-Experten gerade umtreiben, aber in der digitalen Agenda fehlen?
Welchering: Netzneutralität, Urheberrecht im digitalen Zeitalter, OpenData und Informationsfreiheit und Überwachung fehlen. Überwachung – bezeichnete de Mazière in der Regierungs-PK als ehrenhafte Sache.
