SPD-MdB Esken zum digitalen Immunsystem

Digitale Transformation verlangt kollektiven Dauerlauf

| Autor / Redakteur: Joachim Jakobs / Peter Schmitz

Die digitale Transformation in Wirtschaft, Staat und Gesellschaft geht immer schneller voran, die Sicherheit bleibt dabei oft auf der Strecke. Jetzt fordern Politiker ein „digitales Immunsystem“.
Die digitale Transformation in Wirtschaft, Staat und Gesellschaft geht immer schneller voran, die Sicherheit bleibt dabei oft auf der Strecke. Jetzt fordern Politiker ein „digitales Immunsystem“. (Bild: gemeinfrei / Pixabay)

Die digitale Transformation von Staat und Wirtschaft ist eine Herausforderung: Es geht nicht allein um das Übertragen analoger Prozesse ins Virtuelle, sondern zusätzlich müssen auch Datenschutz und -sicherheit mitbedacht werden. Die SPD-Bundestags­abgeordnete Saskia Esken äußert sich im Interview mit Security-Insider zum Vorschlag nach einem „digitalen Immunsystem“ ihrer Fraktion.

Die Technische Entwicklung spaltet die Menschheit in Angegriffene und Angreifer: Nicht einmal die Chefs verschlüsseln ihre Kommunikation, die Qualität von Passwörtern scheint verbesserungsbedürftig zu sein.

Umgekehrt die Angreifer: Mit (krimineller) künstliche Intelligenz könnten Stimmen „kopiert“ und damit die Angriffsqualität – etwa beim Identitätsdiebstahl – deutlich erhöht werden. Der Angerufene könnte künftig nicht einmal mehr sicher sein, ob sein Vertrauter an der Strippe ist. Genauso ermöglicht das breitbandige „Internet der Dinge“ ein exponentielles Wachstum der Angriffe, denen künftig auch die Nutzer von Herzschrittmachern oder vernetzter Fahrzeuge zum Opfer fallen könnten. Zwischen 2015 und 2021 sollen sich die Schäden durch Cyberkriminalität auf 6 Billionen US-Dollar verdoppeln. Die SPD-Bundestagsfraktion schlägt jetzt ein „digitales Immunsystem“ (pdf) vor. Eine der Autorinnen, die SPD-Abgeordnete und stellvertretende Sprecherin der Arbeitsgruppe Digitale Agenda Saskia Esken, stellt sich unseren Fragen.

Warum klappt das mit der Datensicherheit nicht?

Saskia Esken: Leider wird die IT-Sicherheit von Systemen und Verfahren immer noch nicht in der Architektur gedacht wird, sondern viel zu oft erst am Ende oder gar, wenn etwas passiert ist. Das hat damit zu tun, dass Sicherheit immer noch nicht als positiver Wert zählt – wir sind kaum bereit, für Sicherheit mehr zu bezahlen und empören uns dennoch über die Unsicherheit dieser Welt.

Das Bemühen der Politik um IT-Sicherheit umfasst daher die Verpflichtung von Anwendern, fundamentale Regeln zu beachten (IT-Grundschutz), aber auch Angriffe zu melden, zum einen, damit darauf reagiert und andere gewarnt und geschützt werden können, zum anderen damit die IT-Sicherheitstechnik aus den Angriffs­mustern und Vorgehensweisen lernen und sich verbessern kann.

Durch eine Ausweitung der KRITIS-Bereiche soll die Seite der Anwender mehr in die Pflicht genommen werden, durch IT-Sicherheitskennzeichen und eine klare Definition von Haftungs­regeln die IT-Sicherheit als Qualitätsmerkmal gestärkt werden.

Saskia Esken ist Abgeordnete der SPD im Deutschen Bundestag und stellvertretende Sprecherin der Arbeitsgruppe Digitale Agenda.
Saskia Esken ist Abgeordnete der SPD im Deutschen Bundestag und stellvertretende Sprecherin der Arbeitsgruppe Digitale Agenda. (Bild: Benno Kraehahn)

Bei alledem dürfen Politik und Staat nicht janusköpfig agieren und von Bürgern und Unternehmen maximale Bemühungen für IT-Sicherheit fordern, während man selbst im Sinne einer falsch verstandenen Sicherheit Verschlüsselung bekämpft, Schwachstellen offenhält und für eigene Zwecke nutzt und in staatlichen oder halbstaatlichen Institutionen Angriffswerkzeuge und Cyberwaffen entwickelt und damit die IT-Sicherheit von uns allen gefährdet.

Die SPD Bundestagsfraktion verlangt nach einem „digitalen Immunsystem“ – wer soll zum Impfen verpflichtet werden?

Saskia Esken: Wir wollen die Nutzer und Nutzerinnen informieren und motivieren, IT-sichere Produkte und Vorgehensweisen anzuwenden – sichere Passwörter, Multi-Faktor-Authentifizierung, Verschlüsselung, während die Anbieter von IT-Dienstleistungen verpflichtet werden sollen, diese Verfahren anzubieten. Damit Verbrauchern und Unternehmen schnell geholfen werden kann, braucht es schlagkräftige Strukturen und fachliche Expertise bei den Behörden, die wir durch Organisation und Personalaufbau, aber auch durch die Förderung von Forschung und Qualifizierung unterstützen können.

Wir wollen in diesem Zusammenhang die Arbeit der Behörden wesentlich verbessern, sowohl auf der Seite der Koordination beim Cyber-Abwehrzentrum, also auch auf der Seite der Ermittlung, Forensik und Strafverfolgung. Das BSI wollen wir zur zentralen, schlagkräftigen Behörde für IT-Sicherheit ausbauen, die Nutzer und Unternehmen berät, aber eben auch die Arbeit der Sicherheitsbehörden orchestriert. Mit jedem Aufgabenaufwuchs wächst aber auch die Notwendigkeit, das BSI unabhängig von der Aufsicht des BMI zu stellen, was die SPD schon seit langem fordert.

Die nach Datenschutzgrundverordnung (DSGVO) verlangt de facto nach „Sicherheit 4.0“. Fordert die SPD mit ihrem Immunsystem medienwirksam das Einhalten bestehender Gesetze oder wo sehen Sie den Unterschied zur bereits vorhandenen Rechtslage?

Esken: Wie oft müssen wir feststellen, dass Gesetze wegen mangelnder Rechtsdurchsetzung nicht beachtet werden! Insofern finde ich die Forderung nach der Durchsetzung einigermaßen neuer gesetzlicher Pflichten nicht so abwegig. Die genannten Pflichten gelten für den Umgang mit personenbezogenen Daten, und dazu kommt eine Meldepflicht bei Daten-„pannen“, die auch diejenigen Institutionen betrifft, die nicht Teil der kritischen Infrastruktur sind. Zuständig sind die Aufsichtsbehörden für den Datenschutz, und ich stelle sehr infrage, ob das schon bei allen angekommen ist. Zum einen müssen die Datenschutzaufsichtsbehörden weiter gestärkt werden, zum anderen müssen sie in die Cybersicherheits-Architektur des Bundes und der Länder eingebunden werden.

Privatpersonen sind übrigens von diesen Pflichten nicht betroffen und tragen dennoch eine hohe Verantwortung nicht nur für die Sicherheit der eigenen personenbezogenen Daten, sondern auch für die ihrer Freunde und Kontakte. Da müssen wir noch viel Sensibilisierung leisten, wenn wir den Handel mit Kontaktdaten eindämmen wollen.

In dem Positionspapier nehmen Sie Bezug auf die Veröffentlichung von Personenprofilen hunderter Politiker zur Jahreswende 2019. Wieso wird die SPD erst aktiv, wenn massenhaft Prominente aus den eigenen Reihen zu den Betroffenen zählen?

Esken: Die SPD beschäftigt sich seit jeher mit der Situation und notwendigen Regeln im Zusammenhang mit der IT-Sicherheit. Zuletzt hatten wir im Sommer 2018 ein Positionspapier zu „Vertrauen und Sicherheit in der digitalen Gesellschaft“ erarbeitet, in dem u.a. eine strikt defensive Ausrichtung der Cybersicherheits-Strategie des Bundes gefordert wird. Davor hat die SPD schon in der vergangenen Legislatur als erste Bundestagsfraktion eine Position zu Gütesiegeln und Produkthaftung im Zusammenhang mit der IT-Sicherheit vorgelegt.

Ich lasse mir den Vorwurf aber gerne gefallen, dass wir den aktuellen Anlass genutzt haben, auf den fehlenden und notwendigen Schutz digitaler Identitäten und persönlicher Daten hinzuweisen. Uns ist vollkommen klar, dass der von uns beklagte fehlende Schutz nicht nur Abgeordnete, sondern alle Nutzer von IT-Dienstleistungen betrifft, und deshalb haben wir auch keine Maßnahmen zu unserem, sondern Maßnahmen zum Schutz aller Bürgerinnen und Bürger gefordert.

Auch das für IT-Sicherheit zuständige Ministerium ebenso wie die Innenministerkonferenz haben die aktuelle Situation genutzt, um das ohnehin bereits angekündigte IT-Sicherheitsgesetz 2.0 mit einigen Weiterungen zu überladen, die allerdings mit der Sicherheit von digitalen Identitäten nichts zu tun haben und im Übrigen weit übers Ziel hinausschießen. So ist die Haftung der Anbieter von internetbasierten Leistungen, die für kriminelle Handlungen missbraucht werden könnte, durch nichts und erst recht nicht durch den aktuellen Doxing-Fall zu rechtfertigen.

Der Schutz der Anonymität im Netz ist für viele Menschen existenziell, zum Beispiel für Journalisten, die sich mit den Mächtigen dieser Welt anlegen. Die Verpflichtung zur Herausgabe von Zugangsdaten zu digitalen Identitäten ist so abwegig, dass der Entwurf des Innenministers schon gleich die Einschränkung enthält, die damit erlangten Erkenntnisse dürften nicht gegen den Betroffenen verwendet werden – das lässt tief blicken. Und auch die erkanntermaßen notwendige Verbesserung der Zusammenarbeit der Sicherheitsbehörden bei cyberkriminellen Vorfällen bietet in keiner Weise eine Begründung zur Aufweichung des Trennungsgebots von Polizei und Geheimdiensten.

Außerdem verweisen Sie auf das 2008 vom Bundesverfassungsgericht geschaffene IT-Grundrecht. Der Gesetzgeber benötigt also elf Jahre, um überhaupt einmal mit der Meinungsbildung darüber zu beginnen, wie ein Grundrecht umzusetzen ist. Gestehen Sie Ihren Dienstleistern genauso viel Zeit beim Beachten von Gesetzen zu?

Esken: Die Würde des Menschen sei unantastbar, sagt das Grundgesetz, und dennoch ist sie nicht immer gewahrt. Und wie steht es mit der Gleichberechtigung? Dem Verbot von Diskriminierung? Grundrechte sind keine Gesetze, sondern sie müssen durch politisches Handeln und Rechtssetzungen weitest möglich gewahrt und umgesetzt werden.

Das vom Bundesverfassungsgericht geschaffene IT-Grundrecht wurde zunächst einmal gegenüber dem Staat postuliert, und da geht es um die Unverletzlichkeit der IT, so wie die Wohnung unverletzlich ist. Beide Hürden dürfen vom Staat nur mit richterlicher Genehmigung gebrochen werden. Ein privater, krimineller Einbruch in die Wohnung ist natürlich auch verboten, aber wie viel der Staat abseits vom Strafrecht unternimmt, um Einbrüche zu verhindern, das steht auf einem anderen Blatt.

Und ähnlich wie der Staat eben auch den Einbau sicherer Türen und Fenster fördern, aber auch erlauben kann, dass sie als Grundlage von Versicherungsleistungen gefordert werden, so kann er eben auch Maßnahmen ergreifen, um die Sicherheit der digitalen Identität der Bürgerinnen und Bürger zu verbessern. Es ist unsere Aufgabe als Politik, die Wahrung der Grundrechte durch staatliches und gesetzgeberisches Handeln immer wieder zu stärken.

Ist Deutschland in der Lage, die digitale Transformation zu bewältigen?

Esken: Die digitale Transformation ist nicht nur technologisch, sondern vor allem auch kulturell und gesellschaftlich eine wahre Herausforderung und im Übrigen ein dauerhafter Prozess der steten Veränderung, der insofern gar nicht abschließend bewältigt werden kann. Da gelingt es nicht nur in der Politik nur mit Mühen, Schritt zu halten. Die regelmäßige Evaluation und Weiterentwicklung von Gesetzen und ihre Durchnummerierung wie zum Beispiel beim IT-SiG 2.0 sind Zeichen dafür, dass die Politik das verstanden hat. Auch an der Vielfalt der Gremien, die sich mit Zukunftsfragen beschäftigen wie der Datenethikkommission und dem Digitalrat der Bundesregierung oder der Enquetekommission Künstliche Intelligenz des Bundestags ist zu erkennen, dass die Herausforderungen aufseiten der Politik erkannt sind.

Insgesamt machen uns die politische Kultur in Deutschland, aber auch ihre föderale Struktur eher zum Bedenkenträger als zum Vorreiter. Das empfinden viele als Problem. Ich habe aber den Eindruck, dass viele unserer Bedenken, gerade zum Beispiel in Bezug auf Datenschutz, Privatheit und IT-Sicherheit, aber auch in Bezug auf Bürger-, Verbraucher- und Arbeitnehmerrechte sich im Lauf der Zeit als Vorteil erweisen werden. Schon heute wird die in Deutschland oft als Bürokratiemonster kritisierte Datenschutzgrundverordnung der EU in aller Welt vielerorts als Vorbild und als möglicher Standard wahrgenommen. Ähnliches gilt für die NIS-Richtlinie, das Gegenstück zum IT-Sicherheitsgesetz.

Wer hat jetzt was zu tun?

Esken: Die Fortschreibung der Digitalen Agenda der Bundesregierung, die jetzt „Umsetzungsstrategie“ heißt, enthält alle wichtigen „digitalen“ Vorhaben des Koalitionsvertrags. Das geht vom Ausbau des schnellen Internet-Zugangs über die grundlegende Digitalisierung der Verwaltungsdienstleistungen unter dem Stichwort OZG, dem Nationalen Aktionsplan für Open Government, dem Digitalpakt zur zeitgemäßen technischen Ausstattung unserer Schulen und der Nationalen Weiterbildungsstrategie und vielem, vielem anderen bis zur Weiterentwicklung des IT-Sicherheitsgesetzes.

Es kommt jetzt darauf an, die genannten Projekte umzusetzen und die Empfehlungen des Digitalrats, der Datenethik-Kommission und der Enquete-Kommission Künstliche Intelligenz des Bundestags ebenso wie die weiteren Impulse von europäischer und internationaler Ebene und aus der technologischen und gesellschaftlichen Entwicklung in die weitere Entwicklung einzubeziehen.

Immer mehr kommt es dabei auf die gute Koordination der Regierungsarbeit und auf die Steuerung des Digitalkabinetts an, insofern liegt eine große Verantwortung im Kanzleramt. Wir sehen mit Sorge, dass dieser Verantwortung auf Regierungsseite keinerlei parlamentarische Begleitung gegenübergestellt ist und fordern die Bundesregierung auf, sich mit ihrer digitalen Strategie der Beratung und kritischen Begleitung im Ausschuss Digitale Agenda zu stellen.

Dieser Beitrag erschien zuerst in unserem Schwesterportal Security-Insider.

Kommentar zu diesem Artikel abgeben

Schreiben Sie uns hier Ihre Meinung ...
(nicht registrierter User)

Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
Kommentar abschicken
copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Kontaktieren Sie uns über: support.vogel.de/ (ID: 45897613 / Projekte & Initiativen)