Anhörung zur Stärkung der IT-Sicherheit
Berlin: (hib/STO) Um Anträge der FDP-Fraktion sowie der Fraktionen Die Linke und Bündnis 90/Die Grünen zur Stärkung der IT-Sicherheit geht es am Montag, 8. April 2019, in einer Anhörung des Ausschusses für Inneres und Heimat. Zu der öffentlichen Veranstaltung, die um 14 Uhr im Paul-Löbe-Haus (Raum 4.900) beginnt, werden sieben Sachverständige erwartet. Interessierte Zuhörer werden gebeten, sich mit Namen und Geburtsdatum bis zum 4. April beim Ausschuss anzumelden (innenausschuss@bundestag.de).
Die FDP-Fraktion macht sich in ihrem Antrag (19/7698) für einen Maßnahmenkatalog zur Stärkung der IT-Sicherheit stark. So fordert sie, das Bundesamt für Sicherheit in der Informationstechnik (BSI) aus der Zuständigkeit des Bundesinnenministeriums herauszulösen und als „zentrale Stelle für Fragen der IT-Sicherheit in der Informationsgesellschaft“ weiter zu etablieren. Das Nationale Cyberabwehrzentrum (NCAZ) beim BSI soll nach dem Willen der FDP-Fraktion auf eine gesetzliche Grundlage gestellt und der Nationale Cyber-Sicherheitsrat „in die dritte Säule des neu zu schaffenden Digitalministeriums eingegliedert werden“. Zudem soll sich laut Vorlage eine neu einzusetzende Föderalismus-Kommission III auch mit der Frage der Zusammenarbeit zwischen Bund und Ländern im Bereich der IT-Sicherheit beschäftigen.
„Die Bundesregierung soll die Bedenken zur Attributionsproblematik sowie den Gefahren und den möglichen Folgen von Hack Backs ernstnehmen“ und die weitere Prüfung zur Schaffung einer rechtlichen Grundlage für Hack Backs umgehend einstellen, heißt es in der Vorlage weiter. Stattdessen solle sie ihre Bemühungen „auf effiziente Schutz- und Verteidigungssysteme konzentrieren“.
Die Fraktion Die Linke dringt in ihrem Antrag (19/7705) auf eine „Umsetzung effektiver Maßnahmen für digitale Sicherheit“. Von der Bundesregierung fordert sie darin die Vorlage eines Gesetzentwurfs, um das BSI in eine eigenständige Behörde umzuwandeln, „die aus der Zuständigkeit des Bundesministeriums des Innern zu entlassen und deren Kernaufgabe die Erhöhung der digitalen Sicherheit für alle ist“. Ferner soll die Bundesregierung laut Vorlage einen Gesetzentwurf vorzulegen, um eine generelle Meldepflicht für Sicherheitslücken einzuführen.
Auch wird die Bundesregierung in dem Antrag aufgefordert, „den Einsatz von Staatstrojanern zu unterbinden und Sicherheitslücken wie Backdoors oder Zero-Day-Exploits weder zu nutzen noch anzuschaffen“, den Export von Überwachungssoftware zu verbieten, sogenannte „Hackbacks“ durch staatliche Institutionen auszuschließen sowie „die deutsche Cyber-Sicherheitsstrategie strikt zivil, unter Ausschluss von Militär und Geheimdiensten auszurichten“.
Auch nach dem Antrag der Grünen-Fraktion (19/1328) soll die Bundesregierung ein umfangreiches Maßnahmenpaket zur Stärkung der IT-Sicherheit umsetzen. ,So soll die Regierung nach dem Willen der Fraktion „schnellstmöglich ein neues IT-Sicherheitsgesetz vorlegen“, das mehr als nur die bisher berücksichtigte kritische Infrastruktur umfassen und auch öffentliche Stellen einbeziehen soll. Die Verantwortung für IT-Sicherheit müsse aus dem Bundesinnenministerium herausgelöst werden, „um den effektiven Grundrechtsschutz zu stärken“.
Das BSI soll der Vorlage zufolge „zumindest im Rahmen seiner Aufgaben gegenüber Wirtschaft und Zivilgesellschaft“ unabhängig gestellt und in seiner Beratungsfunktion gegenüber und Bürgern wie Unternehmen gestärkt werden. Zudem brauche das „Cyberabwehrzentrum“ der Bundesbehörden „hinreichend bestimmte Regelungen bezüglich seiner konkreten Aufgaben und der Zusammenarbeit der beteiligten Behörden“. Zudem muss nach Auffassung der Grünen-Fraktion insbesondere bei der Strafverfolgung, der Gefahrenabwehr und Gefahrenbeobachtung auf IT-Sicherheit gefährdende Maßnahmen verzichtet werden.
„Hierzu gehören unter anderem offensive Operationen und sogenannte ,Hack backs', der staatliche Ankauf, das Offenhalten und die Nutzung von bislang nicht öffentlich bekannten Sicherheitslücken (,Zero-DayExploits') und Überlegungen einer gesetzlichen Verpflichtung für Unternehmen, Hintertüren in Hard- und Software zu verbauen“, heißt es in der Vorlage weiter. Die behördliche Ausnutzung von Schwachstellen dürfe nur auf hinreichend konkreter gesetzlicher Grundlage und in einem rechtsstaatskonformen Verfahren erfolgen.