Schutz vor Cyber-Angriffen So sieht sinnvolle IT-Sicherheit aus

Betrug beim Onlinebanking, ein Angriff auf den Bundestag, ein gehacktes Seitensprungportal: Angesichts solcher Fälle braucht der Staat kluge Strategien, um die IT-Sicherheit zu verbessern - zum Beispiel eine Versicherung à la Kfz-Haftpflicht.

Ein Gastbeitrag von Thomas Wischmeyer

Dieser Tage hat es wieder eines der vermeintlich sicheren Datensysteme erwischt. Hackern gelang es, die komplexen Sicherheitsschranken der Deutschen Telekom für das Online-Banking per SMS-Tan zu umgehen. Viele Millionen Bankkunden nutzen dieses Verfahren. Bislang ist unklar, wie hoch der Schaden ist und wer die Täter sind.

Die Telekom ist nur der neueste Fall. Im Wochentakt wurde zuletzt über große Datenlecks berichtet: der Angriff auf den Fernsehsender TV 5 Monde, der Diebstahl beim Seitensprungportal Ashley Madison. Im Sommer waren die Rechner des Bundestages infolge eines Hackerangriffs vier Tage lang offline. Auch jene, die selber überwachen, konnten ihr eigenes Netz nicht vor Eindringlingen schützen. Beim Einbruch in das Netz der amerikanischen Bundesverwaltung wurden fast sechs Millionen Fingerabdrücke erbeutet, darunter wohl auch solche von Geheimagenten.

Je umfassender wir unsere Lebenswelt digitalisieren, desto verwundbarer werden wir: Unsere E-Mails lagern online, wir senden die Nummern unserer Kreditkarten elektronisch. Wir geben die Steuererklärung digital ab und tauschen sensible Gesundheitsinformationen über das Netz. Stromleitungen, Wasserwerke und eben auch die Institutionen der Demokratie hängen am Internet. Damit diese Daten sicher sind, reicht es nicht , dass jene, die sie speichern, unsere Privatsphäre achten. Ohne effektiven Schutz der Infrastruktur bleibt das beste Datenschutzrecht wirkungslos.

Thomas Wischmeyer.

(Foto: oh)

Wem an produktiven Lösungen gelegen ist, der vermeide vor allem Hysterie. Die Katastrophenszenarien der IT-Branche sind Teil der Verkaufsstrategie. Auf staatlicher Seite versprechen sich Militär und Dienste vom drohenden "Cyberwar" einen Zuwachs an Stellen und Budgets. Sachverständige urteilen hier nüchterner. Bei aller Einigkeit darüber, dass mehr Sicherheit nötig ist, warnen sie zu Recht vor freiheitsgefährdender "Versicherheitlichung".

Oft wird darauf verwiesen, dass der Einzelne in der Pflicht steht. Richtig ist: Wir müssen uns damit anfreunden, dass die komfortable Lösung nicht immer die sicherste ist. Doch lässt sich das Problem nicht allein individuell lösen. Wie sollten etwa Kunden die Sicherheitsstandards ihrer Bank beeinflussen? In erster Linie ist daher der Staat in der Verantwortung - politisch, ebenso wie rechtlich. Die Verfassung schreibt zwar kein technisches Verteidigungskonzept vor. Doch ist klar, dass der Staat elementare Rechtspositionen und die für ihre Verwirklichung zentralen Infrastruktur nicht dauerhaft ungeschützt lassen darf. Und je wichtiger das Internet für unser Leben, desto konkreter die Pflicht des Gesetzgebers, auch im Digitalen angemessene Sicherheit zu gewährleisten.

Die Kfz-Haftpflicht hat die Geschädigten gestärkt. Für das Internet sollte Ähnliches gelten

Diese Verantwortung kann der Staat nicht an Private delegieren. Ohnehin zeigt die derzeitige Situation klar Züge von Marktversagen. Vor allem aber wird eine effektive Sicherheitsstrategie notwendig mit Freiheitseinbußen für Einzelne einhergehen: Wenn Unternehmen verpflichtende Sicherheitsstandards auferlegt oder bestimmte gefährliche Verhaltensweisen verboten werden, muss dies in seinen Grundzügen demokratisch legitimiert werden.

Nun steht Cybersicherheit durchaus auf der digitalen Agenda der Bundesregierung. Passiert ist bislang aber wenig. Zwar wurde das IT-Sicherheitsgesetz (ITSiG) verabschiedet. Zukunftweisend an dem Gesetz ist allein, dass die Politik überhaupt aktiv geworden ist. Endlich scheint die Idee, territorial begrenzte Normen müssten sich im globalen Internet stets den Eigengesetzen der Technik beugen, ihre suggestive Kraft verloren zu haben. Gewiss muss das Recht die Technik berücksichtigen. Doch Technik ist durch Recht auch gestaltbar: Man denke nur an Abgasnormen. Und wenn im Ausland befindliche Akteure dem Zugriff des Staates entzogen sein mögen, bleibt doch der Zugriff auf jene, die hier Kabel, Server oder anderes betreiben.

Zur Person

Thomas Wischmeyer, 31, forscht am Institut für Staatswissenschaft und Rechtsphilosophie der Universität Freiburg. Seine Schwerpunkte sind Rechtstheorie, Verfassungs- und Informationsrecht.