Dieser Tage hat es wieder eines der vermeintlich sicheren Datensysteme erwischt. Hackern gelang es, die komplexen Sicherheitsschranken der Deutschen Telekom für das Online-Banking per SMS-Tan zu umgehen. Viele Millionen Bankkunden nutzen dieses Verfahren. Bislang ist unklar, wie hoch der Schaden ist und wer die Täter sind.
Die Telekom ist nur der neueste Fall. Im Wochentakt wurde zuletzt über große Datenlecks berichtet: der Angriff auf den Fernsehsender TV 5 Monde, der Diebstahl beim Seitensprungportal Ashley Madison. Im Sommer waren die Rechner des Bundestages infolge eines Hackerangriffs vier Tage lang offline. Auch jene, die selber überwachen, konnten ihr eigenes Netz nicht vor Eindringlingen schützen. Beim Einbruch in das Netz der amerikanischen Bundesverwaltung wurden fast sechs Millionen Fingerabdrücke erbeutet, darunter wohl auch solche von Geheimagenten.
Je umfassender wir unsere Lebenswelt digitalisieren, desto verwundbarer werden wir: Unsere E-Mails lagern online, wir senden die Nummern unserer Kreditkarten elektronisch. Wir geben die Steuererklärung digital ab und tauschen sensible Gesundheitsinformationen über das Netz. Stromleitungen, Wasserwerke und eben auch die Institutionen der Demokratie hängen am Internet. Damit diese Daten sicher sind, reicht es nicht , dass jene, die sie speichern, unsere Privatsphäre achten. Ohne effektiven Schutz der Infrastruktur bleibt das beste Datenschutzrecht wirkungslos.
Thomas Wischmeyer.
(Foto: oh)Wem an produktiven Lösungen gelegen ist, der vermeide vor allem Hysterie. Die Katastrophenszenarien der IT-Branche sind Teil der Verkaufsstrategie. Auf staatlicher Seite versprechen sich Militär und Dienste vom drohenden "Cyberwar" einen Zuwachs an Stellen und Budgets. Sachverständige urteilen hier nüchterner. Bei aller Einigkeit darüber, dass mehr Sicherheit nötig ist, warnen sie zu Recht vor freiheitsgefährdender "Versicherheitlichung".
Oft wird darauf verwiesen, dass der Einzelne in der Pflicht steht. Richtig ist: Wir müssen uns damit anfreunden, dass die komfortable Lösung nicht immer die sicherste ist. Doch lässt sich das Problem nicht allein individuell lösen. Wie sollten etwa Kunden die Sicherheitsstandards ihrer Bank beeinflussen? In erster Linie ist daher der Staat in der Verantwortung - politisch, ebenso wie rechtlich. Die Verfassung schreibt zwar kein technisches Verteidigungskonzept vor. Doch ist klar, dass der Staat elementare Rechtspositionen und die für ihre Verwirklichung zentralen Infrastruktur nicht dauerhaft ungeschützt lassen darf. Und je wichtiger das Internet für unser Leben, desto konkreter die Pflicht des Gesetzgebers, auch im Digitalen angemessene Sicherheit zu gewährleisten.
Die Kfz-Haftpflicht hat die Geschädigten gestärkt. Für das Internet sollte Ähnliches gelten
Diese Verantwortung kann der Staat nicht an Private delegieren. Ohnehin zeigt die derzeitige Situation klar Züge von Marktversagen. Vor allem aber wird eine effektive Sicherheitsstrategie notwendig mit Freiheitseinbußen für Einzelne einhergehen: Wenn Unternehmen verpflichtende Sicherheitsstandards auferlegt oder bestimmte gefährliche Verhaltensweisen verboten werden, muss dies in seinen Grundzügen demokratisch legitimiert werden.
Nun steht Cybersicherheit durchaus auf der digitalen Agenda der Bundesregierung. Passiert ist bislang aber wenig. Zwar wurde das IT-Sicherheitsgesetz (ITSiG) verabschiedet. Zukunftweisend an dem Gesetz ist allein, dass die Politik überhaupt aktiv geworden ist. Endlich scheint die Idee, territorial begrenzte Normen müssten sich im globalen Internet stets den Eigengesetzen der Technik beugen, ihre suggestive Kraft verloren zu haben. Gewiss muss das Recht die Technik berücksichtigen. Doch Technik ist durch Recht auch gestaltbar: Man denke nur an Abgasnormen. Und wenn im Ausland befindliche Akteure dem Zugriff des Staates entzogen sein mögen, bleibt doch der Zugriff auf jene, die hier Kabel, Server oder anderes betreiben.
Thomas Wischmeyer, 31, forscht am Institut für Staatswissenschaft und Rechtsphilosophie der Universität Freiburg. Seine Schwerpunkte sind Rechtstheorie, Verfassungs- und Informationsrecht.
Vorwurf: "Simulierte Sicherheit"
Das ITSiG erschöpft sich jedoch im Wesentlichen darin, eine recht diffuse Gruppe, nämlich die Betreiber "kritischer" Infrastrukturen, zu verpflichten, den "Stand der Technik" einzuhalten und Sicherheitsverstöße zu melden. Der Verzicht auf weitergehende Vorgaben kommt der Wirtschaft weit entgegen. Dass das Sicherheitsniveau dadurch steigt, erwartet niemand. "Simulation von Sicherheit" lautete daher auch die Kritik zahlreicher Experten.
Die Verantwortung des Staates verlangt mehr: Datensicherheit für alle Bürger. Notwendig ist ein umfassendes Gesetz, das anspruchsvolle Standards formuliert und den Kreis der Verantwortlichen nicht künstlich beschränkt. Insbesondere Hard- und Software-Hersteller sollten für fehlerhafte Produkte in Haftung genommen werden. Auch gäbe eine Pflichtversicherung für Cyberrisiken, wie sie in den USA diskutiert wird, wichtige Anreize. Die Einführung der Kfz-Haftpflicht hat seinerzeit die Position der Geschädigten gestärkt und Sicherheit zum zentralen Thema der Autobranche gemacht. In der Informationsgesellschaft drohen Gefahren von jenen, die sensible Daten verarbeiten: Wieso sollten hier nicht entsprechende Pflichten gelten?
Im BSI kämpfen nur 15 Personen gegen Cyberangriffe
Vor allem aber muss der Staat befähigt werden, die Erfüllung der Pflichten zu kontrollieren. Bislang ist das Wissen des Staates unzureichend. So sind etwa im Bundesamt für Sicherheit in der Informationstechnik (BSI), der zuständigen Behörde, nur 15 Personen mit der Abwehr von Cyberangriffen betraut. Zum Vergleich: Allein für den analogen Objektschutz des Bundestages sind über 200 Polizisten zuständig. Damit der Staat hier als Ansprechpartner akzeptiert wird und steuern kann, muss er massiv investieren und technische Kompetenz aufbauen. Dafür sind auch profane Dinge anzugehen: Um gute Informatiker zu gewinnen, sind wettbewerbsfähige Gehälter zu zahlen.
Dass das IT-Sicherheitsgesetz dem BSI mehr Stellen in Aussicht stellt, ist gut. Doch werden zugleich der Bundesnachrichtendienst und das Bundesamt für Verfassungsschutz gestärkt. Auch bleiben Hintertüren für eine Kooperation der Behörden zu Überwachungszwecken; schon bei der Entwicklung des "Bundestrojaners" hatte das BSI eine unrühmliche Rolle gespielt. Offenbar ist die Politik nach wie vor in jenem Denken der "Versicherheitlichung" verhaftet, das Internetregeln vorrangig mit Terrorismus- und Spionageabwehr assoziiert.
Dieser Ansatz wird dem Problem nicht gerecht. Das Internet ist keine Bedrohung. Es ist ein öffentlicher Raum, der zentral für die Ausübung unserer Freiheit ist. Wenn sich der Staat als Informationsstaat neu erfindet, ist ein robuster rechtsstaatlicher Ansatz geboten, der das Internet nicht allein von den Gefahren her denkt, sondern der einen Raum der Möglichkeiten sichern und stabilisieren will.