IT-Sicherheit Seehofer plant den Cyber-Rundumschlag

Horst Seehofers Bundesinnenministerium will die IT-Sicherheit stärken.

(Foto: dpa)
  • Bundesinnenminister Seehofer will dem Bundesamt für Sicherheit in der Informationstechnik (BSI) mit einem neuen IT-Sicherheitsgesetz deutlich mehr Befugnisse geben.
  • Das BSI soll ein neues Sicherheitszertifikat vergeben, IT-Produkte testen und unsichere Geräte im Netz aufspüren.
  • Besonders umstritten: Die Ermittlungsbehörden sollen Verdächtige zwingen dürfen, ihre Passwörter herauszugeben.
Von Jannis Brühl und Max Muth

Die Bundesregierung will mit scharfen Regeln das Internet sicherer machen. Dazu gehören Auflagen für Hersteller von IT-Technik, härtere Strafen für Kriminalität im Netz und neue Befugnisse für Behörden, Geräte aus der Ferne zu kontrollieren. Das geht aus einem Entwurf des Innenministeriums für das neue IT-Sicherheitsgesetz hervor, der der SZ vorliegt. (netzpolitik.org hatte am Mittwoch als erstes über das Dokument berichtet.)

Der Entwurf dürfte eine Debatte darüber anheizen, wie weit der Staat im Netz gehen darf. Er enthält Vorschläge, wie Behörden fremde Geräte wie PCs oder Internet-Router aus der Ferne prüfen und Internetverkehr manipulieren dürfen. Der wohl heikelste Punkt: Ermittler sollen Verdächtige zwingen dürfen, ihnen das Passwort für ihr Konto auszuhändigen. So können sie die Konten der Verdächtigen übernehmen und im Netz in ihre Rolle schlüpfen.

Im Juni 2019 soll sich das Kabinett mit dem Gesetz befassen. Hintergrund sind eine Reihe groß angelegter Hacks und das sogenannte Doxing - die Veröffentlichung von zuvor gestohlenen privaten Daten - von Politikern und Prominenten Ende Dezember.

Künftig sollen auch Dax-Unternehmen melden, wenn sie gehackt wurden

Ein zentraler Punkt im Entwurf ist die Stärkung des Bundesamtes für Sicherheit in der Informationstechnik (BSI), das dem Innenministerium untersteht. Das Budget des BSI würde fast verdoppelt, die Planstellen auch, auf rund 1800. Bislang ist seine Kernaufgabe, die Regierungsnetze zu sichern und Betreiber kritischer Infrastrukturen (Kritis) bei IT-Sicherheitsvorfällen zu unterstützen. Zu Kritis zählen etwa Energieversorger, Wasserversorgung, Ernährungswirtschaft und Telekommunikationsanbieter. In Zukunft sollen Meldepflichten auch für andere Unternehmen gelten, deren Arbeit von öffentlichem Interesse ist, wie Dax-Unternehmen oder wichtige Medienhäuser. Dienstleister und Zulieferer für Produkte von Kritis-Unternehmen würden verpflichtet, das BSI zu benachrichtigen, wenn sie gehackt werden.

Das BSI soll künftig auch digitaler Verbraucherschützer sein und anlasslos IT-Produkte auf Sicherheit prüfen. Dafür will die Bundesregierung ein freiwilliges IT-Sicherheitskennzeichen einführen, um Verbrauchern Orientierung zu geben, welche Produkte Standards entsprechen. Ein großes Problem ist die schnell wachsende Zahl von Geräten, die schlecht geschützt online sind, von Routern über Überwachungskameras bis zu Babyfonen. Hacker können sie in Massen kapern und zu einem sogenannten Bot-Netz zusammenschließen. Diese von den Hackern gesteuerten Netze können dann zum Beispiel Webseiten oder gar Teile des Internets lahmlegen.

Um das zu verhindern, soll das BSI aktiv das Internet nach schlecht geschützten oder schon verseuchten Geräten durchsuchen. Wird es fündig, kann es laut BMI den Betreiber zwingen, "Bereinigungssoftware" auf das Gerät zu laden und so das Bot-Programm auszuschalten. Das Innenministerium bestritt den Vorwurf, es würde das BSI zu einer Hacker-Behörde umbauen. "Aktives Eindringen" in Geräte sei nicht vorgesehen.

Ebenfalls um Bot-Netze in die Schranken zu weisen, soll das Bundesamt den von verseuchten Geräten ausgehenden Datenverkehr auf vom BSI kontrollierte Server umleiten dürfen - auf denen der Angriff dann ins Leere läuft. Zudem soll das Bundesamt auch Honeypots (deutsch: Honigtöpfe) betreiben dürfen. Das sind von Sicherheitsbehörden kontrollierte Systeme, die absichtlich ungesichert ins Netz gestellt werden, damit sie von Schadsoftware befallen werden. So kann das BSI Taktik und Technik der Angreifer analysieren.

Computer-Kriminalität könnte bald härter bestraft werden - etwa durch längere Haft

Ende 2018 hatte ein 20-Jähriger private Daten von Prominenten und Politikern ins Netz gestellt. Für solche Fälle sollen Anbieter verpflichtet werden, die Daten zu sperren und auf Anweisung der Behörden zu löschen. Sven Herpig, Analyst für Cybersicherheit beim Think Tank Stiftung Neue Verantwortung, sieht Missbrauchsrisiken: "Ein Telekomanbieter könnte erst einmal in vorauseilendem Gehorsam blocken - das wäre sogenanntes Overblocking, weil erst hinterher geprüft wird, ob die Behördenanfrage legitim war."

Computer-Straftaten sollen künftig als schwere Straftaten gelten. Das führt zu längeren Haftstrafen, und Strafverfolger dürfen Verdächtige auch mit Software ausspionieren. Besonders umstritten: Wer Foren im Darknet betreibt, wo auch Hacking-Software verkauft wird, soll sich strafbar machen. Kritiker befürchten, dass durch den neuen Paragrafen auch viele legale Angebote im Netz in Mitleidenschaft gezogen werden könnten.

IT-Sicherheit Zehn Regeln für Ihre digitale Sicherheit

Privatsphäre

Zehn Regeln für Ihre digitale Sicherheit

Die geleakten Datensätze zeigen: Selbst, wer sich selbst für vollkommen uninteressant hält, besitzt Daten über Dritte, die er schützen muss. Die wichtigsten Grundregeln im Überblick.   Von Simon Hurtz