Warum die bestehende deutsche Cybersicherheitsarchitektur juristisch nicht zuende gedacht ist, erörterte ich heute Nachmittag beim Expertenpanel „Forschung à la carte – Cybersicherheit für die Zeitenwende: Wie gut ist Deutschland geschützt?“ der Stiftung Mercator in Berlin. Meine verschriftlichten Thesen des heutigen Tages lauten wie folgt:
Die deutsche Cybersicherheitsarchitektur differenziert bislang nicht hinreichend zwischen verschiedenen behördlichen Tätigkeitsbereichen und entsprechenden Anforderungen.
Im Rahmen der Vorstellung der neuen Cybersicherheitsagenda sprach sich Bundesinnenministerin Faeser vor Kurzem für eine Grundgesetzänderung aus, um dem Bund mehr Kompetenzen insbesondere im Bereich der Gefahrenabwehr einzuräumen. Die Gefahrenabwehr ist jedoch originär eine Aufgabe der Länder – auch die Cybersecurity sollte hier keine Ausnahme machen. Dies wurde von Fachexperten im Zuge des Gesetzgebungsverfahrens zum IT-SiG 2.0 auch moniert. Überdies wird bei einer genauen Analyse der deutschen Cybersicherheitsarchitektur schnell deutlich, dass das BSI als zentrale nationale Behörde in seinen Verwaltungsentscheidungen übermäßig durch politische Einflussnahme aus dem BMI beeinträchtigt wird (siehe jüngst den Fall der rechtswidrigen Warnung vor Kaspersky). Hier sollten Regelungsansätze angedacht werden, um das BSI in seinem künftigen Verwaltungshandeln unabhängiger zu gestalten, um auch das Vertrauen der Unternehmen in die Behörde zu stärken.
Die bisherigen Konzepte zur sog. „aktiven Cyberabwehr“ sind juristisch nicht durchdacht.
Politisch wird bereits seit Jahren über „aktive Cyberabwehr“ oder sog. „Hackbacks“ gesprochen. Dabei wird jedoch bislang die rechtliche Perspektive völlig außer Acht gelassen. So muss zunächst juristisch ein einheitliches ontologisches Verständnis über den Sachverhalt gewonnen werden. Nur so lassen sich letztlich Eingriffsvoraussetzungen und entsprechende Zuständigkeiten ableiten. Überdies wurden bislang nicht die völkerrechtlichen Implikationen ausreichend berücksichtigt. Sollte die Bundeswehr mit dem Kommando CIR hier tätig werden, gelten für den Einsatz der Streitkräfte hohe verfassungsrechtliche Hürden, die im Regelfall nicht vorliegen werden und damit möglicherweise sogar als rechtswidriges völkerrechtliches Handeln gewertet werden können.
Die bestehenden gesetzlichen Anforderungen zum Umgang mit Schwachstellen in der Cybersicherheit sind unklar und schädigen das Vertrauen in die deutsche Cybersicherheitsarchitektur.
Bislang wurde immer noch keine einheitliche politische Basis für den Umgang mit Schwachstellen gefunden. Für Pläne rund um „Hackback“ wird sogar favorisiert, Schwachstellen zurückzuhalten. In technischer Hinsicht schaden derlei Maßnahmen einer effektiven Cybersicherheit nicht nur, sondern untergraben ebenso das Vertrauen in die nationalen Cybersecuritybehörden, falls nicht ausgeschlossen werden kann, dass die Schwachstellen zu einem späteren Zeitpunkt zweckentfremdet werden. Mit diesem Thema verbunden ist auch das Tätigwerden von ZITiS, die u.a. Schwachstellen zu Zwecken der öffentlichen Sicherheit ausnutzt. Auch wenn die Tätigkeit von ZITiS nur mittelbar grundrechtsbelastend ist, sollte die Einrichtung auf eine gesetzliche Grundlage gestellt werden.
Aus einem Grundrecht auf vertrauliche Kommunikation folgt auch, dass verschlüsselte Kommunikation ermöglicht werden sollte.
Verfassungsrechtliche Vorgaben in Deutschland und der EU gestatten es den Bürgern, vertraulich zu kommunizieren. Seit jeher ist bekannt, dass der Kernbereich privater Lebensgestaltung auch zu Zwecken der öffentlichen Sicherheit nicht angetastet werden darf. Die gegenwärtigen politischen Pläne, ggf. eine „Chatkontrolle“ auf europäischer Ebene zu unterstützen, stellen deshalb einen unverhältnismäßigen Eingriff in die verfassungsrechtlichen Positionen dar, die eine vertrauliche digitale Kommunikation ermöglichen und schützen.