Das cyberintelligence institute (CII) sowie das European Institute for Computer Anti-Virus Research (EICAR) haben gemeinsam zu den von der Bundesregierung neu vorgeschlagenen Befugnissen zur aktiven #Cyberabwehr Stellung genommen:
Der Referentenentwurf für ein „Gesetz zur Stärkung der Cybersicherheit“ adressiert ein reales und dringendes Problem: Die Bedrohungslage im Cyberraum hat sich in einer Weise entwickelt, die ein Festhalten an rein defensiven Strategien zunehmend unzureichend erscheinen lässt. Die Schaffung gesetzlicher Grundlagen für eine aktive Cyberabwehr, die auch Maßnahmen jenseits der eigenen Netzwerkgrenzen ermöglicht, ist im Grundsatz richtig und notwendig. Deutschland darf den Anschluss an die internationalen Entwicklungen nicht verlieren und muss seine Handlungsfähigkeit im digitalen Raum stärken.
Zugleich weist der Entwurf in seiner gegenwärtigen Fassung erhebliche rechtsstaatliche Defizite auf, die vor einer Verabschiedung dringend behoben werden müssen. Die technische Unbestimmtheit zentraler Regelungen, die nicht gelöste Attribuierungsproblematik, die unzureichenden verfahrensrechtlichen Sicherungsmechanismen, die problematische Betroffenheit dritter Personen, die ungeklärte Frage der digitalen Souveränität bei den eingesetzten Technologien, die geheime Durchführung der Maßnahmen, die Verhältnismäßigkeitsbedenken, die Funktionsverschiebung des #BSI, die offenen völkerrechtlichen Fragen, die Spannungen mit Blick auf das #Trennungsprinzip, die fehlenden Eingriffshürden bei nicht-privaten Systemen und das gänzliche Fehlen einer Regelung zum Umgang mit #Schwachstellen und Zero-Day-Exploits – all diese Punkte zeigen einen erheblichen Nachbesserungsbedarf auf.
Ein Gesetz, das die staatliche Handlungsfähigkeit im Cyberraum stärken soll, muss sich an den höchsten rechtsstaatlichen Maßstäben messen lassen. Dies erfordert die Einführung eines strukturierten Vulnerability Equities Process, die Verankerung technischer Mindeststandards für die eingesetzten Werkzeuge, die Schaffung eines gestuften Freigabe- und Kontrollsystems, die Aufnahme von Evaluationsklauseln und ggf. gesetzlichen Befristungen, die Klärung der behördlichen Zuständigkeiten und ihrer Koordination im Notfall, die Festlegung höherer Schwellen für Eingriffe in private Systeme, die Normierung zeitlicher Grenzen für verdeckte Maßnahmen und Offenbarungsverbote sowie eine klare Abgrenzung zu nachrichtendienstlichen und militärischen Befugnissen.
Im Ergebnis lässt sich festhalten: Die #Cybersicherheit benötigt durchaus mehr staatliches Handeln als in der Vergangenheit. Doch dieses Mehr an Handlungsfähigkeit darf nicht zwangsläufig mit einem Weniger an Rechtsstaatlichkeit einhergehen. Gerade in einem Bereich, der durch technische Komplexität, geringe öffentliche Sichtbarkeit und hohe Fehleranfälligkeit gekennzeichnet ist, müssen die rechtsstaatlichen Sicherungen besonders robust ausgestaltet sein. Der Gesetzgeber hat es in der Hand, ein Gesetz zu schaffen, das sowohl der Bedrohungslage angemessen als auch des Rechtsstaats würdig ist. Der vorliegende Entwurf erfüllt diesen Anspruch in seiner derzeitigen Fassung noch nicht.
#denniskenjikipker #cyberresilience #cyberintelligence #cyberintelligenceinstitute #frankfurt #bremen #berlin