Koalitionsvertrag: AG KRITIS erstmals vorsichtig optimistisch
Der Koalitionsvertrag der Ampel-Parteien steht. Wir haben dies zum Anlass genommen, um die digitalpolitischen Inhalte mit unseren politischen Forderungen abzugleichen.
Im Allgemeinen hat sich hier sehr viel getan und wir sehen an vielen Stellen eine Bewegung in die richtige Richtung. Obwohl es sonst nicht unsere Art ist, stellen wir fest, dass wir vorsichtig optimistisch sind. Nachfolgend nehmen wir zu einzelnen Passagen des Koalitionsvertrags Stellung und geben konkrete Verbesserungs- und Umsetzungshinweise.
Unabhängigkeit des BSI
„Wir leiten einen strukturellen Umbau der IT-Sicherheitsarchitektur ein, stellen das Bundesamt für Sicherheit in der Informationstechnik (BSI) unabhängiger auf und bauen es als zentrale Stelle im Bereich IT-Sicherheit aus.“ (441-442 )
Wir freuen uns darüber, dass das BSI unabhängiger werden soll. Die gewählte Formulierung ist hier jedoch sehr vage und sogar grammatikalisch fraglich; denn in unserer Wahrnehmung ist „unabhängig“ kein steigerbares Adjektiv. Entweder etwas ist unabhängig oder es ist eben abhängig.
Wir fordern die Unabhängigkeit des Bundesamts für Sicherheit in der Informationstechnik (BSI) vom Bundesministerium für Inneres, Bau und Heimat (BMI).
Dies ließe sich z.B. bewerkstelligen, in dem das BSI einem anderen Bundesministerium unterstellt wird, oder in dem die Fachaufsicht, wie beim Bundesamt für Statistik, nach wissenschaftlichen oder sachgerechten Kriterien selbst erfolgt und nur die Rechtsaufsicht beim BMI verbleibt (§ 2 (1, 3) BStatG).
Wir empfehlen der neuen Regierung daher, mindestens die Fachaufsicht über das BSI aus dem BMI zu lösen.
Angemessene Personalausstattung relevanter Behörden
„Wir werden deshalb Planungs- und Genehmigungsverfahren modernisieren, entbürokratisieren und digitalisieren sowie die Personalkapazitäten verbessern. Indem wir Bürgerinnen und Bürger früher beteiligen, machen wir die Planungen schneller und effektiver. “ (148 – 151)
Das Verbessern der Personalkapazitäten ist dringend notwendig, insofern begrüßen wir diese Formulierung. Wir vermissen hier allerdings das aus unserer Sicht notwendige Vorhaben, Änderungen am behördlichen Laufbahnrecht und dem TVÖD vorzunehmen; denn sowohl das aktuelle Laufbahnrecht, als auch der TVÖD verhindern es, IT-Fachpersonal ein konkurrenzfähiges Gehalt zu zahlen. Im aktuellen Wettkampf um IT-Fachpersonal ist dies eine grundlegende Voraussetzung, um kompetentes Personal anstellen zu können. Es scheint in den Behörden noch nicht angekommen zu sein, dass Sie eben nicht im Umkreis von 30km um Ihre Liegenschaft um Personal konkurrieren, sondern dass Sie in direkter Konkurrenz zu US-Unternehmen stehen, die europäisches IT-Fachpersonal in Telearbeit zu sechsstelligen Jahresgehältern anstellen.
Open-Source Einsatz im KRITIS Umfeld
„Entwicklungsaufträge werden in der Regel als Open Source beauftragt, die entsprechende Software wird grundsätzlich öffentlich gemacht. Auf Basis einer Multi-Cloud Strategie und offener Schnittstellen sowie strenger Sicherheits- und Transparenzvorgaben bauen wir eine Cloud der öffentlichen Verwaltung auf. “ (408-411)
„Wir werden kritische Technologie und Infrastruktur besser schützen, Standards und Beschaffung daran ausrichten und ein europäisches Open Source- 5/6G-Konsortium initiieren. Europäische Unternehmen schützen wir besser gegen extraterritoriale Sanktionen. “ (4433 – 4436)
Die Festlegung auf Open Source ist überfällig und wurde von so gut wie jeder digitalpolitisch aktiven Organisation im letzten Jahrzehnt gefordert. Wir vermissen hier allerdings einen wirklichen Reformwillen; denn der Staat kauft viel zu oft proprietäre Software oder Nutzungsverträge zu proprietären Clouds, als dass eigene Entwicklungsaufträge vergeben werden. Wir hätten uns hier ein klareres Bekenntnis zur Abkehr von proprietärer Software von außereuropäischen Herstellern gewünscht. Auch fehlt in diesem Zusammenhang der Willen, bestehende Open Source Projekte zu fördern (Machbarkeitsstudie) oder zu nutzen (dPhönixSuite).
Strikt defensive Cybersicherheitsstrategie für Staat und Wirtschaft
„Hackbacks lehnen wir als Mittel der Cyberabwehr grundsätzlich ab. Nicht-vertrauenswürdige Unternehmen werden beim Ausbau kritischer Infrastrukturen nicht beteiligt.“ (446-447 )
„Das Bundespolizeigesetz novellieren wir ohne die Befugnis zur Quellen-TKÜ und Online-Durchsuchung.“ (3661- 3662)
Auf dem Weg zu einer defensiven Cybersicherheitsstrategie ist die Ablehnung von Hackbacks ein Schritt in die richtige Richtung. Auch die Entfernung der Befugnis zur Quellen-Telekommunikationsüberwachung oder Online-Durchsuchung ist ein weiterer Schritt auf dem Weg zu einer defensiven Cybersicherheitsstrategie. Wir fragen uns allerdings, wie in diesem Zusammenhang der folgende Satz zu verstehen ist:
„Die Bundeswehr muss (…) in die Lage versetzt werden, im Verbund mit anderen Bundesbehörden im Cyber- und Informationsraum als Akteur erfolgreich zu bestehen. “ (5041- 5044)
Hier wurde aus unserer Sicht eine Gelegenheit verpasst, den offiziellen Status der „Verteidigungsarmee“, also einem rein defensiven Vorgehen (Art. 87a GG), zu betonen und diesen Status auch für den Cyberraum zu bestätigen. Vor diesem Hintergrund ist auch der „Bundeswehreinsatz im Inneren“, also z.B. die Hilfsleistung gegenüber anderen Bundesbehörden notwendigerweise zu kritisieren. Die Bundeswehr sollte in jedem Fall die allerletzte Verteidigungslinie in jeder Krise sein. Jegliche Vorsorge für den Katastrophenfall sollte eben nicht mit den Ressourcen der Bundeswehr planen und dies sollte auch im Cyber- und Informationsraum beibehalten werden.
Staatliche Verantwortung und Aufsicht sicherstellen
„Den physischen Schutz kritischer Infrastrukturen bündeln wir in einem KRITIS-Dachgesetz.“ (3504 )
In diesem Zusammenhang halten wir es für notwendig, für jeden KRITIS-Sektor eine wissenschaftliche Evaluation zu beauftragen, wie notwendige und wirksame (staatliche) Kontrollmechanismen implementiert werden können. Grundsätzlich müssen Kritische Infrastrukturen sorgsamer und ausfallsicherer betrieben und ausgebaut werden, als andere Infrastrukturen. Dies widerspricht grundsätzlich den Bestrebungen nach Gewinnmaximierung durch privatwirtschaftliche Betreiber. Wirksame Regulierungen, unabhängige Kontrollinstanzen und kompetente Aufsichtsbehörden für die einzelnen Sektoren sind daher notwendig.
Auch empfehlen wir der neuen Bundesregierung, in diesem Dachgesetz dafür zu sorgen, dass die Länder endlich Ihre Verpflichtungen (Stellungnahme für Landtag NRW) erfüllen und eine Landes-KRITIS-Verordnung für den Sektor „Staat und Verwaltung“ erlassen, wie sich dies aus der föderalen Struktur in Zusammenhang mit dem IT-Sicherheitsgesetz bzw. dem BSI-Gesetz ergibt. Wir halten es für zwingend notwendig, dass diese Verordnung bundeseinheitlich gestaltet wird. IT-Sicherheit darf nicht zum Standortvorteil einzelner Bundesländer werden.
Bei der Schaffung dieses Dachgesetz bitten wir die neue Bundesregierung zudem, unsere Forderung nach gesetzlich verpflichtendem Patchmanagement sowie nach effektiver Überprüfung und wirksamen Sanktionen bei Nichteinhaltung des § 8a BSIG zu berücksichtigen.
Gründung eines Cyber-Hilfswerks (CHW)
„Die Freiwilligen stärken wir durch ein Ehrenamtskonzept und in föderaler Abstimmung durch bundesweit einheitliche Freistellungs– und Versicherungsschutzregeln der Helferinnen und Helfer. DasTechnische Hilfswerk (THW) nimmt weiter eine zentrale Rolle ein und soll seine Kompetenzen in der
Cyberhilfe erweitern. Den physischen Schutz kritischer Infrastrukturen bündeln wir in einem KRITIS–Dachgesetz.“ (3501 – 3505)
Wir freuen uns sehr über die Aufnahme unseres Impulses zur Schaffung eines Cyberhilfswerks. Allerdings sind wir uns nicht sicher, ob eine Ansiedlung beim THW der richtige Schritt ist. Hier muss das bestehende Konzept mit den unterschiedlichen Varianten und Möglichkeiten diskutiert werden. Es ist aus unserer Sicht klar, dass ein Cyberhilfswerk als Bindeglied zwischen dem BSI und dem THW konzeptioniert werden muss. An welcher Behörde ein CHW aufgehangen wird, sollte daher mit dem Ziel einer möglichst effektiven Aufgabenerfüllung diskutiert werden, bevor die finale Festlegung erfolgt.
Verpflichtung zur Responsible Disclosure
„Das Identifizieren, Melden und Schließen von Sicherheitslücken in einem verantwortlichen Verfahren, z. B. in der IT-Sicherheitsforschung, soll legal durchführbar sein. “ (445-446 )
Wahrscheinlich ist mit „verantwortlichem Verfahren“ das so genannte „Responsible Disclosure“ Verfahren gemeint. Um dies zu erreichen, müssen jedoch Anpassungen an UrhG, UWG und StgB erfolgen. Konkrete Vorschläge, wie dies passieren kann, finden sich hier: sec4research.de sowie auf Bundestagsdrucksache 19/7698, II Unterpunkt 8
„Staat wird keine Sicherheitslücken ankaufen oder offenhalten.“ (3651 – 3655)
Obwohl dies für uns grundsätzlich gut klingt, haben wir hier zwei Sorgen: Zum einen erlaubt diese Formulierung weiterhin, dass der Staat mittels der Zentralen Stelle für Informationstechnik im Sicherheitsbereich (ZITIS), Sicherheitslücken findet und selbst ausnutzt, bis diese geschlossen werden. Zum anderen wird sich die Möglichkeit offen gehalten, Dienstleistungen außereuropäischer Überwachungsdienstleister einzukaufen, die selbst auf großen Mengen bisher unveröffentlichter Sicherheitslücken sitzen und diese für ihr Geschäftsmodell geheim halten.
Auch vor dem Hintergrund, dass das BSI die zentrale Meldestelle für Sicherheitslücken werden soll, ist es wichtig, den oft im Ehrenamt arbeitenden IT-Sicherheitsforscherinnen aber auch den IT-Sicherheitsdienstleistern die explizite Sicherheit zu geben, dass durch sie gefundene Sicherheitslücken auch veröffentlicht werden.
Gerne stehen wir für alle Parlamente, Ministerien und Bundesämter im Ehrenamt beratend zur Verfügung, um im Sinne der Zivilgesellschaft die Versorgungssicherheit und Resilienz kritischer Infrastrukturen zu verbessern.
Dieser Artikel wurde erstellt von Johannes Rundfeldt und Elina Eickstädt
