Bundestag Archive - AG KRITIS

Beiträge

Quo vadis Koalitionsvertrag? – Warum wir jetzt ein Cyber-Hilswerk brauchen

21. Juli 2025/in Artikel/von AG KRITIS

Unser überarbeitetes CHW-Konzept (Version 1.2) ist da, also haben wir uns den Koalitionsvertrag zur Brust genommen und analysiert, ob und warum wir ein Cyber-Hilfwerk (CHW) in Deutschland brauchen.

Spoiler: Wir brauchen es dringender denn je!

„Jeder Satz ist Politik pur“

Mit dieser denkwürdigen Aussage startete Markus Söder in seine Vorstellung des Koalitionsvertrags zwischen CDU, CSU und SPD. Wir wollen in einer schnellen Analyse diesen Satz ernst nehmen.

Zunächst fällt auf, dass in Berlin ein neues Buzzword existiert. Alles muss „resilient“ werden oder „Resilienz“ besitzen – natürlich auch unsere Kritische Infrastruktur. Wie genau das allerdings umgesetzt werden soll, ist „Politik pur“. Vermehrt werden Lippenbekenntnisse abgeben, die ein Konzept vermissen lassen. Konkrete Bezugnahmen auf das KRITIS-Dachgesetz, die NIS2-Richtline, oder den Cyber Resilience Act werden wohldosiert eingesetzt und hier und da für Kenner als Wortbrocken hingeworfen. So will man den Unternehmen bei der Umsetzung des Cyber Resilienz Act unter die Arme greifen und nur noch „kritische Komponenten“ von vertrauenswürdigen Staaten verbauen. Außerdem soll die kritische Energieinfrastruktur, insbesondere die erneuerbaren Energien durch die Umsetzung der NIS2-Richtliche „resilient und bestmöglich geschützt werden“. Allgemein soll die IT-Sicherheit bei KRITIS verbessert, die Resilienz erhöht, und in sichere Infrastruktur der Kommunikation- und Forschungslandschaft investiert werden. Im Koalitionsvertrag wird jedoch nicht einmal angedeutet, wie die Steigerung der Resilienz genau aussehen soll. Ein wichtiger Gradmesser bleibt also, wie zügig die NIS2-Richtlinie und das KRITIS-Dachgesetz beschlossen und umgesetzt werden und wie der deutsche Staat sich selbst Resillienzmaßnahmen und Mindesstandards auferlegt.

Unsere Forderung, dass auch der Staat und die Verwaltung sich an diese Standards ohne Ausnahmen zu halten haben, ist weiterhin gültig. In diesem Zusammenhang fällt eine Textstelle auf:

„Die öffentliche IT-Sicherheit wird durch Notfallmanagement und präventive
Beratungsangebote für kleine und mittlere Unternehmen verbessert“ (Z. 2189-2190)

Falls hier angedeutet wird, dass die IT des Staates sowie die öffentliche Verwaltung endlich Standards wie ein BCM oder ISMS einhalten muss, zu denen die privaten BetreiberInnen kritischer Infrastruktur längst verpflichtet wurden, dann begrüßen wir das ausdrücklich! – Bei „Politik pur“ kann man natürlich auch träumen.

Wir jedenfalls werden die postulierte digitale Zeitenwende in Form eines neuen Ministeriums für Digitalisierung und Modernisierung kritisch begleiten. Spannend wird zudem, wie dieses neue Ministerium digitale Souveränität umsetzen will. Unser Sprecher und Gründer Manuel „Honkhase“ Atug hat hierzu ein Op-Ed zusammen mit Matthias Schulze veröffentlicht.

Ein weiteres „Schmanckerl“, um bei unserem bayrischen roten Faden zu bleiben, ist der sogenannte „Pakt für Bevölkerungsschutz“. Hier wird Resilienz groß geschrieben und tritt an gegen „jede Form hybrider und konventioneller Bedrohung“. Das Ziel der KoalitionärInnen ist es, die Fähigkeiten im Bereich Cybersicherheit und des Zivil- und Katastrophenschutzes sowie der zivilen Verteidigung zu stärken. Hier vermengt sich einiges zu einer unheilvollen Melange aus HackBack oder aktiver Cyberabwehr, Befugniszuwachs und strukturellen Veränderungen.

So soll das BSI-Gesetz novelliert an die NIS2-Richtline angepasst und zu einer „Zentralstelle für Fragen der Informations- und Cybersicherheit“ werden. Eine relativ unkonkrete Zielvorgabe, die offen und zu befürchten lässt, dass die Unabhängigkeit des BSI gegenüber dem BMI wieder abnehmen wird. Zusätzlich dazu soll eine nationale Cybersicherheitsstrategie klare Rollen- und Aufgabenverteilung fortentwickeln. Wir verweisen hier gerne auf das Cyber-Wimmelbild der Veranwortungsdiffusion. „Fortentwickeln“ sollten wir hier nichts mehr, sondern „abbauen“ und „konsolidieren“ wäre das richtige Verb gewesen. Immerhin könnte man auch optimistisch interpretieren, dass die Politik hier endlich die Probleme wahrnimmt und den Rotstift ansetzt. Allerdings trübt sich das Bild, wenn der Zivil- und Bevölkerungsschutz angesprochen wird, denn immer wieder wird auf die neuen Finanzierungsinstrumente verwiesen, die Bund und Länder jetzt zur Verfügung haben. Lichtblick ist nur, das auffällig klare Bekenntnis zur besseren Finanzierung des Digitalfunks BOS.

Das Hauptproblem, dass hier eine föderale Fragmentierung herrscht und dadurch keine einheitliche Krisenbewältigung herstellbar ist, wird nicht adressiert bzw. mit der Hoffnung der geöffneten Geldschatulle belegt. Bezeichnend ist in diesem Zusammenhang ist der Einsatz des Operationsplans Deutschland als Rechtfertigungsmittel. Wir erkennen an, dass endlich die (Gesamt-)Verteidigung nicht mehr in Silos gedacht wird und so auch der Bevölkerungs- und Katastrophenschutz in den politischen Fokus gerückt wird. Mehr als Appelle und „Wünsch dir was“ ist das aber nicht. Ein klares eindeutiges Konzept, das zumindest in der Dimension der Cyberkrisenvorsorge freiwillige Kräfte bündeln kann und im künftigen Zivil- und Katastrophenschutz zum Einsatz kommt, gibt es nicht im Koalitionsvertrag, sondern nur bei uns.

Was das Thema Bürgerrechte, Nachrichtendienste und neue Überwachungsbefugnisse angeht verweisen wir auf den CCC, Golem und Netzpolitik.org. Zusammenfassend haben die KollegInnen ein geradezu fatales Fazit für die zukünftige Lage der Bürgerrechte im digitalen Raum in Deutschland abgegeben. Allen zivilgesellschaftlichen Forderungen zum Trotz wird die Merz-Regierung – wenn diese Maßnahmen in Gesetze gegossen und umgesetzt werden – den Präventions- und Überwachungsstaat vorantreiben und Grundgesetze schleifen. In welcher Form das Verfassungsgericht oder der neue Unabhängige Kontrollrat hier eine effektive rechtsstaatliche Kontrolle sicherstellen kann, bleibt abzuwarten. Klar ist, dass eine „öffentliche IT-Sicherheit“ mit immer mehr sicherheitsbehördlichen Befugnissen in keiner Weise gewährleistet wird, wenn diese Verschlüsselung brechen, Hintertüren bekommen, Schwachstellen horten oder die Überwachungsindustrie alimentieren. Nichts davon wird die Bevölkerung vor hybriden Bedrohungen schützen. Was allerdings die Bevölkerung sicherer macht, ist eine IT-Sicherheitsforschung, die rechtssicher unterwegs ist und nicht mit staatlichen Repressionen zu rechnen hat. Hier liefert der Koalitionsvertrag einen Formelkompromiss, der gleich im Nebensatz die Rechtssicherheit der IT-Sicherheitsforschung unter dem Vorbehalt der Missbrauchsmöglichkeiten stellt. Wie das allerdings mit mehr Investition in IT-Sicherheits- und anwendungsorientierte Resilienzforschung zusammenpasst bleibt fraglich. Rechtssicherheit muss sowohl gelten für institutionelle Forschung, als auch für freie IT-Sicherheitsforschende, die aus Neugier, für das Ehrenamt und im Sinne des Gemeinwohls handeln.
Mit Blick auf die Ressortverteilung ist aber zu befürchten, dass sich hier in der kommenden Legislaturperiode nichts verändert, sondern das BMJ vom BMI zu Fragen einer rechtsicheren IT-Sicherheitsforschung weiterhin blockiert wird.

Darüber hinaus soll auch die terrestrische Rundfunkverbreitung (Radio und Fernsehsender) als KRITIS gelten, um diese besser schützen zu können. Eine Maßnahme, die wir begrüßen, allerdings ist eine rechtliche Kategorisierung als KRITIS nicht gleichzusetzen mit tatsächlicher IT-Sicherheit und Resilienz – die Umsetzung bleibt weiterhin das Problem.

„Wir beschließen zeitnah ein gutes KRITIS-Dachgesetz“ (Z.2697-2698)

Wir sind sehr froh, dass die zukünftige Koalition nicht vorhat, ein schlechtes KRITIS-Dachgesetz zu verabschieden. Dafür bieten wir gerne Schützenhilfe mit unserer Stellungnahme an. Es darf gerne abgeschrieben werden, damit es besonders zügig beschlossen werden kann. An dieser Stelle müssen wir aber auch auf unsere Forderung nach einer Harmonisierung des KRITIS-Dachgesetz und des NIS2UmsuCG verweisen. Beide Gesetzes-Entwürfe müssen dringend konsolidiert werden, damit ein einheitliches Rahmenwerk entsteht und kein Cyber-Flickenteppich. Eine Stellungsnahme zum aktuellen Entwurf des NIS2UmsuCG führt, diese Problematik weiter aus.

Was im „Pakt für Bevölkerungsschutz“ fehlt, ist endlich ein Cyber-Hilfswerk, das auch mit Blick auf hybride Bedrohungen konzipiert wurde. Unser Ansatz für ein CHW ist im Bereich des Freiwilligendienstes und des Herzensanliegens unseres Bundeskanzlers Merz, dem Ehrenamt, voll anschlussfähig. Der Freiwilligendienst als neue Wertschätzung des Ehrenamts kann helfen, die künftigen Sicherheitsherausforderungen im Rahmen einer zivilen Gesamtverteidigung zu stärken. Ein neugeschaffenes CHW verbindet Zivilschutz mit Cybersicherheit und bündelt wichtige Kompetenzen, die heute schon für die Daseinsvorsorge essentiell sind. Es ist absehbar, dass dieser Stellenwert wachsen wird und wir in Zukunft kein Chance einer Krisenbewältigung haben, wenn wir nicht alle Kräfte der Gesellschaft nutzen. Unser CHW-Konzept ist in dieser Hinsicht einzigartig, denn es schafft ehrenamtliche Strukturen und Anreize für Freiwillige, die heute im Bevölkerungsschutz nicht adressiert werden.

Es wird Zeit, dass wir jetzt beim Bevölkerungsschutz und bei der Krisenvorsorge den Turbo zünden und Deutschland ein Cyber-Hilfswerk bekommt. Wir sind bereit!

Vielen Dank an unser Mitglied Alessandro Parrino für das Verfassen dieses Artikels

Bildrechte: Martin Rulsch, Wikimedia Commons, CC BY-SA 4.0

Koalitionsvertrag: AG KRITIS erstmals vorsichtig optimistisch

26. November 2021/in Artikel/von Johannes Rundfeldt

Der Koalitionsvertrag der Ampel-Parteien steht. Wir haben dies zum Anlass genommen, um die digitalpolitischen Inhalte mit unseren politischen Forderungen abzugleichen.

Im Allgemeinen hat sich hier sehr viel getan und wir sehen an vielen Stellen eine Bewegung in die richtige Richtung. Obwohl es sonst nicht unsere Art ist, stellen wir fest, dass wir vorsichtig optimistisch sind. Nachfolgend nehmen wir zu einzelnen Passagen des Koalitionsvertrags Stellung und geben konkrete Verbesserungs- und Umsetzungshinweise.

Unabhängigkeit des BSI

„Wir leiten einen strukturellen Umbau der IT-Sicherheitsarchitektur ein, stellen das Bundesamt für Sicherheit in der Informationstechnik (BSI) unabhängiger auf und bauen es als zentrale Stelle im Bereich IT-Sicherheit aus.“ (441-442 )

Wir freuen uns darüber, dass das BSI unabhängiger werden soll. Die gewählte Formulierung ist hier jedoch sehr vage und sogar grammatikalisch fraglich; denn in unserer Wahrnehmung ist „unabhängig“ kein steigerbares Adjektiv. Entweder etwas ist unabhängig oder es ist eben abhängig.

Wir fordern die Unabhängigkeit des Bundesamts für Sicherheit in der Informationstechnik (BSI) vom Bundesministerium für Inneres, Bau und Heimat (BMI).

Dies ließe sich z.B. bewerkstelligen, in dem das BSI einem anderen Bundesministerium unterstellt wird, oder in dem die Fachaufsicht, wie beim Bundesamt für Statistik, nach wissenschaftlichen oder sachgerechten Kriterien selbst erfolgt und nur die Rechtsaufsicht beim BMI verbleibt (§ 2 (1, 3) BStatG).

Wir empfehlen der neuen Regierung daher, mindestens die Fachaufsicht über das BSI aus dem BMI zu lösen.

Angemessene Personalausstattung relevanter Behörden

„Wir werden deshalb Planungs- und Genehmigungsverfahren modernisieren, entbürokratisieren und digitalisieren sowie die Personalkapazitäten verbessern. Indem wir Bürgerinnen und Bürger früher beteiligen, machen wir die Planungen schneller und effektiver. “ (148 – 151)

Das Verbessern der Personalkapazitäten ist dringend notwendig, insofern begrüßen wir diese Formulierung. Wir vermissen hier allerdings das aus unserer Sicht notwendige Vorhaben, Änderungen am behördlichen Laufbahnrecht und dem TVÖD vorzunehmen; denn sowohl das aktuelle Laufbahnrecht, als auch der TVÖD verhindern es, IT-Fachpersonal ein konkurrenzfähiges Gehalt zu zahlen. Im aktuellen Wettkampf um IT-Fachpersonal ist dies eine grundlegende Voraussetzung, um kompetentes Personal anstellen zu können. Es scheint in den Behörden noch nicht angekommen zu sein, dass Sie eben nicht im Umkreis von 30km um Ihre Liegenschaft um Personal konkurrieren, sondern dass Sie in direkter Konkurrenz zu US-Unternehmen stehen, die europäisches IT-Fachpersonal in Telearbeit zu sechsstelligen Jahresgehältern anstellen.

Open-Source Einsatz im KRITIS Umfeld

„Entwicklungsaufträge werden in der Regel als Open Source beauftragt, die entsprechende Software wird grundsätzlich öffentlich gemacht. Auf Basis einer Multi-Cloud Strategie und offener Schnittstellen sowie strenger Sicherheits- und Transparenzvorgaben bauen wir eine Cloud der öffentlichen Verwaltung auf. “ (408-411)

„Wir werden kritische Technologie und Infrastruktur besser schützen, Standards und Beschaffung daran ausrichten und ein europäisches Open Source- 5/6G-Konsortium initiieren. Europäische Unternehmen schützen wir besser gegen extraterritoriale Sanktionen. “ (4433 – 4436)

Die Festlegung auf Open Source ist überfällig und wurde von so gut wie jeder digitalpolitisch aktiven Organisation im letzten Jahrzehnt gefordert. Wir vermissen hier allerdings einen wirklichen Reformwillen; denn der Staat kauft viel zu oft proprietäre Software oder Nutzungsverträge zu proprietären Clouds, als dass eigene Entwicklungsaufträge vergeben werden. Wir hätten uns hier ein klareres Bekenntnis zur Abkehr von proprietärer Software von außereuropäischen Herstellern gewünscht. Auch fehlt in diesem Zusammenhang der Willen, bestehende Open Source Projekte zu fördern (Machbarkeitsstudie) oder zu nutzen (dPhönixSuite).

Strikt defensive Cybersicherheitsstrategie für Staat und Wirtschaft

„Hackbacks lehnen wir als Mittel der Cyberabwehr grundsätzlich ab. Nicht-vertrauenswürdige Unternehmen werden beim Ausbau kritischer Infrastrukturen nicht beteiligt.“ (446-447 )

„Das Bundespolizeigesetz novellieren wir ohne die Befugnis zur Quellen-TKÜ und Online-Durchsuchung.“ (3661- 3662)

Auf dem Weg zu einer defensiven Cybersicherheitsstrategie ist die Ablehnung von Hackbacks ein Schritt in die richtige Richtung. Auch die Entfernung der Befugnis zur Quellen-Telekommunikationsüberwachung oder Online-Durchsuchung ist ein weiterer Schritt auf dem Weg zu einer defensiven Cybersicherheitsstrategie. Wir fragen uns allerdings, wie in diesem Zusammenhang der folgende Satz zu verstehen ist:

„Die Bundeswehr muss (…) in die Lage versetzt werden, im Verbund mit anderen Bundesbehörden im Cyber- und Informationsraum als Akteur erfolgreich zu bestehen. “ (5041- 5044)

Hier wurde aus unserer Sicht eine Gelegenheit verpasst, den offiziellen Status der „Verteidigungsarmee“, also einem rein defensiven Vorgehen (Art. 87a GG), zu betonen und diesen Status auch für den Cyberraum zu bestätigen. Vor diesem Hintergrund ist auch der „Bundeswehreinsatz im Inneren“, also z.B. die Hilfsleistung gegenüber anderen Bundesbehörden notwendigerweise zu kritisieren. Die Bundeswehr sollte in jedem Fall die allerletzte Verteidigungslinie in jeder Krise sein. Jegliche Vorsorge für den Katastrophenfall sollte eben nicht mit den Ressourcen der Bundeswehr planen und dies sollte auch im Cyber- und Informationsraum beibehalten werden.

Staatliche Verantwortung und Aufsicht sicherstellen

„Den physischen Schutz kritischer Infrastrukturen bündeln wir in einem KRITIS-Dachgesetz.“ (3504 )

In diesem Zusammenhang halten wir es für notwendig, für jeden KRITIS-Sektor eine wissenschaftliche Evaluation zu beauftragen, wie notwendige und wirksame (staatliche) Kontrollmechanismen implementiert werden können. Grundsätzlich müssen Kritische Infrastrukturen sorgsamer und ausfallsicherer betrieben und ausgebaut werden, als andere Infrastrukturen. Dies widerspricht grundsätzlich den Bestrebungen nach Gewinnmaximierung durch privatwirtschaftliche Betreiber. Wirksame Regulierungen, unabhängige Kontrollinstanzen und kompetente Aufsichtsbehörden für die einzelnen Sektoren sind daher notwendig.

Auch empfehlen wir der neuen Bundesregierung, in diesem Dachgesetz dafür zu sorgen, dass die Länder endlich Ihre Verpflichtungen (Stellungnahme für Landtag NRW) erfüllen und eine Landes-KRITIS-Verordnung für den Sektor „Staat und Verwaltung“ erlassen, wie sich dies aus der föderalen Struktur in Zusammenhang mit dem IT-Sicherheitsgesetz bzw. dem BSI-Gesetz ergibt. Wir halten es für zwingend notwendig, dass diese Verordnung bundeseinheitlich gestaltet wird. IT-Sicherheit darf nicht zum Standortvorteil einzelner Bundesländer werden.

Bei der Schaffung dieses Dachgesetz bitten wir die neue Bundesregierung zudem, unsere Forderung nach gesetzlich verpflichtendem Patchmanagement sowie nach effektiver Überprüfung und wirksamen Sanktionen bei Nichteinhaltung des § 8a BSIG zu berücksichtigen.

Gründung eines Cyber-Hilfswerks (CHW)

„Die Freiwilligen stärken wir durch ein Ehrenamtskonzept und in föderaler Abstimmung durch bundesweit einheitliche Freistellungs– und Versicherungsschutzregeln der Helferinnen und Helfer. DasTechnische Hilfswerk (THW) nimmt weiter eine zentrale Rolle ein und soll seine Kompetenzen in der
Cyberhilfe erweitern. Den physischen Schutz kritischer Infrastrukturen bündeln wir in einem KRITIS–Dachgesetz.“ (3501 – 3505)

Wir freuen uns sehr über die Aufnahme unseres Impulses zur Schaffung eines Cyberhilfswerks. Allerdings sind wir uns nicht sicher, ob eine Ansiedlung beim THW der richtige Schritt ist. Hier muss das bestehende Konzept mit den unterschiedlichen Varianten und Möglichkeiten diskutiert werden. Es ist aus unserer Sicht klar, dass ein Cyberhilfswerk als Bindeglied zwischen dem BSI und dem THW konzeptioniert werden muss. An welcher Behörde ein CHW aufgehangen wird, sollte daher mit dem Ziel einer möglichst effektiven Aufgabenerfüllung diskutiert werden, bevor die finale Festlegung erfolgt.

Verpflichtung zur Responsible Disclosure

„Das Identifizieren, Melden und Schließen von Sicherheitslücken in einem verantwortlichen Verfahren, z. B. in der IT-Sicherheitsforschung, soll legal durchführbar sein. “ (445-446 )

Wahrscheinlich ist mit „verantwortlichem Verfahren“ das so genannte „Responsible Disclosure“ Verfahren gemeint. Um dies zu erreichen, müssen jedoch Anpassungen an UrhG, UWG und StgB erfolgen. Konkrete Vorschläge, wie dies passieren kann, finden sich hier: sec4research.de sowie auf Bundestagsdrucksache 19/7698, II Unterpunkt 8

„Staat wird keine Sicherheitslücken ankaufen oder offenhalten.“ (3651 – 3655)

Obwohl dies für uns grundsätzlich gut klingt, haben wir hier zwei Sorgen: Zum einen erlaubt diese Formulierung weiterhin, dass der Staat mittels der Zentralen Stelle für Informationstechnik im Sicherheitsbereich (ZITIS), Sicherheitslücken findet und selbst ausnutzt, bis diese geschlossen werden. Zum anderen wird sich die Möglichkeit offen gehalten, Dienstleistungen außereuropäischer Überwachungsdienstleister einzukaufen, die selbst auf großen Mengen bisher unveröffentlichter Sicherheitslücken sitzen und diese für ihr Geschäftsmodell geheim halten.

Auch vor dem Hintergrund, dass das BSI die zentrale Meldestelle für Sicherheitslücken werden soll, ist es wichtig, den oft im Ehrenamt arbeitenden IT-Sicherheitsforscherinnen aber auch den IT-Sicherheitsdienstleistern die explizite Sicherheit zu geben, dass durch sie gefundene Sicherheitslücken auch veröffentlicht werden.

Gerne stehen wir für alle Parlamente, Ministerien und Bundesämter im Ehrenamt beratend zur Verfügung, um im Sinne der Zivilgesellschaft die Versorgungssicherheit und Resilienz kritischer Infrastrukturen zu verbessern.

Unsere politischen Forderungen

Dieser Artikel wurde erstellt von Johannes Rundfeldt und Elina Eickstädt

Ergebnis der Sachverständigenanhörung zum IT-Sicherheitsgesetz 2.0

1. März 2021/in Artikel, Vorträge/von AG KRITIS

Am 01. März 2021 war Manuel Atug, Gründer und Sprecher der AG KRITIS, als Sachverständiger im Ausschuss für Inneres und Heimat im Rahmen der Anhörung zum Entwurf des IT-Sicherheitsgesetz 2.0 geladen. Neben unserer Stellungnahme gab es von allen Sachverständigen enorme Kritik an dem geplanten Gesetzesvorhaben. Wir fordern daher weiterhin die Notbremse für den Entwurf, damit die dringend erforderlichen umfangreichen Änderungen durchgeführt werden können. Weiterhin muss die vorgesehene Evaluierung des ersten IT-Sicherheitsgesetzes durchgeführt werden.

Als Sachverständige wurden geladen:

Sebastian Artz, Branchenverband Bitkom
Manuel Atug, Arbeitsgemeinschaft Kritische Infrastrukturen (AG KRITIS)
Prof. Dr. Klaus F. Gärditz, Staatsrechtler
Dr. Sven Herpig, Stiftung Neue Verantwortung
Linus Neumann, Chaos Computer Club
Martin Schallbruch, Digital Society Institute der European School of Management and Technology Berlin

Die geladenen Sachverständigen waren sich einig, dass der vorliegende Gesetzesentwurf mangelhaft ist. Bereits vor der Einbringung des Entwurfs in den Bundestag hat das Ministerium des Inneren, für Bau und Heimat existierende Entwürfe des Gesetzestexts nicht oder nur mit sehr kurzen Rückmeldefristen für eine Stellungnahme der zivilgesellschaftlichen Organisationen veröffentlicht, sodass erste Kommentare auf geleakten Versionen des Texts beruhen. Zusätzlich handelt es sich bei den vorliegenden Texten um sogenannte Änderungsgesetze, die ein einfaches Lesen des aus den Änderungen resultierenden Gesetzestexts nicht möglich machen.

In der Stellungnahme erläuterte Manuel Atug die von uns bereits mehrfach kritisierten Punkte: Fehlende Unabhängigkeit des BSIs, fehlende Evaluierung des ersten IT-Sicherheitsgesetzes, die Streichung der Stärkung des Bundesamtes für Bevölkerungsschutz und Katastrophenhilfe sowie insbesondere die Einführung der Möglichkeit des Zurückhalten von Schwachstellen durch das BSI, da sich die Behörde damit zum „Handlanger der Sicherheitsbehörden und Nachrichtendienste“ mache und das Vertrauen in den Responsible Disclosure Prozess des BSI erschüttert werden würde.

Auch die anderen Sachverständigen formulierten teils erhebliche Kritik. Dr. Sven Herpig äußerte Kritik an wirkungslosen Passagen bezüglich des digitalen Verbraucherschutzes, da „[…] es in Deutschland weiter möglich sein werde, unsichere IT-Produkte auf den Markt zu bringen“. Linus Neumann vermisst eine Strategie, die „kompromisslos auf IT-Sicherheit“ setzt, beispielsweise durch ein Mindesthaltbarkeitsdatum für Softwarekomponenten und kritisiert das freiwillige IT-Sicherheitskennzeichen. Der Verfassungsrechtler Dr. Klaus F. Gärditz formuliert zusätzlich zu der inhaltlichen Kritik der anderen Sachverständigen verfassungs- und verwaltungsrechtliche Bedenken an § 9b des Entwurfs.

Die Aufzeichnung der kompletten Sitzung ist auf der Webseite des Bundestags abrufbar. Unsere Stellungnahme [AG KRITIS], [Deutscher Bundestag], die Stellungnahmen der anderen Sachverständigen sowie die Rede von Manuel Atug und das Wortprotokoll sind öffentlich einsehbar.

Stellungnahme zum IT-Sicherheitsgesetz 2.0 im Innenausschuss des Bundestag

1. März 2021/in Anhörungen, Artikel/von AG KRITIS

Am 01. März 2021 war Manuel Atug, Gründer und Sprecher der AG KRITIS, als Sachverständiger im Ausschuss für Inneres und Heimat im Rahmen der Anhörung zum Entwurf des IT-Sicherheitsgesetz 2.0 geladen. Neben der mündlichen Stellungnahme im Innenausschuss haben wir auch eine schriftliche Stellungnahme abgegeben, die wir hier veröffentlichen.

Download unserer Stellungnahme als PDF

Übersichtsseite auf bundestag.de mit allen Stellungnahmen

Wortprotokoll der Anhörung

Erste Fraktion im Deutschen Bundestag fordert ein Cyberhilfswerk

11. Dezember 2020/in Artikel, Externe Publikationen/von AG KRITIS

Die Fraktion der freien Demokraten im Deutschen Bundestag hat auf Drucksache 19/24632 einen Antrag mit dem Titel: „Pandemie als digitalen Weckruf ernst nehmen – Umfangreiche
Digitalisierungsstrategie vorlegen“ veröffentlicht.

Dort heißt es neben wichtigen anderen Positionen zu einer defensiven Cybersicherheitsstrategie und zu der Forderung eines unabhängigen BSI unter anderem auch:

Damit auch nach einer Großschadenslage im Cyberraum die Versorgung der Bevölkerung sichergestellt werden kann, sind weiterhin die vorhandenen Bewältigungskapazitäten im BSI zu erweitern, indem ergänzende, ehrenamtliche Strukturen nach Vorbild des THW geschaffen werden.

Der vollständige Antrag ist hier zu finden:

Antrag auf Drucksache 19/24632

Damit ist die Fraktion der Freien Demokraten die erste Fraktion, die unsere Forderung zur Gründung eines Cyberhilfswerks aufgenommen und zur Fraktionsposition gemacht hat. Dies freut uns sehr, denn wir sind davon überzeugt, dass ein Cyberhilfswerk ein notwendiger und wichtiger Schritt zur Erhöhung der Versorgungssicherheit der Bevölkerung ist.

Gerne beraten wir bei Interesse alle Fraktionen im Deutschen Bundestag, wie sie die Gründung eines Cyberhilfswerk bestmöglich auf die eigene politische Agenda setzen.

„Hackbacks ineffektiv und gefährlich“ – sagt der wissenschaftliche Dienst des Bundestags!

4. September 2019/in Artikel/von Manuel Atug

Der Wissenschaftliche Dienst hat in einem eingestuften Gutachten wesentliche Teile unserer Forderungen bestätigt. Das Gutachten wurde auf netzpolitik.org veröffentlicht und bestätigt im Wesentlichen „Die Bundesregierung arbeitet an offensiven Kapazitäten und Hackbacks, doch das ist ineffektiv und gefährlich.“. Das Gutachten entwickelt hat Dr. John Zimmermann Oberstleutnant der Bundeswehr, der seit über 30 Jahren im Dienst der Bundeswehr steht.

Im Gutachten wird aufgezeigt, dass „digitale Gegenmaßnahmen als wartungsaufwändige Einmal-Wirkmittel mit hohem Proliferationsrisiko“ nur als „Einmal-Wirkmittel mit Bumerangeffekt“ auftreten und somit ein wesentliches Risiko darstellen. Darüber Hinaus wird klargestellt, dass von zivilen Kollateralschäden auszugehen ist, wie auch die Vergangenheit schon gezeigt hat. Das offene Thema der Attribution und ihrer Auswirkung wird ebenfalls angesprochen: „Am Ende eines digitalen Wettrüstens ergäbe sich daher in globaler Hinsicht eine anarchische Situation, in der gut gerüstete Cyber-Mächte und nichtstaatliche Hacker einander auf Augenhöhe bedrohen“.

Weiterhin wird festgestellt: „Das Ziehen von klaren definitorischen Grenzen zwischen Angriff und Verteidigung ist kaum möglich“. Daher lassen sich die technischen Mittel für eine „offensive Abwehr“ nicht von digitalen Waffen unterscheiden. Das Gutachten zeigt darüberhinaus erneut, dass unsere Bundesregierung nicht weiß, wer „in Deutschland für die Durchführung der ‚Hackbacks‘ zuständig sein, und wer die rechtlichen und technischen Kompetenzen dazu besitzen soll“.

Die AG KRITIS fordert eine defensive Cybersicherheitsstrategie. Dieser Forderung schließt sich auch das Gutachten mit „Verteidigung ist die beste Verteidigung“ als Quintessenz an.

Berücksichtigung fand unter anderem die Expertise von @Perceptic0n und der SWP, welcher Forderungen, die unseren sehr ähnlich sind, in den beiden Publikationen Überschätzte Cyber-Abschreckung und Governance von 0-Day-Schwachstellen in der deutschen Cyber-Sicherheitspolitik veröffentlicht hat. Diese wurden vom Gutachter unter anderem als Quelle genutzt.

Das eingestufte Gutachten bestätigt unsere Forderungen und macht uns Hoffnung, dass unsere Expertise auch hinter verschlossenen Türen Gehör findet. Nichtsdestotrotz ist das Ziel noch nicht erreicht – die offizielle Cybersicherheitsstrategie unserer Bundesregierung muss zu einer defensiven Cybersicherheitsstrategie werden!