Cyber-Sicherheitsstrategie 2016: Kein zeitgemäßer Umgang mit Verschlüsselungen
Um Deutschland besser vor Cyber-Angriffen zu schützen, hat die Bundesregierung sich gestern auf die Cyber-Sicherheitsstrategie 2016 verständigt. Sowohl die Internetwirtschaft als auch Netzaktivisten kritisieren allerdings die widersprüchliche Position bei Verschlüsselungstechnologien.
So begrüßt etwa der Internetwirtschaftsverband eco, dass die neue Strategie einige Ansätze beinhaltet, die für mehr IT-Sicherheit sorgen können. Problematisch sind aber Unklarheiten wie etwa beim Umgang mit Verschlüsselungen. „Die Bundesregierung hat hier aus meiner Sicht die Chance vergeben, mit einer zeitgemäßen Strategie für mehr Sicherheit im Internet den Turnaround in der anhaltenden Debatte rund um staatliche Überwachung zu schaffen“, erklärt Norbert Pohlmann, eco-Vorstand für IT-Sicherheit.
Keine Lösung für Verschlüsselungsdilemma
Beispielhaft für die vagen Vorgaben stehen die Leitsätze der Bundesregierung zu Verschlüsselungstechnologien. Diese lauten: „Sicherheit durch Verschlüsse“ und „Sicherheit trotz Verschlüsselung“.
Gemeint ist damit: Auf der einen Seite will die Bundesregierung die Verbreitung von Verschlüsselungsverfahren fördern. Dazu heißt es in der Cyber-Sicherheitsstrategie (PDF): „Eine sichere, vertrauliche, nicht manipulierbare elektronische Kommunikation ist grundlegend für die Wahrnehmung der Kommunikationsrechte, des Rechts auf Privatsphäre und der Persönlichkeitsrechte der Bürgerinnen und Bürger.“ Ebenso müssten Web-Angebote konsequent auf starke Verschlüsselung setzen, um die IT-Sicherheit zu erhöhen. Wichtig sei dabei auch, dass eine sichere Verschlüsselung leicht zu handhaben ist. Daher will die Bundesregierung Initiativen fördern, die potentielle Hemmnisse identifizieren und Lösungsansätze entwickeln.
Auf der anderen Seite müsse es den Sicherheitsbehörden aber ermöglicht werden, verschlüsselte Inhalte auszuwerten. Deswegen wird die Zentrale Stelle für Informationstechnik im Sicherheitsbereich (ZITiS) am 1. Januar 2017 auch die Arbeit aufnehmen. Eine Aufgabe der neuen Behörde: Verschlüsselungsverfahren für Polizei und Geheimdienste knacken.
Für den eco ist das aber der falsche Weg. Eine moderne IT-Sicherheitspolitik sollte das Vertrauen ins Internet stärken und nicht stattdessen neue Unsicherheitsfaktoren schaffen, so Pohlmann.
Von digitaler Sorglosigkeit bis zum Schutz kritischer Infrastrukturen
Grundsätzlich umfasst die Cyber-Sicherheitsstrategie mehrere Kernpunkte. Dazu zählt etwa, dass Innenminister Thomas de Maizière (CDU) der „digitalen Sorglosigkeit entgegenwirken“ will. Neben der Verbreitung von Verschlüsselung geht es dabei auch um den Schutz digitaler Identitäten. „Das derzeit verbreitete, aber nicht sichere Benutzername/Passwort-Verfahren ist als Standard zu ergänzen und nach Möglichkeit abzulösen“, heißt es in dem Papier. Das Ziel der Bundesregierung ist, dass Nutzer die Online-Funktionen der Personalausweise verwenden, um sich bei sensiblen Diensten zu identifizieren. Zudem ist die Einführung eines Gütesiegels für IT-Sicherheit geplant.
Ebenfalls auf der Agenda steht eine engere Zusammenarbeit von Staat und Wirtschaft. Geplant ist unter anderem eine Art Cyber-Feuerwehr: Das BSI soll „Mobile Incident Response Teams“ (MIRTs) einrichten, die bei Sicherheitsvorfällen in Behörden und Kritischen Infrastrukturen rasch vor Ort sein können. Ebenso will man enger mit den Providern kooperieren, um Cyber-Angriffe abzuwehren. Ausgebaut werden soll zudem noch das nationale Cyber-Abwehrzentrum und die Bundesregierung will sich innerhalb der EU sowie der Nato stärker engagieren, um die digitale Verteidigungspolitik aktiv mitzugestalten.
Auf der Pressekonferenz warnte Innenminister de Maizière zudem noch vor Chat-Bots in sozialen Netzwerken, wie etwa Spiegel Online berichtet. Wenn diese Propaganda und manipulative Beiträge automatisch verbreiten, könnten sie eine Gefahr für die Meinungsfreiheit darstellen. Deswegen fordert de Maizière auch von sämtlichen deutschen Parteien, im Bundestagswahlkampf 2017 auf den Einsatz von Bots zu verzichten.
Zu viele vage Punkte
Netzaktivisten sind mit dieser Strategie nicht allzu glücklich. So kommt etwa Netzpolitik.org in einer Analyse zu dem Fazit, dass viele Punkte nur vage angeschnitten sind. Neben der Verschlüsselungsfrage betrifft das etwa auch die Abwehr von Cyber-Angriffen durch Provider. Diese sollen eine „datenschutzkonforme Sensorik“ nutzen, um Anomalien im Netz zu erkennen. Was genau damit gemeint ist, bleibt unklar. Dasselbe gilt für die Umsetzung: So sei weder klar, wo das Personal herkommen soll, noch steht ein Zeitplan.