Die Digitalpolitik in der Bundesrepublik ist nach wie vor ein Sorgenkind. Und insbesondere der Bereich, für den der Innenminister zuständig ist, kann kaum Erfolge aufweisen: Der elektronische Personalausweis ist ein Flop, die Cybersicherheit gilt als viel zu gering, und die Digitalisierung der öffentlichen Verwaltung ist auch in dieser Legislatur nur langsam weitergekommen.
Erst zwei Jahre ist es her, da sagte der Bundesinnenminister Thomas de Maizière:
"Mein Lieblingsmärchen ist das vom kleinen Häwelmann. Das ist in der Politik weit verbreitet, dass, wenn etwas geschieht, alle Schreien: Mehr, mehr, mehr. Das ist leicht, das zu schreien."
Doch mehr, mehr, mehr - das schreit der Bundesinnenminister nun selbst. Und zwar im Sinne der Cybersicherheit. Die soll nun massiv gestärkt werden, das gesamte System umgebaut werden. Im gut 30-seitigen Entwurf des Bundesinnenministeriums für eine Cybersicherheitsstrategie, die ZEIT online und Deutschlandfunk vorliegt, geht es um: Mehr dürfen, mehr Personal, mehr Mittel wollen. Seit Kurzem ist der Entwurf in der Ressortabstimmung – doch de Maizières Wunschzettel steht vor einigem Widerstand. Und das nicht nur, weil vieles Geld kosten wird, viel Geld – mehr als der Finanzminister ihm bislang für die kommenden Jahre zugesagt hat.
Frühwarnsystem funktioniert nur mit Inhaltsanalyse
Auch inhaltlich enthält sie viele Schwierigkeiten. Ein Beispiel: In der Cybersicherheitsstrategie ist unter anderem geplant, dass die Betreiber der Netze eine Art Frühwarnsystem einbauen – gegen Spionage, Hacker und andere Schurken des Cyberspace.
Prinzipiell sei die Idee richtig, sagt Klaus Landefeld vom Verband der Internetwirtschaft Eco, aber an einem Beispielfall erläutert er, wie schnell sie problematisch wird:
"Ein Hacker hat vielleicht erfolgreich irgendein ein System kompromittiert, und zieht da jetzt gerade große Datenmengen ab. Das wäre mit Sicherheit ein ungewöhnliches Verkehrsmuster, weil einfach die Datenmenge größer ist als es sonst üblich ist, aber es lässt sich nicht ohne weiteres davon unterscheiden, ob das vielleicht ein berechtigter Zugriff ist und ob dieser Zugriff gewünscht ist. Da sind wir dann ganz klar an einem Punkt, wo man ganz tief in die Inhaltsanalyse einsteigen müsste."
Je besser Angriffe erkannt werden sollen, umso genauer müsste also der Datenverkehr untersucht werden. Doch genau das, Inhalte zu analysieren, ist mit dem Telekommunikationsgeheimnis schwer vereinbar. Mindestens Rechtssicherheit fordert Landefeld daher, was erlaubt und was verboten sein soll.
Unmöglich wird es, wenn die Kommunikation gut verschlüsselt ist. Und das sollte immer häufiger der Fall sein, schließlich wünscht sich auch die Bundesregierung das. Denn Sicherheit durch Verschlüsselung ist für die Wirtschaft von morgen maßgeblich, wie Martin Schallbruch erläutert:
"Wenn jetzt ein Maschinenbauer zukünftig für Industrie 4.0 digitale Produktionsanlagen verkauft und sagen kann: Für alle Steuerung habe ich eine zeitgemäße Made-in-Germany- nicht knackbare Verschlüsselung eingebaut, ist das ein überragendes Verkaufsargument für jemanden, der Angst hat davor, dass er mit Wirtschaftsspionage angegriffen wird oder dass ein Hacker seine Produktion sabotiert."
Abschwächen von Verschlüsselung ist nicht ratsam
Seit Kurzem ist Martin Schallbruch als Forscher tätig, nach fast 14 Jahren als IT-Direktor im Bundesinnenministerium. Kaum jemand kennt die Digitalpolitik der Bundesregierung besser als er – und damit ihre Zielkonflikte. Was gut verschlüsselt ist, ist nicht knackbar – nicht einmal für die NSA, und schon gar nicht für Verfassungsschutz oder Bundeskriminalamt. Aber geht das zusammen, Sicherheit durch und zugleich Sicherheit trotz Verschlüsselung? Der Experte Schallbruch sagt jedenfalls, dass das Abschwächen von Verschlüsselung nicht ratsam sei – das würde der gesamten Gesellschaft schaden.
Kürzlich wurde bekannt, dass eine neue Behörde namens "Zentrale Stelle für Informationstechnik im Sicherheitsbereich" künftig helfen soll, wenn Polizeien und Nachrichtendienste beim Knacken von Verschlüsselung nicht mehr weiterkommen. 400 Experten sollen dort arbeiten. In der Cybersicherheitsstrategie kommt das sogenannte ZITIS jedoch nicht vor – dort spielen andere Akteure eine Rolle.
Das Bundeskriminalamt, der Verfassungsschutz und auch das Bundesamt für Sicherheit in der Informationstechnik sollen mehr Kompetenzen und Personal bekommen. Die Cyberspezialeinheiten der Sicherheitsbehörden könnten sich dabei künftig regelmäßig im Weg stehen: Die "Mobile Incident Response Teams" (zu Deutsch etwa: mobile Vorfalleingreifgruppen) beim BSI sollen ausrücken, wenn kritische Infrastrukturen gefährdet sind, die "Quick Reaction Force" (zu Deutsch etwa: schnelle Reaktionseinheit) beim Bundeskriminalamt soll unter anderem dabei helfen, flüchtige Daten zu ergreifen, bevor diese verschwunden sind, und auch im Bundesamt für Verfassungsschutz soll es entsprechende Cyberspezialteams geben. Das Nationale Cyberabwehrzentrum, dessen bisherige Tätigkeit vom Bundesrechnungshof mit einem großen Fragezeichen markiert wurde, soll das alles koordinieren. Nur wie, das ließ das Innenministerium offen.
Verzweifelte Suche nach Mitarbeitern
Ebenfalls offen ist, wie die Stellen überhaupt sinnvoll besetzt werden könnten: Der Staat ist als Arbeitgeber für echte IT-Experten wenig attraktiv. Beamtensold und öffentliches Tarifgefüge können mit der privaten Wirtschaft bei Weitem nicht konkurrieren, sagen Experten. Da derzeit bei allen Sicherheitsbehörden und bei der Bundeswehr massiv Cyberfachkräfte gesucht werden, wird die Not noch größer: Es gibt einfach kaum verfügbares, qualifiziertes Personal am Markt. Der Digitalpolitikforscher Martin Schallbruch sagt:
"Was ich schlecht finde, und wo man entgegenwirken muss, ist, dass in der Verwaltung die schlechter bezahlten Menschen in kleinen Rechenzentren einfache Administrationsarbeiten machen und die wesentlichen Transformationsprojekte in der IT dann von höher bezahlten externen Beratern gesteuert werden. Da muss man das Verhältnis umdrehen. Da braucht man die höher bezahlten Steuerer in der Verwaltung und die weniger gut bezahlten Hilfskräfte, die man reinholt."
Ein Ausweg dafür könnte die Bundesdruckerei sein. Die gehört zwar dem Bund, ist aber ein Unternehmen, kann also marktübliche Gehälter zahlen. Sie soll, so will es das Innenministerium, zum bundeseigenen IT-Sicherheitskonzern ausgebaut werden. Bereits heute ist die Bundesdruckerei selbst und über Tochterfirmen und Beteiligungen neben dem fast schon klassischen Geldscheindruck- und Personalausweisgeschäft in vielen IT-Sicherheits-Bereichen aktiv. Für die Bundesdruckerei innerhalb der Bundesregierung zuständig war zuletzt ein Abteilungsleiter im Finanzministerium: Bruno Kahl – und der ist seit gestern nun BND-Präsident.
Problem mit Zertifizierung
Doch die Stärkung der Sicherheitsbehörden allein wird die Situation nicht ändern können. Weshalb im Innenministerium auch über andere Mittel nachgedacht wird: das BSI soll mehr und intensiver Software auf Sicherheitslücken untersuchen, wenn die Hersteller das beantragen und bezahlen. Solche Zertifizierungen sollen künftig eine wichtigere Rolle einnehmen. Schon heute dürfte in bestimmten Bereichen eigentlich nur Software eingesetzt werden darf, die überprüft wurde. Doch Zertifizierung braucht Zeit, während Sicherheitsupdates oft schnell erfolgen müssen. Klaus Landefeld vom Internetwirtschaftsverband Eco berichtet aus der Praxis:
"Deswegen wurden, teilweise auch im Behördenumfeld, dann die Updates nicht eingespielt. Auf der anderen Seite sind ja Updates schon immer bereits zu spät. Die Sicherheitslücke ist ja immer längst vorher da."
Und viele der Unternehmen, die Software herstellen, sind international, berichtet Landefeld am Beispiel des Bankensektor:
"Da gibt es eine Software, die wird weltweit von einem amerikanischen Hersteller eigentlich benutzt, gerade in diesem Bereich High-Speed-Trading und die Banken müssten sich diesen Einkauf zertifizieren lassen. Und die Aussage des Herstellers war: Nö, machen wir nicht, haben wir kein Interesse dran, das interessiert uns nicht, was ihr da in Deutschland für eine Gesetzeslage habt."
Haftung für Softwareeinsatz?
Offenbar weil auch im Innenministerium durchaus bekannt ist, dass sich kaum ein Hersteller auf teure und langwierige Zertifizierungsprozesse einlässt, gibt es eine weitere Idee: die Frage der Haftung für Hard- und Software. Wer eine Software herstellt oder wer sie verwendet, der könnte dann auch für den Einsatz haftbar sein. Darüber wird bereits seit Jahren immer wieder gestritten. Bloß: Derzeit gibt es kaum einen Anbieter von Soft- oder Hardware, der bereit wäre, für die Sicherheit seiner Produkte auch die Haftung im Einsatz zu übernehmen; die Komplexität moderner Software sei viel zu groß, sagen die Hersteller, und eine komplette Sicherheitslückenfreiheit daher auch nicht möglich.
Eine andere Idee könnte zumindest etwas erfolgreicher sein: Das Innenministerium schlägt vor, eine IT-Know-How-Quote in den Geschäftsführungsetagen deutscher Unternehmen einzuführen. Das wiederum dürfte auch das Wirtschaftsministerium interessieren. Doch dort heißt es: "Die Einführung einer verbindlichen IT-Know-How-Quote steht derzeit nicht zur Debatte."
Auch zwei Jahre nach dem digitalpolitischen Programm "Digitale Agenda" bleibt in der Digitalpolitik also vieles nur Wunsch, was an der Wirklichkeit zu scheitern droht.