Innenministerin Faeser will Polizei und Geheimdiensten erlauben, IT-Sicherheitslücken offenzuhalten und auszunutzen. Das geht aus Dokumenten einer Ampel-Arbeitsgruppe hervor, die wir veröffentlichen. Das BSI wollen sie nicht unabhängig vom Innenministerium machen, sondern nur etwas „unabhängiger“.
In unserer digitalen und vernetzten Welt ist IT-Sicherheit elementar. Sie muss gegen viele Widerstände erkämpft werden, darunter mangelndes Wissen, knappe Ressourcen und andere Prioritäten. IT-Sicherheit braucht aber auch Unterstützung der Verantwortlichen.
Die Ampel-Regierung hat sich IT-Sicherheit auf ihre Fahnen geschrieben. Der Koalitionsvertrag enthält einen ganzen Absatz zu digitalen Bürgerrechten und IT-Sicherheit. Die Fortschritts-Koalition will das Bundesamt für Sicherheit in der Informationstechnik „unabhängiger aufstellen“ sowie „Schwachstellen immer schnellstmöglich schließen“.
Seitdem arbeiten die relevanten Ministerien an Gesetzen zu diesen Themen. Jetzt hat das Innenministerium einen Zwischenbericht erstellt, den wir veröffentlichen. Zudem tagt seit letztem Jahr eine Arbeitsgruppe aus Innenpolitikern der Ampel und dem Innenministerium. Diese Arbeitsgruppe hat Eckpunkte erarbeitet, die wir ebenfalls veröffentlichen. Zunächst berichtete Tagesspiegel Background Digitalisierung.
„Selbständig“ unter Innenministerium
In Deutschland ist das Bundesamt für Sicherheit in der Informationstechnik für IT-Sicherheit zuständig. Doch die Behörde kommt aus dem Bundesnachrichtendienst und untersteht dem Innenministerium. Das führt immer wieder zu Interessenkonflikten. So hat das BSI die Programmierung des Staatstrojaners unterstützt und Quellcode beigesteuert. Spätestens seit dieser Enthüllung fordern Abgeordnete und Experten, das BSI aus der Abhängigkeit des Innenministeriums zu befreien.
Im Koalitionsvertrag spricht die Ampel davon, das BSI „unabhängiger“ zu machen – nicht „unabhängig“. Nach der Affäre um den ehemaligen BSI-Präsident Arne Schönbohm hat die Ampel die Position der neuen BSI-Präsidentin Claudia Plattner sogar noch abhängiger gemacht. Die Wirtschaftswoche spricht von „Willkür“ und „Schleudersitz“.
Laut dem Zwischenbericht hat die Ampel „im Wesentlichen“ aufgegeben, das BSI vollständig unabhängig vom Innenministerium zu machen. Stattdessen sollen nur einige Abteilungen unabhängig und weisungsfrei werden, andere nicht. Den Eckpunkte der Arbeitsgruppe zufolge soll das BSI „eine ’selbständige‘ Bundesoberbehörde im Geschäftsbereich des BMI“ sein. Also weiterhin unter dem Innenministerium, mit „selbstständig“ nur in Anführungszeichen.
Dem Chaos Computer Club reicht das nicht. Sprecher Dirk Engling kommentiert gegenüber netzpolitik.org: „Es ist längst überfällig, den offensichtlichen Zielkonflikt des BSI aufzulösen, für IT-Sicherheit in deutschen Firmen, der Zivilgesellschaft und Behörden einzutreten und gleichzeitig Schwachstellen für die digitalen Kriegsphantasien ihrer Schwesterdienste mit Geheimnishintergrund zu horten. Eine komplette Emanzipation vom BMI auf lange Sicht wäre ein begrüßenswerter nächster Schritt“.
Schwachstellen offenlassen und schließen
Fast alle IT-Produkte haben Sicherheitslücken. US-Behörden haben letztes Jahr über 50.000 Schwachstellen erfasst – alle zehn Minuten eine. Diese Schwachstellen müssen geschlossen werden, denn ihre Ausnutzung durch Unbefugte gefährdet neben der IT-Sicherheit auch die öffentliche und nationale Sicherheit.
Die Ampel hat im Koalitionsvertrag beschlossen, „Schwachstellen immer schnellstmöglich zu schließen“. Doch Polizei, Geheimdienste und Militär wollen Schwachstellen nicht melden und schließen, sondern offenhalten und selbst ausnutzen. Innenministerin Nancy Faeser und weite große Teile der SPD wollen Schwachstellen nur „managen“ und manche schließen, aber andere ausnutzen. Damit steht das klare Verspechen aus dem Koalitionsvertrag auf der Kippe.
Laut dem Zwischenbericht drängt das Innenministerium darauf, manche Schwachstellen offenzuhalten und auszunutzen. Das seien „Erfordernisse der Strafverfolgung, der Aufklärung der Nachrichtendienste und der Verteidigung“. In der Arbeitsgruppe erarbeiten Innenministerium und Ampel-Abgeordnete „konstruktiv Lösungsszenarien“.
Innenministerium gegen Koalitionsvertrag
Der liberale Abgeordnete Manuel Höferlin widerspricht. Gegenüber netzpolitik.org sagt er: „Schwachstellen müssen schnellstmöglich geschlossen und dürfen nicht offen gehalten werden. Gerade die stetig wachsende Gefahr von Cyberattacken durch ausländische Akteure verdeutlicht die Wichtigkeit dieses Vorhabens.“
Der grüne Abgeordnete Konstantin von Notz sprach im Sommer von einer Abwägung: „Eine Lücke, die nur eine sehr kleine Zahl von Menschen betrifft, könnte womöglich zugunsten der Sicherheitsbehörden offenbleiben.“ Zum aktuellen Stand der Verhandlungen kommentiert er gegenüber netzpolitik.org: „Ich erwarte von allen Verantwortlichen, auch den beteiligten Ministerien, dass die Vorgaben des Koalitionsvertrags nun entschlossen umgesetzt werden.“
Über die offenen Punkte verhandelt die Arbeitsgruppe „konstruktiv und lösungsorientiert“ weiter, noch im Januar gibt es eine weitere Sitzung. Das Innenministerium will bis Ende März eine „Einigung der noch offenen Punkte erzielen“ und ein Konzept erarbeiten. Danach folgt das ordentliche Gesetzgebungsverfahren.
Hier die Dokumente in Volltext:
- Datum: 28. Dezember 2023
- Von: Bundesministerium des Innern und für Heimat
- An: Haushaltsausschuss
- Status: Zwischenbericht
Unabhängigere Aufstellung und Ausbau des BSI als Zentralstelle für IT-Sicherheit
Der Haushaltsausschuss hat am 26. April 2023 den folgenden Beschluss gefasst:
Der Haushaltsausschuss des Deutschen Bundestages nimmt den Zwischenbericht [des BMI zur unabhängigeren Aufstellung und zum Ausbau des BSI als Zentralstelle für IT-Sicherheit vom 31. März 2023 – HHA-Drs. 20(8)3707 – ] zur Kenntnis und stellt fest, dass darin kein umsetzungsfähiges Konzept zur unabhängigeren Aufstellung des Bundesamtes für Sicherheit in der Informationstechnik (BSI) und zu dessen Ausbau als Zentralstelle für IT-Sicherheit enthalten ist.
Der Haushaltsausschuss fordert die Bundesregierung weiterhin auf, bis zum 31. August 2023 ein detailliertes Konzept für ein unabhängigeres BSI und dessen Ausbau zur zentralen Stelle im Bereich IT-Sicherheit vorzulegen. Der Bericht soll Zeitpläne sowie konkrete Vorschläge dazu enthalten, wie sich die Vereinbarung aus dem Koalitionsvertrag umsetzen lässt. Sofern verschiedene Umsetzungsmöglichkeiten für ein unabhängigeres BSI gegeneinander abgewogen wurden, sind auch diese detailliert darzustellen.
Der Haushaltsausschuss hat den Termin für die Vorlage auf Bitten des BMI zuletzt bis zum 31. Dezember 2023 verlängert. In Bezug auf die unabhängigere Aufstellung des BSI (I.) und den Ausbau des BSI zu einer Zentralstelle im Bund-Länder-Verhältnis (II.) wird der nachstehende Zwischenbericht übermittelt. Dieser wird durch ein Eckpunktepapier zum „unabhängigeren BSI“ und den BMI-Entwurf eines Zentralstellenkonzepts ergänzt.
I. Unabhängigere Aufstellung des BSI
Die AG BSI (eine Arbeitsgruppe aus Innenpolitikern der Koalitionsfraktionen und BMI) hat die Fristverlängerung genutzt, um in fünf Sitzungen auf Ebene der Abgeordneten und drei Sitzungen auf Mitarbeiterebene die Thematik gründlich aufzuarbeiten. Zudem hat die AG BSI eine Sachverständigenanhörung durchgeführt, um Stimmen aus Wirtschaft, Wissenschaft und Gesellschaft in die Lösungsfindung einzubringen. Diese Aktivitäten wurden durch Informationsgespräche mit den Sicherheitsbehörden ergänzt, um den dortigen Bedarf zur Nutzung von Schwachstellen für deren gesetzliche Aufgaben darzustellen.
Insgesamt konnten in den Diskussionen zum „unabhängigeren BSI“ deutliche Fortschritte erzielt werden, die dem anliegenden Eckpunktepapier näher dargestellt sind. Derzeit wird jedoch noch über einen Teilaspekt des „unabhängigeren BSI“ diskutiert. Der AG liegt hierzu ein Vorschlag vor, der die Abteilung „Operative Cybersicherheit“ und einige Zertifizierungsreferate des BSI weisungsfrei, mit eigener Leitung sowie eigener Personal- und Budgetverantwortung stellen will. Hier sind noch weitere Diskussionen in der AG erforderlich, um eine auch verfassungsrechtlich vertretbare Lösung abzustimmen. Die im Eckpunktepapier dargelegten Maßnahmen finden jedoch bereits heute im Wesentlichen die Zustimmung der AG.
Ein weiteres Thema, das der Koalitionsvertrag im Kontext „unabhängigeres BSI“ benennt, ist die Schaffung eines wirksamen Schwachstellenmanagements.
Von diesem Themenfeld sind besonders schwierige Abwägungen erfasst, die die Sicherheitsinteressen für deutsche IT-Systeme gegenüber den Erfordernissen der Strafverfolgung, der Aufklärung der Nachrichtendienste und der Verteidigung insgesamt betrachten müssen. Auch hier wurden zwischen den Vertretern in der AG BSI Lösungsszenarien konstruktiv erörtert. Allerdings ist der Stand der Verhandlungen noch nicht ausreichend fortgeschritten, um erste Ergebnisse vorlegen zu können. Insbesondere besteht angesichts der Bedeutung der diskutierten Maßnahmen für die Sicherheit Deutschlands noch weiterer Erörterungsbedarf.
II. Ausbau des BSI zu einer Zentralstelle im Bund-Länder-Verhältnis
BMI und BSI haben für den Ausbau des BSI zu einer Zentralstelle im Bund-Länder-Verhältnis einen Konzeptentwurf entwickelt. Dieser wurde – wie auch verschiedene fachliche und technische Fragen der Länder – in mehreren Workshops diskutiert und anschließend überarbeitet. Der Konzeptentwurf befindet sich gegenwärtig in der Ressortabstimmung. Bereits jetzt dient der Konzeptentwurf als Grundlage für die Erarbeitung der Entwürfe für die notwendigen Rechtsänderungen. Diese bereitet das BMI derzeit vor und plant, die Entwürfe Anfang 2024 für die Änderung des Grundgesetzes und die einfachrechtlichen Ergänzungen des BSI-Gesetzes für die weitere Abstimmung bereit zu stellen. Um Ihnen einen Einblick in den Stand der Arbeiten des BMI zu geben, ist der Entwurf des Zentralstellenkonzepts beigefügt, wie ihn BMI kürzlich in die Ressortabstimmung gegeben hat. Es wird darauf hingewiesen, dass die Ressortabstimmung noch nicht abgeschlossen ist.
Zusammenfassend ist festzustellen, dass die Arbeiten in der AG BSI zwar sehr konstruktiv und lösungsorientiert fortschreiten, aber bedauerlicherweise noch keine Grundlage für das von Ihnen erbetene detaillierte Konzept geschaffen werden konnte. Für Januar 2024 ist eine weitere Sitzung der AG BSI geplant. BMI erwartet, dass eine Einigung hinsichtlich der noch offenen Punkte erzielt werden kann. Auf dieser Basis wird das erbetene Konzept erstellt und innerhalb der Bundesregierung abgestimmt. Das BMI geht davon aus, dass es nunmehr gelingen wird, im ersten Quartal des neuen Jahres das erbetene Konzept zu übersenden.
- Von: Arbeitsgruppe BSI
- Status: Entwurf
Eckpunkte im Rahmen der AG BSI
I. Unabhängigeres BSI
Die Aufgabenbeschreibung des BSI in § 1 BSIG wird ergänzt. Es wird deutlich gemacht,
- dass es sich beim BSI um eine „selbständige“ Bundesoberbehörde im Geschäftsbereich des BMI handelt (§ 1 Abs. 1 S. 2 BSIG) und
- dass das BSI „seine wissenschaftlich-technischen Aufgaben fachlich unabhängig durchführt“ (§ 1 Abs. 1 S. 3 BSIG).
Die Verpflichtung des BSI, über eine Zusammenarbeit mit den Ressorts unverzüglich zu unterrichten (§ 26 Abs. 1 S. 2 GGO), wird gestrichen.
II. Gesetzliche Regelung des CVD-Prozesses
Im Rahmen des CVD-Prozesses nimmt das BSI bereits heute Meldungen zu Sicherheitslücken entgegen und wirkt gegenüber den Herstellern auf deren Schließung hin. Diesbezüglich wird nun folgendes gesetzlich festgeschrieben:
- Das BSI meldet die ihm gemeldeten Schwachstellen immer an den jeweiligen Hersteller.
- Die Weitergabe von Schwachstellen zum Zwecke der Ausnutzung wird untersagt.
- Das BSI schafft Transparenz über den Meldeprozess, insbesondere durch das Veröffentlichen einer CVD-Leitlinie.
Darüber hinaus wird der CVD-Prozess durch untergesetzliche Maßnahmen, wie etwa den Ausbau des automatisierten Informationsaustausches, gestärkt (vorbehaltlich zur Verfügung stehender Haushaltsmittel).
Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.
0 Commentaires