Im BSI-Jahresbericht zur IT-Sicherheit in Deutschland 2021, der heute von Bundesinnenminister Seehofer und BSI Präsident Arne Schönbohm in einer Pressekonferenz vorgestellt wurde, wird die Sicherheitslage als „angespannt bis kritisch“ bezeichnet, werden Ransomware Attacken als größte Bedrohung sowie Sicherheitslücken in Software und Hardware als größte Herausforderung beschrieben und die neue Bundesregierung dazu aufgefordert, der IT-Sicherheit eine höhere Priorität einzuräumen, da sonst die Digitalisierung in Deutschland gefährdet sei. Die netzpolitische Sprecherin der Linksfraktion im Bundestag, Anke Domscheit-Berg stellt dazu eine Reihe konkreter Forderungen an die neue Bundesregierung:
„Die alte Bundesregierung nahm ihre vom Bundesverfassungsgericht beschriebene Verantwortung für den Schutz der Bevölkerung vor Angriffen auf ihre IT nicht hinreichend wahr und trug durch Geheimhaltung von Sicherheitslücken sogar aktiv dazu bei, die IT-Sicherheit in Deutschland zu schwächen. Auf die größte und ständig wachsende Bedrohung durch Erpresser-Schadprogramme (Ransomware) hatte Innenminister Seehofer keinerlei Antwort oder Strategie, so dass immer häufiger Unternehmen und Institutionen bis hin zu gesundheitlichen Einrichtungen, Kommunen und Bildungseinrichtungen Opfer derartiger, gefährlicher Attacken wurden.
Um bei gestiegener Bedrohungslage die Gesellschaft besser zu schützen, muss die neue Bundesregierung daher schnellstmöglich Fehler der alten Bundesregierung korrigieren und deren Cybersicherheitsstrategie neu aufsetzen. Folgenden Maßnahmen sind umzusetzen:
- Unabhängigkeit des BSI und konsequentes Schließen von Sicherheitslücken: Das BSI möchte Sicherheitslücken schließen, die dem BMI nachgeordneten Geheimdienste möchten jedoch für Überwachungszwecke Sicherheitslücken offenhalten, um Werkzeuge wie den Staatstrojaner einsetzen zu können. Das BSI muss daher unabhängig werden, um Interessenskonflikte zu vermeiden. Das Schließen der Sicherheitslücken muss dabei ohne Kompromisse die höchste Priorität erhalten, da die gesamtgesellschaftliche Gefährdung durch offene Sicherheitslücken niemals gerechtfertigt ist. Sicherheitslücken unterscheiden nicht nach Gut oder Börse, jedes Einfallstor kann und wird auch von Kriminellen genutzt, Seehofer sagte heute selbst: “Wir alle können durch Sicherheitslücken Schaden davon tragen”, ohne den einzig sinnvollen Schluss daraus zu ziehen: Sicherheitslücken gehören nicht verwaltet, sondern geschlossen.
- Viel höhere Priorität für IT-Sicherheit im Bund: Ressourcen müssen erhöht, Stellen schneller besetzt, Personal flächendeckend geschult werden, das BSI ist bei Projekten des Bundes zwingend einzubeziehen, um z.B. ein Sicherheitsfiasko wie beim Start der ID-Wallet zu verhindern. Das BSI muss ein Veto-Recht erhalten und seine Berichte und Stellungnahmen zu IT-Vorhaben des Bundes müssen öffentlich sein. In jeder Bundesbehörde ist ein CISO – ein Chief Information Security Officer zu benennen und mit hohen Befugnissen auszustatten. Das IT-Sicherheitsgesetz 2.0 und sein Vorgängergesetz sind zu evaluieren, notwendige Anpassungen zeitnah umzusetzen.
- Entkriminalisierung der IT-Sicherheitsforschung: der sogenannte „Hacker-Paragraf“ muss substantiell überarbeitet werden, da er in der Praxis dazu führt, dass IT-Sicherheitsforschung kaum legal machbar ist und Entdecker:innen von Sicherheitslücken selbst bei verantwortungsvoller Offenlegung keine Belohnung, sondern eine Anzeige winkt. So zeigte die CDU Sicherheitsforscherin Lilith Wittmann an, die erhebliche Sicherheitslücken der CDU-Wahlkampf-App offenlegte. Nicht weniger, sondern mehr IT-Sicherheitsforschung führt zu mehr IT-Sicherheit, daher gehört sie nicht behindert, sondern gefördert.
- Mehr digitale Souveränität, weniger Abhängigkeit von Monopolen: Da viele Angriffe auf weitverbreitete Produkte monopolistischer Hersteller erfolgen, ist eine Stärkung von Open Source auch ein aktiver Beitrag zu mehr IT-Sicherheit. Laut BSI-Bericht waren Anfang 2021 etwa 98 Prozent der Microsoft Exchange Server von einer gravierenden Sicherheitslücke betroffen. Monokulturen sind nicht nur in der Landwirtschaft, sondern auch in der IT gefährlich, da ein einzelner Computervirus schnell zu einem Flächenbrand führen kann.
- Einführung einer Mindestupdatepflicht: Mit Software-Updates werden Sicherheitslücken geschlossen, daher ist im Sinne des Verbraucherschutzes eine Mindestupdatepflicht einzuführen und ihre Dauer auf IT-Produkten zu kennzeichnen. Bei Smartphones sollte sie z.B. nicht unter fünf Jahren liegen, um eine längere Nutzung ohne erhöhtes Sicherheitsrisiko zu ermöglichen, das ist gleichzeitig ein Beitrag für mehr Nachhaltigkeit.
- Bundesweite Bildungs- und Präventionsoffensive: für breite Aufklärung der Bevölkerung, niedrigschwellig und flächendeckend, damit der Schutz der eigenen Daten und elektronischen Geräte so gut verstanden wird, wie die Notwendigkeit, sich nach der Toilette die Hände zu waschen. Was sind sichere Passwörter und wie speichert man sie sicher? Warum braucht es eine 2-Faktor-Authentifizierung? Wie macht man sichere Backups, um keine Angst vor Erpresser-Angriffen haben zu müssen, die alle Daten verschlüsseln? Wie erkennt man vorgetäuschte Absender und Phishing Mails? Warum sind regelmäßige Software-Updates wichtig? Alles das muss zum Grundwissen gehören und auf vielfältigen Wegen vermittelt werden. Dazu sollten künftig auch Bundesfreiwillige im Rahmen eines „freiwilligen digitalen Jahres“ beitragen.
- Gründung eines Cyber-THW für den digitalen Notfall: wie die freiwillige Feuerwehr bei Bränden sollte künftig ein Cyber-THW schnell und unbürokratisch bei digitalen Notfällen wie nach einer Ransomware-Attacke zur Stelle sein und kompetent helfen können. Gerade kleinere Institutionen, Kommunalverwaltungen , NGOs, Schulen oder Krankenhäuser haben oft nicht die notwendige Expertise, um sich im Ernstfall schnell genug selbst zu helfen.
Die Linksfraktion wird die neue Bundesregierung daran messen, welche Priorität sie der IT-Sicherheit einräumt und ob sie anders als die GroKo in der Lage ist, der kritischen Bedrohungslage angemessen entgegen zu treten und ihre Schutzfunktion auch gegenüber der Bevölkerung wahrzunehmen.“