Die investigative Recherche zur NSO Group Technologies und ihrem Überwachungsprodukt Pegasus schockiert, denn sie weist nach, wovor Aktivist:innen seit Jahren warnten: dass Sicherheitslücken auf elektronischen Geräten in vielen Ländern zur umfassenden Überwachung auch von Journalist:innen, Rechtsanwält:innen und Oppositionellen ausgenutzt werden. Weltweit werden durch die Einschleusung von Schadsoftware in Smartphones Grund- und Menschenrechte verletzt.

Bisher heißt es zwar, dass deutsche Behörden keine Geschäftspartner der NSO Group sind und auch keine Deutschen als Opfer der grenzenlosen Überwachung bekannt wurden , aber auch ohne direkte Beteiligung trägt die Bundesregierung dazu bei, dass solche Menschenrechtsverletzungen möglich sind und auch bei uns Überwachung auf Kosten der IT-Sicherheit aller immer stärker zunimmt. So erhielten gerade erst im Juni alle 19 Geheimdienste in Bund und Ländern die Befugnis, Staatstrojaner einzusetzen, die unter Ausnutzung von Sicherheitslücken in IT-Systeme eingeschleust werden. Sicherheitslücken unterscheiden jedoch nicht zwischen Gut oder Böse, Demokratie oder Schurkenstaat, legitimer Behörde oder krimineller Ransomware-Erpresserbande. Wenn Schwachstellen einmal offen sind, kann sie jeder ausnutzen, auch die NSO Group Technologies. Die Folgen sind nicht nur für die IT-Sicherheit gravierend, sondern bedeuten eine grundsätzliche Ausweitung der Überwachungsinfrastruktur weltweit, solange nicht alle bekannten Sicherheitslücken den Herstellern mitgeteilt und geschlossen werden.

Weiterlesen
Telekommunikationsmodernisierungsgesetz und IT-Sicherheitsgesetz 2.0 (Ausschussreport, 21.04.2021)

Zum Thema #Telekommunikationsmodernisierungsgesetz​ kurz #TKModG​ gab es für mich am 21.4.21 Ausschuss-hopping 🏃‍♀️ , denn die Novellierung betrifft auch den Ausschuss für Verkehr und digitale Infrastruktur, in dem ich stellvertretendes Mitglied bin. Im Digitalausschuss haben wir die Debatte fortgeführt und außerdem über die überarbeitete, neue Version des umstrittenen IT-Sicherheitsgesetzes 2.0 diskutiert. 

Weiterlesen
Selbstgemachtes Demo-Schild mit der Aufschrift: Lieber ständig übermüdet als ständig überwacht.
Überwachung zerstört Freiheit – Fotocredit: CC-BY Karola Riegler (Bearbeitung Team ADB)

Zahlreiche Befugniserweiterungen für die Sicherheitsbehörden trugen in den vergangenen Jahren zu einer starken Ausweitung der Überwachungstätigkeit bei. Dabei zeigen mehrere Urteile (Änderungen Verfassungsschutzgesetz, BND-Gesetz und Änderung zur Bestandsdatenauskunft) aus Karlsruhe eindeutig: das Ausmaß des Reformbedarfs im Bereich der Sicherheitsbehörden ist dramatisch – die Vorhaben der Bundesregierung entsprechen keineswegs den hohen verfassungsrechtlichen Vorgaben.

In meiner Schriftlichen Frage wollte ich von der Bundesregierung wissen, was ihre Pläne sind, eine “Überwachungsgesamtrechnung”, die sowohl vom BVerfG als auch vom Bundesdatenschutzbeauftragter für den Datenschutz und die Informationsfreiheit Kelber selbst mehrfach gefordert wurden, zukünftig durchzuführen und sie dann auch zu veröffentlichen. Die Antwort aus dem Bundesinnenministerium ist ein Schlag ins Gesicht der Demokratie.

Weiterlesen

Frage
Wie bewertet die Bundesregierung die Forderung nach einer (auch zu veröffentlichenden) „Überwachungsgesamtrechnung“ (breit interpretiert) zur Evaluierung der Zugriffsmöglichkeiten von Sicherheitsbehörden auf personenbezogene Daten, wie sie unter anderem (sinngemäß) das Bundesverfassungsgericht 2010 in seinem Urteil zur Vorratsdatenspeicherung (https://digitalcourage.de/uberwachungsgesamtrechnung/sammlung) und sogar wörtlich und wiederholt der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (https://www.bfdi.bund.de/DE/Infothek/Pressemitteilungen/2020/09/Neuer-Termin-Übergabe-Tätigkeitsbericht.html) äußerten und ist konkret geplant, eine solche Überwachungsgesamtrechnung künftig durchzuführen und ihre Ergebnisse zu veröffentlichen (bitte begründen)? (Drucksache 19/28193, Frage 17)

Antwort

Das Bundesverfassungsgericht hat in der genannten Entscheidung ausgeführt, dass die Einführung der Telekommunikationsverkehrsdatenspeicherung nicht als Vorbild für die Schaffung weiterer vorsorglich anlassloser Datensammlungen dienen könne, sondern den Gesetzgeber bei der Erwägung neuer Speicherungspflichten in Blick auf die Gesamtheit der verschiedenen schon vorhandenen Datensammlungen zu größerer Zurückhaltung zwinge. Es gehöre zur verfassungsrechtlichen Identität der Bundesrepublik Deutschland, dass die Freiheitswahrnehmung der Bürger nicht total erfasst und registriert werden darf (BVerfGE 125, 260 Rdnr. 218 juris).

Die Bundesregierung trägt den Anforderungen des Gerichts an die Verhältnismäßigkeit von Grundrechtseingriffen insgesamt Rechnung. Dazu wird insbesondere die grundrechtsbeschränkende Wirkung von staatlichen Eingriffsbefugnissen in den Blick genommen. So wird schon jetzt bei der Prüfung neuer rechtlicher Befugnisse auch berücksichtigt, über welche Befugnisse die jeweilige Sicherheitsbehörde bereits verfügt und ob die Anpassungen oder Erweiterungen von Datenerhebungsbefugnissen tatsächlich erforderlich und verhältnismäßig sind. Eine Analyse der Regelungserfordernisse erfolgt daher bereits im Rahmen der Arbeiten an neuen Gesetzgebungsvorhaben. Grundrechtseinschränkende Gesetze dürfen nur erlassen werden, wenn sie zur Erreichung eines legitimen Regelungszwecks geeignet, erforderlich und angemessen sind.

Wenn eine „Überwachungsgesamtrechnung“ als eigenständiges Konzept sich von dieser bisherigen Dogmatik und Methodik der Verhältnismäßigkeitsprüfung lösen wollte, stellte sich die Frage, wie dies im Rahmen einer Grundrechtsprüfung operationalisiert werden sollte.

In Hinblick auf die Frage der Veröffentlichung der Nutzung bestehender Befugnisse der Sicherheitsbehörden sehen eine Vielzahl von Regelungen spezielle periodische Berichtspflichten vor, die auch der laufenden Evaluierung dienen. Über durchgeführte Wohnraumüberwachungsmaßnahmen berichtet die Bundesregierung dem Gremium des Deutschen Bundestages nach Artikel 13 Absatz 6 des Grundgesetzes jährlich. Im Übrigen sind Berichtspflichten über die Durchführung eingriffsintensiver bzw. verdeckter Maßnahmen beispielsweise in § 88 des Bundeskriminalamtgesetzes oder in § 101b der Strafprozessordnung vorgesehen. Die parlamentarische Kontrolle der Nachrichtendienste erfolgt durch das Parlamentarische Kontrollgremium, dies auch auf Grundlage diverser Berichtspflichten wie etwa nach § 14 Absatz 1 des Artikel 10-Gesetzes oder § 8b Absatz 3 des Bundesverfassungsschutzgesetzes. Abgesehen davon ist eine Evaluierung bei wesentlichen Regelungsvorhaben ohnehin vorgeschrieben. Im Rahmen der Evaluierung kann der Frage nach unbeabsichtigten Nebenwirkungen sowie der Akzeptanz der Regelungen nachgegangen werden.

IT-Sicherheitsgesetz 2.0 oder “Anti-IT-Sicherheitsgesetz” - Ausschussreport zur Anhörung(01.03.2021)

Diese Woche gibt es einen Ausschussreport ausnahmsweise aus dem Innenausschuss, denn dort fand die Anhörung zum #ITSig20 bzw. zum ‘Entwurf eines Zweiten Gesetzes zur Erhöhung der Sicherheit informationstechnischer Systeme’statt. Und sie war legendär. Das habe ich in 3,5 Jahren beim Bundestag noch nicht erlebt: Ein Gesetzentwurf, der von ALLEN Sachverständigen komplett verrissen wird. Es ist nämlich eher ein ‘Anti-Sicherheitsgesetz’, denn was es enthält, ist z.T. verfassungswidrig, nicht umsetzbar oder verringert potentiell die IT-Sicherheit für uns alle. Viele wichtige Aspekte fehlen dagegen, z.B. eine Mindestupdatepflicht oder eine Produkthaftung für IT-Produkte, die Unabhängigkeit des BSI vom BMI und die Streichung von Ausnahmen bei der Offenlegung von Sicherheitslücken. Und eine Evaluation des Vorgängergesetzes fehlt leider auch, obwohl sie gesetzlich vorgeschrieben war. Dieses Gesetz darf so einfach nicht verabschiedet werden. 

Weiterlesen
Anke Domscheit-Berg, DIE LINKE: Neues IT Sicherheitsgesetz: ein Schuss in den Ofen

Das IT-Sicherheitsgesetz 2.0 trägt nicht wie versprochen zum Verbraucherschutz bei, verhöhnt demokratische Prozesse durch 24 Stunden Fristen für Stellungnahmen aus Zivilgesellschaft, Wissenschaft und Wirtschaft, entstand ohne die gesetzlich vorgeschriebene Evaluation des Vorgängergesetzes und erlaubt dem BSI nach wie vor, Sicherheitslücken an Geheimdienste weiterzugeben, statt für ihre schnelle Schließung und damit unser aller IT Sicherheit zu sorgen. Hier ist meine Plenarrede als Video verlinkt und kann als Text im Wortlaut gelesen werden. 

Weiterlesen

Jeden Monat nutze ich die Möglichkeit, schriftliche Fragen an die Bundesregierung zu stellen. Neben den weitaus bekannteren Kleinen Anfragen, mit denen die Fraktionen viele Informationen auf einmal erfragen können, sind diese eine gute Möglichkeit, gezielt Informationen über spezifische oder aktuelle Themenkomplexen zu beschaffen. Wie gut man mit einer Antwort am Ende wirklich arbeiten kann, bleibt jedoch häufig dem Zufall überlassen. Im Januar habe ich mich mal wieder der IT-Sicherheit des Bundes gewidmet – und landete damit (leider) einen Volltreffer. Ein Viertel aller Stellen für IT-Sicherheit in den Bundesministerien ist nicht besetzt! Damit wird die Bundesregierung selbst zu einem Risiko für die öffentliche IT-Sicherheit.

Weiterlesen

In den letzten Wochen häuften sich die Meldungen über lahmgelegte Stadtverwaltungen. In Städten wie Brandenburg an der Havel, Potsdam oder Stahnsdorf stehen Teile der IT still, weil die Kommunen Opfer eines Cyber-Angriffes geworden sind. Personalausweise und Reisepässe können in Potsdam beispielsweise nur eingeschränkt ausgestellt werden, Geburts- und Sterbeurkunden derzeit überhaupt nicht. In Brandenburg an der Havel sind dagegen Schulen und das Job-Center betroffen. Der Cyber-Angriff auf die Verwaltungen war möglich, weil es eine Sicherheitslücke in Programmen der Firma Citrix gibt. Citrix-Programme werden vor allem in Unternehmen und der Verwaltung dazu genutzt, Mitarbeiter:innen Heimarbeit zu ermöglichen.

Weiterlesen
IT-Sicherheitsgesetz 2.0 & Jugendmedienschutzgesetz – Seehofer & Giffey im Ausschuss (18.12.2019)

Heute waren Horst Seehofer und Franziska Giffey zu Gast im Ausschuss Digitale Agenda. Und es gibt einiges zu berichten: unter anderem soll »Demokratie leben« weiterhin finanziert werden, das Familienministerium denkt wieder über eine Alterskennzeichnung von Websites nach und ein IT-Sicherheitsgesetz 2.0 liegt bereits in der Schublade. Mehr im Video.

Anke Domscheit-Berg, DIE LINKE: Digitaler Verbraucherschutz + transparenter Staat

Was mit öffentlichem Geld finanziert wurde, muss auch der Allgemeinheit zur Verfügung stehen: Das gilt für Daten der Verwaltung genauso wie für Bildungsmaterialien, amtliche Werke und Forschungsergebnisse. In der IT-Sicherheit fordern wir eine konsequente Ausrichtung am Verbraucherschutz.