Skip to content
it-838379_1280
21 September 2017

State hacking and IT security

It is a widely held belief that freedom and security are antagonists. This blog post addresses an issue where freedom and security are on the same side: IT security, especially with respect to State hacking as well as the retention of information about security vulnerabilities in ICT systems by the State. This post looks at what positions German political parties have formulated in their programs for the upcoming federal election.

Das vermeintliche Gegensatzpaar Freiheit und Sicherheit hat sich nicht erst seit der Ausrufung eines “Supergrundrechts” Sicherheit zum beliebten Bezugspunkt in der öffentlichen Debatte entwickelt. Dabei fällt aber auf, dass Sicherheit in dieser Debatte so gut wie nie als Grundrecht adressiert wird, denn Grundrechte sind – und das ist eigentlich völlig unumstritten – in erster Linie Schutz- und Abwehrrechte gegen den Staat. Freiheit und Sicherheit stehen daher, wenn Sicherheit als Grundrecht ernst genommen wird, “auf der gleichen Seite” – beide dienen der Einhegung staatlicher Macht und Machtausübung gegenüber den Grundrechtsträgern.

Nirgendwo wird das deutlicher als in einem Bereich der Sicherheit, der in den vergangenen Jahren zunehmend an Bedeutung gewonnen hat: in der IT-Sicherheit, die in ihrer Ausprägung als Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme seit 2008 Verfassungsrang besitzt. Seitdem ist also IT-Sicherheit ein Grundrecht, das dem Staat Grenzen setzt, vor allem indem Eingriffe in dieses Grundrecht unter Bedingungen gestellt werden.

Vor diesem Hintergrund erklärt sich die Relevanz der Frage, wie die Parteien es mit staatlichen Mitteln wie der Online-Durchsuchung und der sogenannten Quellen-Telekommunikationsüberwachung (Quellen-TKÜ, d.h. das “Ausleiten”, also Abgreifen der Kommunikationsdaten auf den Rechnern der Betroffenen, bevor sie übertragen oder nachdem sie empfangen wurden) halten, deren Einsatz in das Grundrecht auf IT-Sicherheit eingreift. Anhand der Ausführungen der Parteien in ihren Wahlprogrammen, aber auch Äußerungen ihrer Repräsentant_Innen in öffentlichen Debatten soll dieser Frage nachgegangen werden. Dabei geht es nicht allein um die individuelle Dimension des Grundrechts auf IT-Sicherheit, also um die Folgen für diejenigen, deren informationstechnische Systeme beim Einsatz solcher Mittel angegriffen werden, sondern auch um die kollektive Dimension: Ist es glaubwürdig, wenn Parteien sich die Gewährleistung von IT-Sicherheit auf die Fahnen schreiben, während sie zugleich die für einen erfolgreichen Einsatz des Bundestrojaners notwendigen Sicherheitslücken in informationstechnischen Systemen als gegeben oder gar wünschenswert erachten? Wenn sie, anstatt die grauen (oder gar schwarzen) Märkte für Sicherheitslücken und Angriffswerkzeuge auszutrocknen, diese gar noch befeuern, indem sie selbst daran teilhaben?

IT-Sicherheit als Politikziel: Wer will wen schützen?

In allen Wahlprogrammen, die wir für den Wahlkompass Digitales untersucht haben, wird die Gewährleistung von IT-Sicherheit als Politikziel bestimmt. Die Parteien unterscheiden sich allerdings darin, wessen IT-Sicherheit sie vor wem schützen wollen.

Die Union fokussiert in dem Abschnitt “11.1. Für einen starken Staat: Sicherheit erhöhen, Verbrechen und Terror bekämpfen” auf “Cyber-Angriffe aus dem In- und Ausland”, denn, so führt sie im Abschnitt “9.4. Chancen für Wirtschaft und Arbeit” aus, die von der Partei präferierten neuen Möglichkeiten, die die Digitalisierung biete, “werden nur dann Erfolg haben, wenn die Menschen auf einen sicheren Betrieb von Anfang an vertrauen dürfen”. Die Union erklärt: “Kluge, umfassende und fortschrittliche IT-Sicherheit ist die Grundlage für ein erfolgreiches digitales Deutschland.” und verspricht: “Dafür werden wir sorgen.” Ihre eigene Politik in der vergangenen Legislaturperiode lobt sie dabei ausdrücklich “Mit dem ersten IT-Sicherheitsgesetz haben wir den Schutz vor Cyber-Attacken deutlich verbessert.”

Auch die SPD beschränkt sich auf IT-Sicherheit gegen “illegale Zugriffe von außen” (4.8. Datensicherheit und digitale Grundrechte) und meint, so schreibt sie in ihrem Programm, dabei den “NSA-Skandal und die Internetkriminalität” als Gründe oder Auslöser zu identifizieren, die die Menschen “verunsichern”. Als Ziel gibt die Partei aus, es gehe darum, “Bürgerinnen und Bürger, Wirtschaft und öffentliche Institutionen vor Ausspähung und Cyberangriffen” zu schützen. Dazu wolle sie “IT-Sicherheitsgesetz fortschreiben und weiterentwickeln, um den neuen Gefährdungen angemessen zu begegnen” (9.6. Straftaten im und aus dem Netz bekämpfen).

Im Gegensatz zu Union und SPD verorten sowohl die Grünen, die Linke als auch – wenn auch sehr versteckt und nur bezüglich eines Teilaspekts – die FDP eine Mitverantwortung für den Mangel an IT-Sicherheit auch bei den deutschen Behörden.

So sehen die Grünen “das Vertrauen in den Staat angesichts rechtswidriger Massenüberwachung durch deutsche wie internationale Geheimdienste und das Eigenleben beim Verfassungsschutz beschädigt” (4.3. WIR SICHERN FREIHEIT). Es sei in erster Linie der Staat, der in der Pflicht sei, “private Kommunikation, persönliche Daten, Beschäftigtendaten und digitale Infrastrukturen” bzw. “private Kommunikation, öffentliche Stellen, die Wirtschaft oder digitale Infrastrukturen” effektiv zu schützen (4.6.3. Vertrauen im Netz sichern). Die Wortwahl im Programm erinnert die stark an die Ausführungen des Bundesverfassungsgerichts zur Begründung der Notwendigkeit des Grundrechts auf IT-Sicherheit, wenn die Grünen erklären: “Je mehr hochsensible Informationen sich auf unseren digitalen Geräten befinden, desto wichtiger wird, dass der grundrechtliche Schutz für den Kernbereich unserer persönlichen Lebensgestaltung konsequent beachtet und ausgebaut wird – gerade auch bei der Strafverfolgung.”

Und auch der Linken geht es um einen Schutz “vor staatlicher Ausspähung und Überwachung durch den Staat” (18.5. Freiheit und Sicherheit für alle: Bürgerrechte ausbauen) und meint damit den eigenen Staat, wie die Aufzählung der abzuwehrenden Eingriffe im nachfolgenden Satz verdeutlicht: “Vorratsdatenspeicherung, Bestandsdatenauskunft und Online-Durchsuchungen, nichtindividualisierte Funkzellenabfrage, allgegenwärtige Videoüberwachung, Späh- und Lauschangriffe und Rasterfahndung”. Allein, IT-Sicherheit wird im Wahlprogramm der Linken nicht explizit als Politikziel benannt – die Partei fordert “nur” die Zuweisung der Aufgabe ihrer Gewährleistung an die Strafverfolgungsbehörden (16.2. Frieden schaffen ohne Waffen: Rüstungsexporte verbieten) und das “Bundesamt für die Sicherheit in der Informationstechnologie (BSI)” (sic!, korrekt wäre “Informationstechnik”) (18.15. Für ein offenes und freies Internet: solidarisches Handeln stärken, Überwachung beenden).

Eine staatliche Mitverantwortung für den mangelhaften Stand der IT-Sicherheit sieht die FDP nur hinsichtlich des “Einsatz[es] von Backdoors und die staatliche Beteiligung an digitalen Grau- und Schwarzmärkten” (7.2.3. Digitale Infrastruktur auf dem neuesten Stand), als Hauptverantwortlich identifiziert sie aber “Nachrichtendienste und ausländische Streitkräfte sowie Wirtschaftsspionage und organisierte Kriminalität” (5.2.1. Verbesserung der nationalen und europäischen Cybersicherheit). IT-Sicherheit sieht die Partei jedenfalls als “staatliche Aufgabe ersten Ranges” (4.1.2. Cybersicherheit), das folge aus der “Bedeutung des Cyberraums für globale Kommunikation, wirtschaftliche Innovation und strategische Infrastruktureinrichtungen” (5.2.1. Verbesserung der nationalen und europäischen Cybersicherheit). Auch die FDP will dabei das BSI stärken, indem es “aus der Zuständigkeit des Bundesinnenministeriums [gelöst] und als nachgeordnete Behörde der Fachaufsicht des neu zu schaffenden Digitalministeriums [unterstellt]” werde.

Die AfD trennt – im Gegensatz zu den anderen Parteien – nicht zwischen ziviler und militärischer IT-Sicherheit, sondern fordert im Gegenteil eine zivil-militärische Zusammenarbeit (3.4. Die AfD fordert eine nationale Sicherheitsstrategie). Geschützt werden sollen “Staat, Wirtschaft und Bürger” vor “Wissens- und Technologiediebstahl”, aber auch vor “„Cyberangriffen“ durch staatliche und nichtstaatliche Akteure”. Welche staatlichen Akteure die AfD dabei meint, bleibt allerdings offen. Primär den Staat sieht die Partei dabei in der Verantwortung, diesen Schutz zu gewährleisten, jedenfalls dort, wo sie überhaupt eine Verantwortungszuschreibung vornimmt: beim “Schutz vor Industriespionage” (13.3. Land der Tüftler und Denker: Technologie fördern).

IT-Sicherheit als Grundrecht?

Bei der Union wird IT-Sicherheit nur als Bedingung für ökonomischen Erfolg adressiert, als “Grundlage für ein erfolgreiches digitales Deutschland” (9.4. Chancen für Wirtschaft und Arbeit), sowie als klassische Staatsaufgabe. Bezeichnend ist dabei die Verbindung, die die Union zwischen der Gewährleistung der IT-Sicherheit und ihrem Staatsverständnis herstellt: Es gehe darum, “unser Land noch besser gegen Cyber-Angriffe aus dem In- und Ausland” zu schützen, fordert die Union als Mittel “für einen starken Staat” (11.1. Für einen starken Staat: Sicherheit erhöhen, Verbrechen und Terror bekämpfen).

Ob die SPD die IT-Sicherheit als Grundrecht versteht oder nicht, geht aus ihren Ausführungen im Wahlprogramm nicht deutlich hervor. Die Partei spricht einerseits von IT-Sicherheit im Zusammenhang mit den “Freiheitsversprechen des Netzes”, was durchaus auf ein solches Verständnis hindeutet, insofern es nämlich gerade die Grundrechte sind, in denen Freiheitsversprechen (verfassungs-)rechtlich kodifiziert werden. Andererseits trennt sie aber schon im Titel dieses Abschnitts ihres Wahlprogramms zwischen “Datensicherheit und digitale[n] Grundrechte[n]” (4.8.). Diese Unklarheit klärt sich auch nicht, wo die SPD ein “„Völkerrecht des Netzes“, das die digitalen Grundrechte definiert” fordert und “innerhalb der EU für eine digitale Grundrechtecharta” werben will.

Die Grünen verstehen IT-Sicherheit explizit als Grundrechtsschutz, wie an verschiedenen Stellen in ihrem Wahlprogramm deutlich wird. Gleichwohl bleibt unklar, ob sie meinen, dass IT-Sicherheit selbst Grundrecht sei oder nur dem Schutz anderer Grundrechte diene. So fassen sie den Schutz digitaler Infrastrukturen als Teil der Wahrung von Grundrechten auf, ohne das Grundrecht selbst zu nennen. Auch die sehr stark an die Ausführungen des Bundesverfassungsgerichts erinnernde Formulierung zum Kernbereichsschutz bei informationstechnischen Systemen (s.o.) kommt ohne Nennung dieses Grundrechts aus. Hingegen werden in den auch die IT-Sicherheit betreffenden Abschnitten verschiedene andere Grundrechte durchaus direkt benannt: Datenschutz, informationelle Selbstbestimmung sowie das Telekommunikationsgeheimnis.

In der Formulierung der Linken erscheint IT-Sicherheit als Teil des Grundrechts auf informationelle Selbstbestimmung, das die Linke “sichern” will: “gegen Vorratsdatenspeicherung, Bestandsdatenauskunft und Online-Durchsuchungen, nichtindividualisierte Funkzellenabfrage, allgegenwärtige Videoüberwachung, Späh- und Lauschangriffe und Rasterfahndung.” Und im Satz davor werden diese staatlichen Maßnahmen sehr viel allgemeiner als Angriffe auf “die Freiheit der Bürgerinnen und Bürger” bezeichnet.

Die FDP markiert die IT-Sicherheit in ihrem Programm nicht als Grundrecht, sondern als Staatsaufgabe. Gleichwohl aber fordert sie “ein Grundrecht auf Verschlüsselung” (7.2.3. Digitale Infrastruktur auf dem neuesten Stand). Und sie scheint alle – oder zumindest viele – internetbezogene Dimensionen der Grundrechte als Teil einer “Informationsfreiheit” zu verstehen, denn sie will “den Abschluss eines internationalen Informationsfreiheitsabkommens vorantreiben, das die Freiheit und Unabhängigkeit des Internets auch in Zukunft sichern sowie die Überwachung und Zensur des Internets eindämmen soll” (5.2.1. Verbesserung der nationalen und europäischen Cybersicherheit).

Die AfD nimmt in den Abschnitten ihres Programms, in denen sie IT-Sicherheit adressiert, keinen Bezug auf Grundrechte.

Die kollektive Dimension der IT-Sicherheit

Neben der individuellen Dimension der IT-Sicherheit darf auch die kollektive nicht vernachlässigt werden. Dabei geht es einerseits um die Proliferation von Sicherheitslücken und Angriffswerkzeugen, andererseits um den staatlichen Umgang mit der Kenntnis solcher Lücken.

Weder die Union, die SPD noch die AfD sprechen in ihren Wahlprogrammen diese kollektive Dimension an; Märkte, auf denen Sicherheitslücken gehandelt werden, werden nicht problematisiert, und über den Umgang des Staates mit Informationen über Sicherheitslücken schweigen die Parteien. Außerhalb der Wahlprogramme sieht es hingegen anders aus, vor allem in Bezug auf die Union. Während vor der Eröffnung der Zentralen Stelle für Informationstechnik im Sicherheitsbereich (Zitis) der Chef der Behörde, Wilfried Karl, noch erklärt hatte, Zitis werde keine Schwachstellen auf Grau- oder Schwarzmärkten einkaufen, kündigte Bundesinnenminister Thomas de Maizière (CDU) zur Eröffnung an, dass die Behörde nicht nur auf diesen Märkten doch als Käuferin auftreten, sondern auch Informationen über Sicherheitslücken gegenüber der Öffentlichkeit geheim halten werde, damit diese von Sicherheitsbehörden erfolgreich für Online-Durchsuchung und Quellen-TKÜ ausgenutzt werden könnten. Dass dies kein Zufall ist, zeigt sich an der Forderung der Union in ihrem Wahlprogramm, die “offensive[n] Cyber-Fähigkeiten” der Bundeswehr weiter auszubauen (11.4. Bundeswehr als Garant unserer Sicherheit).

Die Grünen, die Linke und – zum Teil – die FDP hingegen problematisieren die kollektive Dimension der IT-Sicherheit: So fordern etwa die Grünen einen “internationalen Verhaltenskodex zur Cybersicherheit, der unter anderem eine Selbstverpflichtung enthält, zivile (Netz-)Infrastruktur nicht zum Ziel oder Instrument militärischer Angriffe zu machen” (3.2.2. Rüstungsexporte in Krisenregionen stoppen, Abrüstung und Rüstungskontrolle voranbringen), und lehnen es ab, “dass staatliche oder private Akteur*innen IT-Sicherheitslücken für den eigenen Nutzen und zum Schaden der Allgemeinheit geheim halten” (4.6.3. Vertrauen im Netz sichern), ebenso wie “offensive Operationen in andere Systeme” durch die Bundeswehr. Auch die Linke lehnt “die Offensivstrategie der Bundeswehr im Cyber-Raum” ab (16.2. Frieden schaffen ohne Waffen: Rüstungsexporte verbieten) und fordert zugleich ein Exportverbot für “Software und Geräte, mit denen Internetnutzerinnen und -nutzer verfolgt und Internetsperren errichtet werden können”, womit sie “Überwachungstechnologien” meint (18.15. Für ein offenes und freies Internet: solidarisches Handeln stärken, Überwachung beenden). Die Aussagen der FDP zur kollektiven Dimension der IT-Sicherheit beschränken sich auf die Ablehnung des “Einsatz[es] von Backdoors und die staatliche Beteiligung an digitalen Grau- und Schwarzmärkten” (7.2.3. Digitale Infrastruktur auf dem neuesten Stand).

TL;DR

IT-Sicherheit wird in allen untersuchten Wahlprogrammen als zugleich große Herausforderung und Gewährleistungsziel ausgewiesen. Aber nur die Grünen, die Linke und – jedenfalls teilweise – die FDP adressieren IT-Sicherheit erstens als Grundrecht – und damit als Schutz- und Abwehrrecht gegen den Staat – und zweitens als Schutzgut mit kollektiver Dimension. Sie sind damit auch die einzigen, die verlangen, dass der Staat sich nicht am Handel mit Sicherheitslücken beteiligen und diese stattdessen offenlegen soll.

This post represents the view of the author and does not necessarily represent the view of the institute itself. For more information about the topics of these articles and associated research projects, please contact info@hiig.de.

Jörg Pohle, Dr.

Head of Research Program: Actors, Data and Infrastructures

Explore Research issue in focus

Du siehst eine Tastatur auf der eine Taste rot gefärbt ist und auf der „Control“ steht. Eine bildliche Metapher für die Regulierung von digitalen Plattformen im Internet und Data Governance. You see a keyboard on which one key is coloured red and says "Control". A figurative metaphor for the regulation of digital platforms on the internet and data governance.

Data governance

We develop robust data governance frameworks and models to provide practical solutions for good data governance policies.

Sign up for HIIG's Monthly Digest

and receive our latest blog articles.

Further articles

two Quechuas, sitting on green grass and looking at their smartphones, symbolising What are the indigenous perspectives of digitalisation? Quechuas in Peru show openness, challenges, and requirements to grow their digital economies

Exploring digitalisation: Indigenous perspectives from Puno, Peru

What are the indigenous perspectives of digitalisation? Quechuas in Peru show openness, challenges, and requirements to grow their digital economies.

eine mehrfarbige Baumlandschaft von oben, die eine bunte digitale Publikationslandschaft symbolisiert

Diamond OA: For a colourful digital publishing landscape

The blog post raises awareness of new financial pitfalls in the Open Access transformation and proposes a collaborative funding structure for Diamond OA in Germany.

a pile of crumpled up newspapers symbolising the spread of disinformation online

Disinformation: Are we really overestimating ourselves?

How aware are we of the effects and the reach of disinformation online and does the public discourse provide a balanced picture?