{"id":36216,"date":"2017-09-21T13:28:52","date_gmt":"2017-09-21T11:28:52","guid":{"rendered":"https:\/\/www.hiig.de\/?p=36216\/"},"modified":"2023-03-28T17:19:52","modified_gmt":"2023-03-28T15:19:52","slug":"state-hacking-and-it-security","status":"publish","type":"post","link":"https:\/\/www.hiig.de\/en\/state-hacking-and-it-security\/","title":{"rendered":"State hacking and IT security"},"content":{"rendered":"

It is a widely held belief that freedom and security are antagonists. This blog post addresses an issue where freedom and security are on the same side: IT security, especially with respect to State hacking as well as the retention of information about security vulnerabilities in ICT systems by the State. This post looks at what positions German political parties have formulated in their programs for the upcoming federal election.<\/span><\/em><\/p>\n

Das vermeintliche Gegensatzpaar Freiheit und Sicherheit hat sich nicht erst seit der <\/span>Ausrufung eines \u201cSupergrundrechts\u201d Sicherheit<\/span><\/a> zum beliebten Bezugspunkt in der \u00f6ffentlichen Debatte entwickelt.\u00a0<\/span>Dabei f\u00e4llt aber auf, dass Sicherheit<\/em> in dieser Debatte so gut wie nie als Grundrecht adressiert wird, denn Grundrechte sind \u2013 und das ist eigentlich v\u00f6llig unumstritten \u2013 in erster Linie Schutz- und Abwehrrechte gegen den Staat. Freiheit und Sicherheit stehen daher, wenn Sicherheit als Grundrecht ernst genommen wird, \u201cauf der gleichen Seite\u201d \u2013 beide dienen der Einhegung staatlicher Macht und Machtaus\u00fcbung gegen\u00fcber den Grundrechtstr\u00e4gern.<\/span><\/p>\n

Nirgendwo wird das deutlicher als in einem Bereich der Sicherheit, der in den vergangenen Jahren zunehmend an Bedeutung gewonnen hat: in der IT-Sicherheit, die in ihrer Auspr\u00e4gung als <\/span>Grundrecht auf Gew\u00e4hrleistung der Vertraulichkeit und Integrit\u00e4t informationstechnischer Systeme<\/span><\/a> seit 2008 Verfassungsrang besitzt. Seitdem ist also IT-Sicherheit ein Grundrecht, das dem Staat Grenzen setzt, vor allem indem Eingriffe in dieses Grundrecht unter Bedingungen gestellt werden.<\/span><\/p>\n

Vor diesem Hintergrund erkl\u00e4rt sich die Relevanz der Frage, wie die Parteien es mit staatlichen Mitteln wie der Online-Durchsuchung und der sogenannten Quellen-Telekommunikations\u00fcberwachung (Quellen-TK\u00dc, d.h. das \u201cAusleiten\u201d, also Abgreifen der Kommunikationsdaten auf den Rechnern der Betroffenen, bevor sie \u00fcbertragen oder nachdem sie empfangen wurden) halten, deren Einsatz in das Grundrecht auf IT-Sicherheit eingreift. Anhand der Ausf\u00fchrungen der Parteien in ihren Wahlprogrammen, aber auch \u00c4u\u00dferungen ihrer Repr\u00e4sentant_Innen in \u00f6ffentlichen Debatten soll dieser Frage nachgegangen werden. Dabei geht es nicht allein um die individuelle Dimension des Grundrechts auf IT-Sicherheit, also um die Folgen f\u00fcr diejenigen, deren informationstechnische Systeme beim Einsatz solcher Mittel angegriffen werden, sondern auch um die kollektive Dimension: Ist es glaubw\u00fcrdig, wenn Parteien sich die Gew\u00e4hrleistung von IT-Sicherheit auf die Fahnen schreiben, w\u00e4hrend sie zugleich die f\u00fcr einen erfolgreichen Einsatz des Bundestrojaners notwendigen Sicherheitsl\u00fccken in informationstechnischen Systemen als gegeben oder gar w\u00fcnschenswert erachten? Wenn sie, anstatt die grauen (oder gar schwarzen) M\u00e4rkte f\u00fcr Sicherheitsl\u00fccken und Angriffswerkzeuge auszutrocknen, diese gar noch befeuern, indem sie selbst daran teilhaben?<\/span><\/p>\n

IT-Sicherheit als Politikziel: Wer will wen sch\u00fctzen?<\/h3>\n

In allen Wahlprogrammen, die wir f\u00fcr den <\/span>Wahlkompass Digitales<\/span><\/a> untersucht haben, wird die Gew\u00e4hrleistung von IT-Sicherheit als Politikziel bestimmt. Die Parteien unterscheiden sich allerdings darin, wessen IT-Sicherheit sie vor wem sch\u00fctzen wollen.<\/span><\/p>\n

Die Union fokussiert in dem Abschnitt \u201c11.1. F\u00fcr einen starken Staat: Sicherheit erh\u00f6hen, Verbrechen und Terror bek\u00e4mpfen\u201d auf \u201cCyber-Angriffe aus dem In- und Ausland\u201d, denn, so f\u00fchrt sie im Abschnitt \u201c9.4. Chancen f\u00fcr Wirtschaft und Arbeit\u201d aus, die von der Partei pr\u00e4ferierten neuen M\u00f6glichkeiten, die die Digitalisierung biete, \u201cwerden nur dann Erfolg haben, wenn die Menschen auf einen sicheren Betrieb von Anfang an vertrauen d\u00fcrfen\u201d. Die Union erkl\u00e4rt: \u201cKluge, umfassende und fortschrittliche IT-Sicherheit ist die Grundlage f\u00fcr ein erfolgreiches digitales Deutschland.\u201d und verspricht: \u201cDaf\u00fcr werden wir sorgen.\u201d Ihre eigene Politik in der vergangenen Legislaturperiode lobt sie dabei ausdr\u00fccklich \u201cMit dem ersten IT-Sicherheitsgesetz haben wir den Schutz vor Cyber-Attacken deutlich verbessert.\u201d<\/span><\/p>\n

Auch die SPD beschr\u00e4nkt sich auf IT-Sicherheit gegen \u201cillegale Zugriffe von au\u00dfen\u201d (4.8. Datensicherheit und digitale Grundrechte) und meint, so schreibt sie in ihrem Programm, dabei den \u201cNSA-Skandal und die Internetkriminalit\u00e4t\u201d als Gr\u00fcnde oder Ausl\u00f6ser zu identifizieren, die die Menschen \u201cverunsichern\u201d. Als Ziel gibt die Partei aus, es gehe darum, \u201cB\u00fcrgerinnen und B\u00fcrger, Wirtschaft und \u00f6ffentliche Institutionen vor Aussp\u00e4hung und Cyberangriffen\u201d zu sch\u00fctzen. Dazu wolle sie \u201cIT-Sicherheitsgesetz fortschreiben und weiterentwickeln, um den neuen Gef\u00e4hrdungen angemessen zu begegnen\u201d (9.6. Straftaten im und aus dem Netz bek\u00e4mpfen).<\/span><\/p>\n

Im Gegensatz zu Union und SPD verorten sowohl die Gr\u00fcnen, die Linke als auch \u2013 wenn auch sehr versteckt und nur bez\u00fcglich eines Teilaspekts \u2013 die FDP eine Mitverantwortung f\u00fcr den Mangel an IT-Sicherheit auch bei den deutschen Beh\u00f6rden.<\/span><\/p>\n

So sehen die Gr\u00fcnen \u201cdas Vertrauen in den Staat angesichts rechtswidriger Massen\u00fcberwachung durch deutsche wie internationale Geheimdienste und das Eigenleben beim Verfassungsschutz besch\u00e4digt\u201d (4.3. WIR SICHERN FREIHEIT). Es sei in erster Linie der Staat, der in der Pflicht sei, \u201cprivate Kommunikation, pers\u00f6nliche Daten, Besch\u00e4ftigtendaten und digitale Infrastrukturen\u201d bzw. \u201cprivate Kommunikation, \u00f6ffentliche Stellen, die Wirtschaft oder digitale Infrastrukturen\u201d effektiv zu sch\u00fctzen (4.6.3. Vertrauen im Netz sichern). Die Wortwahl im Programm erinnert die stark an die Ausf\u00fchrungen des Bundesverfassungsgerichts zur Begr\u00fcndung der Notwendigkeit des Grundrechts auf IT-Sicherheit, wenn die Gr\u00fcnen erkl\u00e4ren: \u201cJe mehr hochsensible Informationen sich auf unseren digitalen Ger\u00e4ten befinden, desto wichtiger wird, dass der grundrechtliche Schutz f\u00fcr den Kernbereich unserer pers\u00f6nlichen Lebensgestaltung konsequent beachtet und ausgebaut wird \u2013 gerade auch bei der Strafverfolgung.\u201d<\/span><\/p>\n

Und auch der Linken geht es um einen Schutz \u201cvor staatlicher Aussp\u00e4hung und \u00dcberwachung durch den Staat\u201d (18.5. Freiheit und Sicherheit f\u00fcr alle: B\u00fcrgerrechte ausbauen) und meint damit den eigenen Staat, wie die Aufz\u00e4hlung der abzuwehrenden Eingriffe im nachfolgenden Satz verdeutlicht: \u201cVorratsdatenspeicherung, Bestandsdatenauskunft und Online-Durchsuchungen, nichtindividualisierte Funkzellenabfrage, allgegenw\u00e4rtige Video\u00fcberwachung, Sp\u00e4h- und Lauschangriffe und Rasterfahndung\u201d. Allein, IT-Sicherheit wird im Wahlprogramm der Linken nicht explizit als Politikziel benannt \u2013 die Partei fordert \u201cnur\u201d die Zuweisung der Aufgabe ihrer Gew\u00e4hrleistung an die Strafverfolgungsbeh\u00f6rden (16.2. Frieden schaffen ohne Waffen: R\u00fcstungsexporte verbieten) und das \u201cBundesamt f\u00fcr die Sicherheit in der Informationstechnologie (BSI)\u201d (sic!, korrekt w\u00e4re \u201cInformationstechnik\u201d) (18.15. F\u00fcr ein offenes und freies Internet: solidarisches Handeln st\u00e4rken, \u00dcberwachung beenden).<\/span><\/p>\n

Eine staatliche Mitverantwortung f\u00fcr den mangelhaften Stand der IT-Sicherheit sieht die FDP nur hinsichtlich des \u201cEinsatz[es] von Backdoors und die staatliche Beteiligung an digitalen Grau- und Schwarzm\u00e4rkten\u201d (7.2.3. Digitale Infrastruktur auf dem neuesten Stand), als Hauptverantwortlich identifiziert sie aber \u201cNachrichtendienste und ausl\u00e4ndische Streitkr\u00e4fte sowie Wirtschaftsspionage und organisierte Kriminalit\u00e4t\u201d (5.2.1. Verbesserung der nationalen und europ\u00e4ischen Cybersicherheit). IT-Sicherheit sieht die Partei jedenfalls als \u201cstaatliche Aufgabe ersten Ranges\u201d (4.1.2. Cybersicherheit), das folge aus der \u201cBedeutung des Cyberraums f\u00fcr globale Kommunikation, wirtschaftliche Innovation und strategische Infrastruktureinrichtungen\u201d (5.2.1. Verbesserung der nationalen und europ\u00e4ischen Cybersicherheit). Auch die FDP will dabei das BSI st\u00e4rken, indem es \u201caus der Zust\u00e4ndigkeit des Bundesinnenministeriums [gel\u00f6st] und als nachgeordnete Beh\u00f6rde der Fachaufsicht des neu zu schaffenden Digitalministeriums [unterstellt]\u201d werde.<\/span><\/p>\n

Die AfD trennt \u2013 im Gegensatz zu den anderen Parteien \u2013 nicht zwischen ziviler und milit\u00e4rischer IT-Sicherheit, sondern fordert im Gegenteil eine zivil-milit\u00e4rische Zusammenarbeit (3.4. Die AfD fordert eine nationale Sicherheitsstrategie). Gesch\u00fctzt werden sollen \u201cStaat, Wirtschaft und B\u00fcrger\u201d vor \u201cWissens- und Technologiediebstahl\u201d, aber auch vor \u201c\u201eCyberangriffen\u201c durch staatliche und nichtstaatliche Akteure\u201d. Welche staatlichen Akteure die AfD dabei meint, bleibt allerdings offen. Prim\u00e4r den Staat sieht die Partei dabei in der Verantwortung, diesen Schutz zu gew\u00e4hrleisten, jedenfalls dort, wo sie \u00fcberhaupt eine Verantwortungszuschreibung vornimmt: beim \u201cSchutz vor Industriespionage\u201d (13.3. Land der T\u00fcftler und Denker: Technologie f\u00f6rdern).<\/span><\/p>\n

IT-Sicherheit als Grundrecht?<\/h3>\n

Bei der Union wird IT-Sicherheit nur als Bedingung f\u00fcr \u00f6konomischen Erfolg adressiert, als \u201cGrundlage f\u00fcr ein erfolgreiches digitales Deutschland\u201d (9.4. Chancen f\u00fcr Wirtschaft und Arbeit), sowie als klassische Staatsaufgabe. Bezeichnend ist dabei die Verbindung, die die Union zwischen der Gew\u00e4hrleistung der IT-Sicherheit und ihrem Staatsverst\u00e4ndnis herstellt: Es gehe darum, \u201cunser Land noch besser gegen Cyber-Angriffe aus dem In- und Ausland\u201d zu sch\u00fctzen, fordert die Union als Mittel \u201cf\u00fcr einen starken Staat\u201d (11.1. F\u00fcr einen starken Staat: Sicherheit erh\u00f6hen, Verbrechen und Terror bek\u00e4mpfen).<\/span><\/p>\n

Ob die SPD die IT-Sicherheit als Grundrecht versteht oder nicht, geht aus ihren Ausf\u00fchrungen im Wahlprogramm nicht deutlich hervor. Die Partei spricht einerseits von IT-Sicherheit im Zusammenhang mit den \u201cFreiheitsversprechen des Netzes\u201d, was durchaus auf ein solches Verst\u00e4ndnis hindeutet, insofern es n\u00e4mlich gerade die Grundrechte sind, in denen Freiheitsversprechen (verfassungs-)rechtlich kodifiziert werden. Andererseits trennt sie aber schon im Titel dieses Abschnitts ihres Wahlprogramms zwischen \u201cDatensicherheit und digitale[n] Grundrechte[n]\u201d (4.8.). Diese Unklarheit kl\u00e4rt sich auch nicht, wo die SPD ein \u201c\u201eV\u00f6lkerrecht des Netzes\u201c, das die digitalen Grundrechte definiert\u201d fordert und \u201cinnerhalb der EU f\u00fcr eine digitale Grundrechtecharta\u201d werben will.<\/span><\/p>\n

Die Gr\u00fcnen verstehen IT-Sicherheit explizit als Grundrechtsschutz, wie an verschiedenen Stellen in ihrem Wahlprogramm deutlich wird. Gleichwohl bleibt unklar, ob sie meinen, dass IT-Sicherheit selbst Grundrecht sei oder nur dem Schutz anderer Grundrechte diene. So fassen sie den Schutz digitaler Infrastrukturen als Teil der Wahrung von Grundrechten auf, ohne das Grundrecht selbst zu nennen. Auch die sehr stark an die Ausf\u00fchrungen des Bundesverfassungsgerichts erinnernde Formulierung zum Kernbereichsschutz bei informationstechnischen Systemen (s.o.) kommt ohne Nennung dieses Grundrechts aus. Hingegen werden in den auch die IT-Sicherheit betreffenden Abschnitten verschiedene andere Grundrechte durchaus direkt benannt: Datenschutz, informationelle Selbstbestimmung sowie das Telekommunikationsgeheimnis.<\/span><\/p>\n

In der Formulierung der Linken erscheint IT-Sicherheit als Teil des Grundrechts auf informationelle Selbstbestimmung, das die Linke \u201csichern\u201d will: \u201cgegen Vorratsdatenspeicherung, Bestandsdatenauskunft und Online-Durchsuchungen, nichtindividualisierte Funkzellenabfrage, allgegenw\u00e4rtige Video\u00fcberwachung, Sp\u00e4h- und Lauschangriffe und Rasterfahndung.\u201d Und im Satz davor werden diese staatlichen Ma\u00dfnahmen sehr viel allgemeiner als Angriffe auf \u201cdie Freiheit der B\u00fcrgerinnen und B\u00fcrger\u201d bezeichnet.<\/span><\/p>\n

Die FDP markiert die IT-Sicherheit in ihrem Programm nicht als Grundrecht, sondern als Staatsaufgabe. Gleichwohl aber fordert sie \u201cein Grundrecht auf Verschl\u00fcsselung\u201d (7.2.3. Digitale Infrastruktur auf dem neuesten Stand). Und sie scheint alle \u2013 oder zumindest viele \u2013 internetbezogene Dimensionen der Grundrechte als Teil einer \u201cInformationsfreiheit\u201d zu verstehen, denn sie will \u201cden Abschluss eines internationalen Informationsfreiheitsabkommens vorantreiben, das die Freiheit und Unabh\u00e4ngigkeit des Internets auch in Zukunft sichern sowie die \u00dcberwachung und Zensur des Internets eind\u00e4mmen soll\u201d (5.2.1. Verbesserung der nationalen und europ\u00e4ischen Cybersicherheit).<\/span><\/p>\n

Die AfD nimmt in den Abschnitten ihres Programms, in denen sie IT-Sicherheit adressiert, keinen Bezug auf Grundrechte.<\/span><\/p>\n

Die kollektive Dimension der IT-Sicherheit<\/h3>\n

Neben der individuellen Dimension der IT-Sicherheit darf auch die kollektive nicht vernachl\u00e4ssigt werden. Dabei geht es einerseits um die Proliferation von Sicherheitsl\u00fccken und Angriffswerkzeugen, andererseits um den staatlichen Umgang mit der Kenntnis solcher L\u00fccken.<\/span><\/p>\n

Weder die Union, die SPD noch die AfD sprechen in ihren Wahlprogrammen diese kollektive Dimension an; M\u00e4rkte, auf denen Sicherheitsl\u00fccken gehandelt werden, werden nicht problematisiert, und \u00fcber den Umgang des Staates mit Informationen \u00fcber Sicherheitsl\u00fccken schweigen die Parteien. Au\u00dferhalb der Wahlprogramme sieht es hingegen anders aus, vor allem in Bezug auf die Union. W\u00e4hrend vor der Er\u00f6ffnung der Zentralen Stelle f\u00fcr Informationstechnik im Sicherheitsbereich (Zitis) der Chef der Beh\u00f6rde, Wilfried Karl, noch erkl\u00e4rt hatte, Zitis werde keine Schwachstellen auf Grau- oder Schwarzm\u00e4rkten einkaufen, <\/span>k\u00fcndigte Bundesinnenminister Thomas de Maizi\u00e8re (CDU) zur Er\u00f6ffnung an<\/span><\/a>, dass die Beh\u00f6rde nicht nur auf diesen M\u00e4rkten doch als K\u00e4uferin auftreten, sondern auch Informationen \u00fcber Sicherheitsl\u00fccken gegen\u00fcber der \u00d6ffentlichkeit geheim halten werde, damit diese von Sicherheitsbeh\u00f6rden erfolgreich f\u00fcr Online-Durchsuchung und Quellen-TK\u00dc ausgenutzt werden k\u00f6nnten. Dass dies kein Zufall ist, zeigt sich an der Forderung der Union in ihrem Wahlprogramm, die \u201coffensive[n] Cyber-F\u00e4higkeiten\u201d der Bundeswehr weiter auszubauen (11.4. Bundeswehr als Garant unserer Sicherheit).<\/span><\/p>\n

Die Gr\u00fcnen, die Linke und \u2013 zum Teil \u2013 die FDP hingegen problematisieren die kollektive Dimension der IT-Sicherheit: So fordern etwa die Gr\u00fcnen einen \u201cinternationalen Verhaltenskodex zur Cybersicherheit, der unter anderem eine Selbstverpflichtung enth\u00e4lt, zivile (Netz-)Infrastruktur nicht zum Ziel oder Instrument milit\u00e4rischer Angriffe zu machen\u201d (3.2.2. R\u00fcstungsexporte in Krisenregionen stoppen, Abr\u00fcstung und R\u00fcstungskontrolle voranbringen), und lehnen es ab, \u201cdass staatliche oder private Akteur*innen IT-Sicherheitsl\u00fccken f\u00fcr den eigenen Nutzen und zum Schaden der Allgemeinheit geheim halten\u201d (4.6.3. Vertrauen im Netz sichern), ebenso wie \u201coffensive Operationen in andere Systeme\u201d durch die Bundeswehr. Auch die Linke lehnt \u201cdie Offensivstrategie der Bundeswehr im Cyber-Raum\u201d ab (16.2. Frieden schaffen ohne Waffen: R\u00fcstungsexporte verbieten) und fordert zugleich ein Exportverbot f\u00fcr \u201cSoftware und Ger\u00e4te, mit denen Internetnutzerinnen und -nutzer verfolgt und Internetsperren errichtet werden k\u00f6nnen\u201d, womit sie \u201c\u00dcberwachungstechnologien\u201d meint (18.15. F\u00fcr ein offenes und freies Internet: solidarisches Handeln st\u00e4rken, \u00dcberwachung beenden). Die Aussagen der FDP zur kollektiven Dimension der IT-Sicherheit beschr\u00e4nken sich auf die Ablehnung des \u201cEinsatz[es] von Backdoors und die staatliche Beteiligung an digitalen Grau- und Schwarzm\u00e4rkten\u201d (7.2.3. Digitale Infrastruktur auf dem neuesten Stand).<\/span><\/p>\n

TL;DR<\/h3>\n

IT-Sicherheit wird in allen untersuchten Wahlprogrammen als zugleich gro\u00dfe Herausforderung und Gew\u00e4hrleistungsziel ausgewiesen. Aber nur die Gr\u00fcnen, die Linke und \u2013 jedenfalls teilweise \u2013 die FDP adressieren IT-Sicherheit erstens als Grundrecht \u2013 und damit als Schutz- und Abwehrrecht gegen den Staat \u2013 und zweitens als Schutzgut mit kollektiver Dimension. Sie sind damit auch die einzigen, die verlangen, dass der Staat sich nicht am Handel mit Sicherheitsl\u00fccken beteiligen und diese stattdessen offenlegen soll.<\/span><\/p>\n