Deutsche Märkte geschlossen

Seehofer stärkt die Cyberabwehr

Der Innenminister will die Kompetenzen des Bundesamts für Sicherheit in der Informationstechnik (BSI) ausweiten. Der Huawei-Streit bleibt weiter ungelöst.

Der erste Entwurf für ein neues IT-Sicherheitsgesetz kursierte in Berlin schon vor mehr als einem Jahr. „Cyberangriffe stellen für Staat, Wirtschaft und Gesellschaft nach wie vor ein großes Gefahrenpotential dar“, hieß es damals, was für eine gewisse Dringlichkeit des Vorhabens sprach.

Dennoch passierte monatelang nichts. Der Streit um die Sicherheitskriterien für das 5G-Netz lähmte die Regierung. Insbesondere über die Frage, ob auch chinesische Technologieanbieter wie Huawei die Infrastruktur für den Mobilfunk der fünften Generation ausstatten dürfen, gab es zwischen den Ministerien Krach. Jetzt unternimmt das Bundesinnenministerium einen neuen Anlauf, den Streit beizulegen.
Es hat eine neue Fassung des sogenannten IT-Sicherheitsgesetzes 2.0 an die beteiligten Ministerien geschickt, die ein wichtiges Zugeständnis an die Huawei-Kritiker enthält: eine Überprüfung der Vertrauenswürdigkeit von 5G-Anbietern.

Zwar wird es noch Gesprächsbedarf geben, doch das Innenministerium rechnet damit, dass die Ressortabstimmung noch vor der Sommerpause abgeschlossen werden kann. Damit wäre der Weg für eines der wichtigsten Vorhaben von Bundesinnenminister Horst Seehofer (CSU) frei: die Aufrüstung der deutschen Cyberabwehr.

Seehofer zieht mit der Reform die Lehre aus dem Cyberangriff mit der Schadsoftware WannaCry 2017 sowie die Attacken auf das interne Netz des Auswärtigen Amts 2018 und das IT-System des Bundestags 2015, hinter denen russische Hacker vermutet werden.

„Zwar stagniert die Gesamtzahl der Angriffe auf hohem Niveau, jedoch werden sie qualitativ immer ausgefeilter und somit für alle Betroffenen auch gefährlicher“, lautet die Gefahrenanalyse des Innenministeriums.

IT-Sicherheitskennzeichen für Verbraucher

Um künftig besser gewappnet zu sein, sieht der Gesetzentwurf eine erhebliche Stärkung des Bundesamts für Sicherheit in der Informationstechnik (BSI) vor. Die Bonner Behörde soll 583 zusätzliche Stellen bekommen und neue Kompetenzen erhalten.

„Um Cyber-Sicherheitsvorfällen insgesamt zu begegnen, werden zudem die Befugnisse des BSI zum Schutz der Bundesverwaltung, beispielsweise mit der Schaffung von Befugnissen zur Detektion von Schadprogrammen zum Schutz der Regierungsnetze ausgeweitet“, heißt es in dem Gesetzentwurf.

Zudem soll das BSI um eine Abteilung für Verbraucherschutz erweitert werden. Dort soll unter anderem ein IT-Sicherheitskennzeichen erarbeitet werden. „Hierdurch wird eine fundierte Kaufentscheidung ermöglicht“, schreibt das Innenministerium. Verbraucher sollen „in die Lage versetzt werden, den Aspekt der IT-Sicherheit bei der Auswahl ihrer IT-Produkte in einfacher Form berücksichtigen zu können“.

Das Themenfeld der „aktiven Cyberabwehr“, also die Frage, ob der Staat auf Cyberattacken mit Gegenangriffen reagieren kann, klammert der Gesetzentwurf aus. Das Innenministerium fordert seit Längerem die Kompetenzen der Sicherheitsbehörden entsprechend auszubauen.

Dafür wäre allerdings eine Änderung des Grundgesetzes nötig, da die Zuständigkeit bisher bei den Ländern liegt. Es gilt als unwahrscheinlich, dass darüber noch in dieser Legislaturperiode eine Einigung erzielt werden kann.

Im Gesetzesentwurf äußert man sich nicht deutlich

In der Koalition wird der Beginn der Ressortabstimmung begrüßt. „Es ist gut, dass der Entwurf endlich vorliegt, da die Cybersicherheit ein Thema von höchster Bedeutung ist“, sagt Unionsfraktionsvize Thorsten Frei. „Zwischen den Ressorts werden nun viele Aspekte diskutiert werden. Insbesondere mit Blick auf das 5G-Netz.“
Hier sieht auch die SPD noch erheblichen Gesprächsbedarf.

Die Sozialdemokraten hatten sich schon im vergangenen Dezember auf Sicherheitskriterien verständigt, die chinesische Anbieter de facto ausschließen. „Der Gesetzentwurf ist ein Schritt in die richtige Richtung, aber viele Fragen bleiben offen“, sagt Falko Mohrs, 5G-Berichterstatter der SPD-Fraktion. Aus Sicht der SPD ist klar, dass Anbieter, die dem Einfluss autoritärer Staaten unterliegen, nicht als vertrauenswürdig eingestuft werden können.

Eine solche Festlegung sieht der Gesetzentwurf nicht vor. Er spricht nur davon, dass eine rein technische Überprüfung kritischer Komponenten nicht ausreicht, um die Vertrauenswürdigkeit eines Herstellers zu beurteilen und die Sicherheit der Netze zu garantieren.

„Weder eine Komponentenzertifizierung, noch eine Überprüfung von Sicherheitskonzepten“ böten „eine 100-prozentige Sicherheit, dass die Hersteller keine missbräuchlichen Zugriffsmöglichkeiten auf Hard- und Software implementieren, die Sabotage oder Spionage ermöglichen“, heißt es in dem Entwurf. Das Innenministerium behält sich aber einen großen Ermessensspielraum vor.

Deutsche Anbieter setzen trotz Warnungen auf Huawei

Während die Ressortabstimmung läuft, wollen sich die beteiligten Ministerien offiziell nicht äußern. Klar ist aber, dass kontroverse Verhandlungen bevorstehen. Ob es der Regierung wirklich gelingt, sich bis zur Sommerpause auf einen Kabinettsentwurf zu verständigen, ist unklar.

Die großen deutschen Telekommunikationsanbieter haben die Geduld längst verloren. Sowohl die Deutsche Telekom als auch Vodafone setzen trotz aller Warnungen aus der Politik beim Ausbau ihrer Netze auf eine enge Kooperation mit Huawei.

Das Risiko, dass sie bestimmte Komponenten später ersetzen müssen, nehmen sie in Kauf. Die Frage, ob die angestrebten Neuregelungen auf einen Ausschluss von Huawei aus kritischen Netzbereichen hinauslaufen, ist noch immer nicht beantwortet.

Nach dem bisherigen Entwurf entscheiden Innen- und Wirtschaftsministerium über die Vertrauenswürdigkeit von 5G-Anbietern, was weder für das Auswärtige Amt noch die SPD-Fraktion akzeptabel sein dürfte. Ein Kompromiss könnte sein, den geheim tagenden Bundessicherheitsrat mit der Entscheidung zu beauftragen.