Menu Content/Inhalt

Search

Zitat

Newsfeeds

Wir speichern nicht - Weitere Informationen hier...

Video: Bundestag debattiert geplante Surfprotokollierung (25.03.2009) Print E-mail

Am 19. März debattierte der Bundestag über einen Gesetzentwurf des Bundesinnenministers Wolfgang Schäuble, der Internet-Anbietern die verdachtslose Aufzeichnung unseres Surfverhaltens im Internet erlauben soll. Der Arbeitskreis Vorratsdatenspeicherung, der alle Bürger im Rahmen einer Kampagne zum Protest gegen das Vorhaben aufruft, dokumentiert hier die Positionen der Abgeordneten:

Video der Debatte im Bundestag

Download (mp4)

Alle Redebeiträge

Vizepräsident Dr. Hermann Otto Solms:

Ich rufe den Tagesordnungspunkt 21 auf: Erste Beratung des von der Bundesregierung eingebrachten Entwurfs eines Gesetzes zur Stärkung der Sicherheit in der Informationstechnik des Bundes – Drucksachen 16/11967, 16/12225 – Überweisungsvorschlag: Innenausschuss (f), Rechtsausschuss, Ausschuss für Wirtschaft und Technologie, Verteidigungsausschuss, Ausschuss für Kultur und Medien. Nach einer interfraktionellen Vereinbarung ist für die Aussprache eine halbe Stunde vorgesehen. Gibt es dagegen Widerspruch? – Das ist nicht der Fall. Die Kollegin Gisela Piltz hat sich als Einzige in dieser Aussprache zu Wort gemeldet. Die anderen Reden nehmen wir zu Protokoll. Jetzt wollen wir unsere Aufmerksamkeit der Kollegin Piltz widmen.

Gisela Piltz (FDP):

Herr Präsident! Liebe Kolleginnen und Kollegen! Bei dem Titel dieses Gesetzentwurfs, der sehr spät auf der Tagesordnung steht – aus meiner Sicht leider zu spät für ein Gesetz, dessen Konsequenzen sich die meisten von Ihnen, wie ich glaube, noch gar nicht klargemacht haben –, denkt man zunächst an nichts Schlimmes. Gegen Sicherheit von Computern und der Informationstechnik kann man erst einmal nichts haben. Das ist völlig richtig. Die Pannen mit Meldedaten oder auch andere Vorfälle zeigen uns ganz deutlich: Diese Sicherheit muss Priorität haben.

Nur, da hat man die Rechnung ohne den Wirt gemacht; denn wo Sicherheit draufsteht, ist bei dieser Bundesregierung meist auch Überwachung drin. Auch die martialische Wortwahl des Bundesinnenministers, Herr Staatssekretär, im Zusammenhang mit dem geplanten BSI-Gesetz lässt einiges ahnen. In der Pressekonferenz zum Arbeitnehmerdatenschutz am 16. Februar 2009 sprach er diesbezüglich vom Cyber-War, also vom Krieg. Ich finde, das ist nicht ganz angemessen. Natürlich gehört die Informationstechnik zu den kritischen Infrastrukturen eines Staates.

Natürlich ist es notwendig, diese zu schützen. Darin sind wir uns alle einig. Natürlich würde im Falle einer kriegerischen Auseinandersetzung jeder versuchen, die IT-Strukturen anzugreifen und zu sprengen. Aber bei Hackerangriffen, Viren und Würmern von Cyber-War zu sprechen, ist wohl doch etwas überzogen und impliziert wieder Kategorien des Kriegsrechts. Ich sage es einmal ganz überspitzt: Ein Feindstrafrecht für Hacker darf es aus unserer Sicht nicht geben.
(Beifall bei der FDP)

Das Bundesamt für Sicherheit in der Informationstechnik bekommt neue Aufgaben. Das hat mit Sicherheit leider nur begrenzt etwas zu tun. Das BSI bekommt Aufgaben, die weit darüber hinausgehen, nämlich durch die Zertifizierung von Verschlüsselungstechnologien oder Ähnlichem die Sicherheit in der IT des Bundes zu verbessern. Die neuen Aufgaben zur automatisierten Erhebung und Auswertung von Protokolldaten an den Schnittstellen der Behörden bedeuten im Klartext: Wer die Seiten des Bundesverwaltungsamts, des BKA, des BMI oder anderer Behörden des Bundes im Internet aufruft, dessen Eingaben, Klicks und Verweildauer auf den Seiten werden gespeichert und ausgewertet, und zwar ohne Anonymisierung und ohne Pseudonymisierung, nämlich im Klartext. Damit kann das BSI die gesamte Kommunikation der Bürgerinnen und Bürger mit Behörden abhören und auswerten, den Besuch von Internetseiten, E-Mails, Internettelefonie und Chats. Wir finden, das geht zu weit.
(Beifall bei der FDP)

Damit aber leider nicht genug. Diese Daten dürfen dann auch noch an die Sicherheitsbehörden weitergegeben werden, an die Polizei, an die Staatsanwaltschaften und ebenso an die Nachrichtendienste. Das BSI wird zur allgemeinen Polizei- und Schnüffelbehörde; denn es soll nicht nur Hacker und Trojaner verfolgen, sondern allem auf die Spur kommen, was vielleicht illegal im Netz ist.
Weil bei so viel Schnüffelei auch einmal etwas Privates dabei sein könnte, sollen „Erkenntnisse aus dem Kernbereich privater Lebensgestaltung“ im Zweifel entweder gelöscht werden oder – das, Herr Staatssekretär, ist wirklich einmalig – „unverzüglich dem Bundesministerium des Innern“ vorgelegt werden. (Hartfrid Wolff [Rems-Murr] [FDP]: Der Treuhänder der Daten!)

Zu Risiken und Nebenwirkungen der Telekommunikation für die Menschen fragen Sie bitte Ihr freundliches BMI! Ich glaube, so hat sich das Bundesverfassungsgericht das wirklich nicht vorgestellt.
(Beifall bei der FDP)

Da steht nichts von einer unabhängigen richterlichen Kontrolle. Da steht nichts davon, dass Eingriffe in den Kernbereich erst einmal zu unterbleiben haben, so wie es uns das Bundesverfassungsgericht auf den Weg gegeben hat. Erst einmal wird automatisch aufgezeichnet. Wie aus der Antwort auf unsere Kleine Anfrage spricht daraus: Die Bundesregierung hält den Kernbereichsschutz offensichtlich nur für ein Beweisverwertungsverbot. Auch da haben Sie das Bundesverfassungsgericht falsch verstanden.

Immerhin hat das der Bundesrat in seiner bemerkenswerten Stellungnahme deutlich hervorgehoben. Bei der Gegenäußerung der Bundesregierung muss aus meiner Sicht hingegen von einem vorgezogenen Aprilscherz ausgegangen werden. Da steht:

Die Daten werden auch nicht anlasslos erhoben, sondern nur, um Gefahren für die Informationstechnik des Bundes abzuwehren.

Ich versuche einmal, mir das im nicht virtuellen Raum vorzustellen: Die Polizei erhebt Daten von allen Autofahrern an allen Autobahnauffahrten – also Kennzeichen, Geschwindigkeit, Zahl der Insassen –, weil ein Verkehrssünder dort fahren könnte. Das entspräche dem, was Sie hier vorhaben. Ich finde, das geht nun wirklich viel zu weit. (Beifall bei der FDP)

Mehr Sicherheit in der IT setzt übrigens Transparenz voraus. Gerade hier wird aber ein Riegel vorgeschoben. Findet das BSI Schadsoftware oder spürt es Sicherheitslücken auf, braucht es das der Öffentlichkeit nicht mitzuteilen, obwohl das eigentlich Sinn der Sache wäre.

Mit diesem Gesetzentwurf soll auch das Telemediengesetz geändert werden. Der Dienstanbieter soll nach dem Willen der Bundesregierung künftig nicht nur Verbindungsdaten, sondern auch Nutzungsdaten erheben. Das heißt, er soll feststellen, wer wie lange auf welcher Seite im Internet gewesen ist. Auch das ist eine neue Qualität Ihres Handelns und öffnet dem „gläsernen Surfer“ wirklich Tür und Tor. Der Bundesrat hat zum Glück in seiner Stellungnahme, dem Vorschlag Hessens und Baden-Württembergs folgend, eine Einschränkung vorgeschlagen: Nur bei konkretem Verdacht soll die Möglichkeit zur Aufzeichnung erlaubt sein. Wir hoffen, dass sich die Bundesregierung dem anschließt.

Ich glaube, ich bin die letzte Rednerin des heutigen Tages. Ich darf mich an dieser Stelle bei Ihnen bedanken, dass Sie so viel Geduld aufgebracht haben. Ich bedanke mich aber auch bei denen, die hinter den Kulissen fünf Minuten länger arbeiten müssen. Herzlichen Dank. (Beifall bei der FDP)

Vizepräsident Dr. Hermann Otto Solms:

Vielen Dank. – Die übrigen Reden werden zu Protokoll genommen. Es handelt sich um die Reden von Clemens Binninger, CDU/CSU, Frank Hofmann, SPD, Petra Pau, Die Linke, Wolfgang Wieland, Bündnis 90/Die Grünen. Damit schließe ich die Aussprache.

Interfraktionell wird Überweisung des Gesetzentwurfs auf den Drucksachen 16/11967 und 16/12225 an die in der Tagesordnung aufgeführten Ausschüsse vorgeschlagen. Gibt es anderweitige Vorschläge? – Das ist nicht der Fall. Dann ist die Überweisung so beschlossen.

Zu Protokoll gegebene Reden zur Beratung des Entwurfs eines Gesetzes zur Stärkung der Sicherheit in der Informationstechnik des Bundes:

Clemens Binninger (CDU/CSU):

Wir zählen heute mehr als 1,4 Milliarden Internetnutzer weltweit – weit über 40 Millionen davon in Deutschland. Damit hat sich die Zahl der Menschen, die regelmäßig im Internet unterwegs sind, seit 2000 weit mehr als verdoppelt. Allein das zeigt, wie stark sich die Informations- und Telekommunikationswelt in den letzten Jahren verändert hat. Wirtschaftliche Aktivitäten und staatliches Verwaltungshandeln sind in hohem Maße von einer funktionierenden IT-Infrastruktur abhängig. Genau das trifft auch auf die private Nutzung zu. Die Informations- und Kommunikationstechnologie ist mittlerweile eine zentrale Voraussetzung für das Funktionieren unseres Gemeinwesens. Von ihr sind weitere Infrastrukturen etwa in den Bereichen Energie- und Wasserversorgung oder auf dem Verkehrssektor abhängig. Deshalb stellen gezielte kriminelle Angriffe auf die IKT-Infrastruktur eine ganz erhebliche Gefahr dar. Die Attacke auf das Computersystem Estlands 2007 zeigt, welch schwerwiegende Folgen solche Angriffe haben können. Vor zwei Jahren wurden in Estland die Websites von Regierung und Parlament manipuliert und lahmgelegt. Außerdem wurde das IT-System einer der größten Banken des Landes gestört, sodass der Zahlungsverkehr für zwei Tage ausgesetzt werden musste. Weitere Bereiche waren betroffen.

Das Bundesamt für Sicherheit in der Informationstechnik – über das wir heute sprechen – ist als IT-Dienstleister des Bundes für die IT-Sicherheit in Deutschland zuständig. Das Bundesamt für Sicherheit in der Informationstechnik untersucht und bewertet Sicherheitsrisiken und schätzt vorausschauend auch die Auswirkungen neuer Entwicklungen ab. Dazu muss es auch zukünftig die notwendigen Kompetenzen haben. Internet-Banking, e-Commerce, e-Government, diverse Kommunikationsplattformen und soziale Netzwerke im Internet sind neben der reinen Informationsbeschaffung schon lange Bestandteil fester Alltagsgewohnheiten rund um den Erdball. Angesichts der rasanten Entwicklung der letzten Jahre auf diesem Sektor ergeben sich Aufgaben und Erwartungen an das BSI, die sich in der heute gültigen gesetzlichen Grundlage nicht mehr widerspiegeln. Das BSI-Errichtungsgesetz wurde 1990 verabschiedet, ist 1991 in Kraft getreten und seither im Wesentlichen unverändert geblieben. Deshalb wollen wir mit dem heute von der Bundesregierung vorgelegten Gesetzentwurf die Rechtsgrundlage für die Arbeit des BSI reformieren und an die Anforderungen von heute und morgen anpassen. Damit wird das BSI auch in Zukunft zu einem hohen Sicherheitsstandard für die IT-Struktur des Bundes und darüber hinaus beitragen können.

Sichere und verfügbare Kommunikationsnetze sind für staatliches Verwaltungshandeln unverzichtbar, deshalb schaffen wir mit dem vorliegenden Gesetzentwurf die Grundlage für einheitliche Sicherheitsstandards und klare Kompetenzen im Bereich IT-Systeme innerhalb der Bundesverwaltung.

Das BSI wird befugt, technische Vorgaben und verbindliche Mindeststandards für die Sicherung der Informationstechnik innerhalb der Bundesverwaltung zu machen. Das betrifft auch Richtlinien für die Beschaffung von IT-Produkten. Darüber hinaus werden die heute schon existierenden Regelungen zur Zertifizierung durch das BSI modernisiert und neben der reinen Produktzertifizierung auch auf die Zertifizierung von Personen und Dienstleistungen ausgeweitet. Das BSI kann so private IT-Dienstleister prüfen und zertifizieren sowie deren Eignung und Zuverlässigkeit bestätigen. Das ist für Wirtschaft und Verwaltung gleichermaßen von Bedeutung, kaufen doch Unternehmen und zunehmend auch Behörden Komplettlösungen, die bis zur vollständigen Auslagerung der IT reichen. Die Prüfung von Kompetenz und Vertrauenswürdigkeit eines Dienstleisters wird hier einen erheblichen Qualitätsschub bewirken.

In diesem Zusammenhang mit diesen Vorgaben wird das BSI innerhalb der Bundesverwaltung Maßnahmen umsetzen können, um Gefahren, die von Schadprogrammen auf die Kommunikationsinfrastruktur von Bundesbehörden ausgehen, abzuwehren. Bisher war das BSI lediglich beratend tätig ohne eigene Befugnisse, die es ermöglichen würden, ohne Anforderung aktiv zu werden. Das soll jetzt geändert werden. Darüber hinaus soll das BSI als zentrale Meldestelle des Bundes für IT-Sicherheit Informationen über Sicherheitslücken, Schadprogramme und neue Angriffsmuster sammeln und auswerten und diese Erkenntnisse an die betroffenen Stellen weitergeben.

Die Entwicklung der Informations- und Kommunikationssysteme hat nicht nur positive Seiten – darüber lesen wir jeden Tag. 1983 wurde im Rahmen einer wissenschaftlichen Arbeit das erste Computervirus entwickelt, das dann – einmal eingespeist – Programme eigenständig veränderte. Heute wird davon ausgegangen, dass zwischen 60 000 und 100 000 Computerviren existieren, die sich über das World Wide Web innerhalb kurzer Zeit verbreiten können. Hinzu kommen weitere Computerschädlinge wie Trojanische Pferde oder Würmer. Nicht nur die Zahl von Schadprogrammen ist aus meiner Sicht besorgniserregend, sondern auch ihre neue Qualität. Immer häufiger werden Schadprogramme nicht mehr dazu verwandt, unmittelbaren Schaden anzurichten, der bemerkbar wird. Vielmehr verbreiten sich solche Programme unbemerkt und zielen darauf, Daten dauerhaft auszuspionieren, um etwa Passworte, Kreditkarteninformationen oder Zugangsdaten zu erhalten, die dann beispielsweise an andere Kriminelle verkauft werden. Der Bekämpfung dieser Form der Internetkriminalität wird in einer Zeit, in der digitale Informationen eine immer größere Bedeutung haben, notwendigerweise ein höherer Stellenwert zukommen müssen.

Deshalb sieht der vorliegende Gesetzentwurf auch Änderungen des Telekommunikationsgesetzes und des Telemediengesetzes vor. Im Telekommunikationsrecht wird die Bundesnetzagentur im Benehmen mit dem BSI und dem Bundesdatenschutzbeauftragten in der Lage sein, Sicherheitsanforderungen für Anbieter von Telekommunikations- und Datenverarbeitungssystemen zu erstellen. Diese sollen Grundlage für die Sicherheitskonzepte von Telekommunikationsprovidern werden. Hierdurch soll der Schutz des Fernmeldegeheimnisses auch durch technische Maßnahmen gewährleistet werden.

Durch eine Änderung des Telemediengesetzes wird Telemediendienstanbietern die Befugnis eingeräumt, Nutzungsdaten für Zwecke der Sicherheit ihrer technischen Einrichtungen zu erheben und zu verwenden. Im Gegensatz zu den Telekommunikationsprovidern, die entsprechende Daten zum Erkennen, Eingrenzen oder Beseitigen von Störungen erheben können, besteht hier bei den sogenannten Telemedienanbietern, also etwa auch den Betreibern von Internetseiten, eine Rechtslücke. Das ist ein erhebliches Problem, das immer mehr an Bedeutung gewinnt, denn Angriffe auf Telemedienangebote nehmen zu, sei es, um Internetangebote zu manipulieren oder angebotene Leistungen zu stören. Eine erhebliche Gefahr besteht hier aber nicht nur durch die Schädigung von angebotenen Diensten. Vielmehr sind immer häufiger sogenannte Drive-By Infections zu beobachten, also dass auf PCs der Besucher einer Seite heimlich Schadprogramme installiert werden, die sich dann weiter verbreiten. Das heißt, die Angriffsstrategien verändern sich und damit auch die Sicherheitsziele von Dienstanbietern. Es geht nicht mehr nur um Selbstschutz gegen Manipulationen oder Verfügbarkeitsstörungen, sondern heute müssen Systeme auch gegen Angriffe geschützt werden, die diese Systeme nur als Zwischenstation nutzen. Zur Erkennung und Abwehr bestimmter Angriffe ist also die kurzfristige Speicherung und Auswertung der Nutzungsdaten notwendig. Durch die Änderung des Telemediengesetzes soll auch für diese Fälle Rechtssicherheit geschaffen werden. Die strenge Zweckbindung der Daten nach dem Telemediengesetz bleibt dabei unangetastet. Eine Datenverarbeitung ist nur zulässig, soweit und solange dies für die Absicherung der Technik tatsächlich erforderlich ist.

IT-Sicherheit ist eine dynamische Aufgabe mit sich verändernden Anforderungen und Problemen. Mit dem vorliegenden Gesetz zur Stärkung der Sicherheit in der Informationstechnik des Bundes stellen wir sicher, dass das BSI in Zukunft in der Lage ist, seine Aufgabe erfolgreich zu erfüllen. Es wird ein Beitrag geleistet zu mehr Sicherheit in der Informations- und Kommunikationstechnologie.

Frank Hofmann (Volkach) (SPD):

Jeder von uns hat gemerkt, ohne PC läuft hier nichts. Das gilt aber nicht nur für den Bundestag, das gilt für unsere gesamte Gesellschaft, für die Verkehrsmittel (siehe Ausfall der Computer bei der Deutschen Bahn im Februar), für unsere bargeldlosen Zahlungen, für die Versorgung mit Energie oder Wasser.

Wir sind abhängig von der Sicherheit unserer Informations- und Kommunikationstechnologie. Und wer kümmert sich maßgeblich um diese Sicherheit? Soweit es den Bund und die Bundesbehörden betrifft: das BSI. Was ist das? Das Bundesamt für Sicherheit in der Informationstechnologie. Kurz gesagt BSI. Das BSI wurde 1991 gegründet. Vorläufer war Mitte der 1950er-Jahre die Zentralstelle für das Chiffrierwesen, die dem BND unterstellt war. Und direkter Vorgänger war die Zentralstelle für die Sicherheit in der Informationstechnik, die 1989 aus der Zentralstelle für das Chiffrierwesen (ZfCh) hervorging. Seit 1991 heißt diese Bundesbehörde nun BSI, ist mit 500 Mitarbeiterinnen und Mitarbeitern dem Bundesministerium des Innern (BMI) unterstellt und beschäftigt sich mit der Sicherheit in Anwendungen, kritischen Infrastrukturen und dem Internet, mit Kryptografie und Abhörsicherheit, mit Zertifizierung, Zulassung und Konformitätsprüfungen sowie mit neuen Technologien.

Nun hat sich seit 1991 der Internetverkehr und die Gefahrenlage quantitativ und qualitativ verändert. Das Schadens- und Katastrophenpotenzial, die Verletzlichkeit des Staates und der Gesellschaft ist immens angestiegen. Verändern muss sich deshalb auch der Schutz vor Computerattacken. Der vorliegende Gesetzesentwurf will darauf eine Antwort geben.

Dass die Bundesregierung die Chance ergreift, sich gegen Cyberattacks zu wehren, ist notwendig und erforderlich. Dass man neuartige, bisher unbekannte Angriffsmuster erkennen muss, steht ebenfalls außer Zweifel. Es ist deshalb ein sinnvolles Vorhaben, dafür neue Grundlagen zu legen. Die erste Frage muss sein: Kann der Bund seine EDV so aufstellen, dass eine möglichst geringe Gefahr durch Schadprogramme entsteht?

Ist eine Bündelung der EDV richtig, wie wir sie bei der Telekommunikationsüberwachung nunmehr im Bundesverwaltungsamt vornehmen? Wird dadurch der Staat nicht noch stärker angreifbar? Damit will ich zum Ausdruck bringen, dass man präventiv nicht erst ansetzen muss bei Befugnissen für das BSI, sondern bereits im Vorfeld.

Mit diesem Gesetzesentwurf wird das ganze BSI-Errichtungsgesetz abgelöst. Es soll etwas völlig Neues entstehen. Das BSI soll Gefahrenabwehrbehörde, Prüfbehörde, Zertifiziererbehörde und Anbieter von ITSicherheitsprodukten sein. Alles wird beim BSI zentralisiert. Kann das richtig sein? Der Gesetzesentwurf geht davon aus, dass alle eingehenden Datenverkehre bei Bundesbehörden (mit Ausnahme Bundespräsidialamt, Bundestag, Bundesrechnungshof etc.) automatisch gescannt werden und die Protokolldaten für eine gewisse Zeit gespeichert werden. Ist es notwendig, dass diese Datenverkehre offen gespeichert werden, oder könnten diese nicht auch pseudonymisiert oder anonymisiert werden? Geht es in erster Linie um die Gefahrenabwehr, dann kommt es weniger auf den Adressaten an. Geht es um die Feststellung der Täter und deren Hintermänner, dann muss man natürlich die Adressaten rückverfolgen können. Der vorliegende Gesetzesentwurf hat dies nicht befriedigend gelöst.

Soll das BSI bei der Weitergabe von Daten an Strafverfolgungsbehörden und Verfassungsschutz (§ 5 Abs. 4) so weit gehen dürfen, dass auch nicht erhebliche Straftaten gemeldet werden können, wenn sie mittels Telekommunikation begangen wurden? An welche Kriminalitätsbereiche denkt man hierbei? Ist hier nicht eine Aushöhlung von Art. 10 GG zu erwarten?

Interessant finde ich, dass auch die Datenverkehre des Bundesamtes für Datenschutz und Informationstechnik gescannt werden sollen. Hier fehlt das Fingerspitzengefühl. Der Bürger muss mit dem Datenschutzbeauftragten uneingeschränkt und unbeeinträchtigt kommunizieren dürfen. Deshalb muss man hier für andere Lösungen sorgen.

In § 5 Abs. 6 regelt der Gesetzentwurf den Kernbereich privater Lebensgestaltung. Danach soll das BMI diesen Kernbereichsschutz gewährleisten. Es wird keine genaue Funktionsstelle genannt. Es kann aber doch nicht sein, dass es irgendjemand aus dem Innenministerium macht, Fahrbereitschaft oder Pforte. Hier ist der Gesetzentwurf schlampig. Mit diesem minimalen Kernbereichsschutz fällt man in Zeiten zurück, in denen dies vor dem Urteil des Bundesverfassungsgerichts zur Onlinedurchsuchung Rechtsauffassung im Innenministerium gewesen sein könnte. Aber heute ist das doch längst überholt. Weshalb man im Zusammenhang mit diesem Gesetzesentwurf in Art. 3 auch noch das Telemediengesetz ändern will, ist für mich nicht nachvollziehbar. Eine pauschale Befugnisnorm für Diensteanbieter sollte vermieden werden. Ohne intensive und breite Auseinandersetzung, juristisch, technisch und ökonomisch, kann ich diesem Gesetzesentwurf nicht zustimmen.

Petra Pau (DIE LINKE):

Kein Freibrief zur Überwachung.

Erstens. Man versuche sich unsere Gesellschaft, insbesondere die Wirtschaft, aber auch die Verwaltung ohne moderne Informationstechnik vorzustellen. Es wird nicht gelingen. Denn ohne moderne Informationstechnik ständen „alle Räder still“, um ein altes Bild zu bemühen. Deshalb ist es nachvollziehbar, dass der Bund für seine Informationstechnik höchste Sicherheitsstandards anstrebt.

Zweitens. Das ist der Sinn des vorliegenden Gesetzentwurfs und des Bundesamtes für Sicherheit in der Informationstechnik (BSI). Der Gesetzentwurf umfasst in vier Artikeln zwölf Paragrafen mit zahlreichen Unterpunkten. Sie alle scheinen einleuchtend, auch wenn sie nicht auf den ersten Blick überschaubar sind. Insofern könnte man meinen: „Je sicherer, desto besser!“ Wäre da nicht ein versteckter Pferdefuß.

Drittens. Fast alles, was geregelt werden soll, betrifft die interne Informationstechnik und die inneren Informationssysteme des Bundes. Sofern weitere Behörden betroffen sein könnten, werden die Kompetenzen des BSI beschrieben bzw. Grenzen gesetzt. Auch das klingt vertrauenswürdig. Allerdings nur bis zum Verweis auf das Telemediengesetz, konkret § 15 Abs. 9.

Viertens. Dort heißt es:

Soweit erforderlich, darf der Diensteanbieter Nutzungsdaten zum Erkennen, Eingrenzen oder Beseitigen von Störungen seiner für Zwecke seines Dienstes genutzten technischen Einrichtungen erheben und verwenden.

Hier geht es nicht mehr um interne Systeme von Bundesbehörden, sondern um allgemeine Anbieter von Internetleistungen, und die können Google, Yahoo oder anders heißen.

Fünftens. Im Klartext: Das Gesetz zur internen Sicherheit des Bundes ermächtigt externe Anbieter, Nutzungsdaten zu erheben, zu speichern und gegebenenfalls weiterzumelden. Damit würde das Surfverhalten von Internetnutzern registriert und kontrolliert, und das alles ohne konkreten Verdacht. Das wäre ein Freibrief zur Überwachung aller Internetnutzer. Einem solchen Gesetzentwurf wird die Fraktion Die Linke nicht zustimmen.

Wolfgang Wieland (BÜNDNIS 90/DIE GRÜNEN):

Die Ära Schäuble wird als die Ära der neuen zentralen Überwachungs- und Kontrollbehörden in die Annalen eingehen. Das belegt auch dieses vorliegende Gesetz.

Bisher war das Bundesamt für die Sicherheit in der Informationstechnik vor allem für die Prüfung von IT-Strukturen, von Programmen und Geräten zuständig. Es hatte also vor allem eine forschende und beratende Funktion. In dieser Funktion hat das Amt auch weithin anerkannte Arbeit geleistet und zur Verbesserung der Sicherheit der Informationsverarbeitung im öffentlichen, aber auch im privaten Bereich viel beigetragen.

In seinem angestammten Bereich soll das BSI neue Kompetenzen bekommen. Es soll Warnungen zu bekannten Sicherheitsproblemen veröffentlichen, Vorgaben für IT-Systeme des Bundes machen und nationale Zertifizierungsstelle im IT-Bereich werden. Das ist im Prinzip zu begrüßen, denn eine Stärkung der IT-Sicherheit ist angesichts der Sensibilität der verarbeiteten Daten und des immer noch wachsenden IT-Einsatzes ein wichtiges Ziel. Aber schon hier stellen sich Fragen: Das BSI „kann“ nach dem Entwurf Warnungen zu Sicherheitslücken veröffentlichen. Es sollte doch zumindest der Regelfall sein, dass es über solche Lücken informiert! Natürlich sind gewisse Ausnahmen und eine gewisse Flexibilität im Verfahren erforderlich – zum Beispiel zuerst den Hersteller zu warnen und eine Lösung zu entwickeln. Es fragt sich auch, warum der Rat der IT-Beauftragten der Ministerien eine so starke Rolle bekommen soll. Es muss doch selbstverständlich sein, dass Bundesbehörden in der Pflicht sind, die Vorgaben des BSI, die ja nicht leichtfertig gemacht werden, umzusetzen. Hier ist zu befürchten, dass ressorteigene Prioritäten allzu oft über die Sicherheitsbelange gestellt werden. Wenn man IT-Sicherheit ernst meint, ist das zu wenig.

Besonders kritisch müssen aber die neuen Analyse- und Überwachungskompetenzen des BSI gesehen werden. Das Amt erhält zur Gefahrenabwehr weitgehende Rechte, um die in der Kommunikation mit den Bundesbehörden anfallenden Daten zu analysieren. Aber da geht es nicht nur um harmlose Dinge, zum Beispiel um E-Mails von Bürgerinnen und Bürgern an Behörden. Hier weiß der Bürger, dass er mit dem Staat kommuniziert. Doch die Struktur des Internet ist so, dass die an den sogenannten Schnittstellen der Kommunikationstechnik des Bundes anfallenden Daten auch ohne jeden Zusammenhang mit den Bundesbehörden sein können. Die gutwillige Lesart ist: Hier wird eine automatisierte Auswertung vorgesehen – sprich, die Kontrolle eingehender Post durch Virenscanner. Wird etwas gefunden, darf der Absender identifiziert werden. Nur, wenn man genau das meint, dann muss man das auch so formulieren. Aber so wie es in diesem Entwurf steht, sind auch weit weniger harmlose Eingriffe möglich. Und wenn das gewollt ist, dann stimmt der häufig gemachte Vorwurf, dass hier eine allgemeine E-Mail-Überwachungsbehörde geschaffen werden soll.

Und selbst bei dieser gutwilligen Lesart gibt es reichlich Kritikpunkte: Warum werden die persönlichen Daten nicht pseudonymisiert? Wieso gibt es für die nichtautomatisierte Verarbeitung der persönlichen Daten keinen Richtervorbehalt? Wir sprechen hier immerhin vom Lesen persönlicher Post, es geht also potenziell um kernbereichsrelevante Inhalte! Und – ganz besonders fragwürdig – warum um alles in der Welt soll ausgerechnet das BMI berechtigt werden, in Zweifelsfällen zu entscheiden, ob der Kernbereich betroffen ist oder nicht? Da fällt kaum noch auf, dass auch die Benachrichtigung der Betroffenen viel zu lax gehandhabt wird.

Es fragt sich auch ganz generell: Warum wird in diesem Gesetz sehr wenig über die Pflicht der Behörden gesagt, zunächst die eigenen IT-Systeme optimal zu schützen? Denn ob Schadsoftware oder sonstige Angriffe wirken, hängt doch zuallererst davon ab. Da sollte es nicht die erste Maßnahme sein, den eingehenden Datenverkehr zu filtern, sondern die Angriffsfläche zu reduzieren. Dann sind auch viel weniger Abwehrmaßnahmen und Eingriffe in den Datenverkehr erforderlich! Die personenbezogenen Daten, die das BSI so erhebt, dürfen auch an Polizei- und Geheimdienstbehörden weitergegeben werden. Das Problem liegt darin: Die Schwelle ist hier viel zu niedrig gewählt! Denn es geht dabei nicht nur um schwere Verbrechen, sondern um jede Straftat, die mittels Telekommunikation begangen wird! Da wird dann aus der Behörde, die IT-Expertise sammeln sollte, endgültig eine Hilfsbehörde zur Strafverfolgung!

Neben diesen systematischen Mängeln springen zwei weitere Einzelpunkte ins Auge: Warum werden manche unabhängigen Bundesbehörden wie das Bundespräsidialamt und der Rechnungshof ausgenommen – der ganz besonders auf vertrauliche und integere Kommunikation angewiesene Bundesdatenschutzbeauftragte aber nicht?

Schließlich enthält das Gesetz eine Änderung des Telemediengesetzes, die es Dienstanbietern erlaubt, Nutzungsdaten über die normalen Zwecke hinaus zu speichern und zu verarbeiten, auch wieder begründet mit der Abwehr von Schadprogrammen und Ähnlichem, aber auch wieder zu weit und zu offen formuliert. Denn so, wie es jetzt im Entwurf steht, ist auch die Erstellung von Surfprofilen möglich.

In dieser Form ist das Gesetz abzulehnen. Es hat zu viele Lücken und bietet unzulänglichen Schutz für die Bürgerinnen und Bürger.

Quelle: Plenarprotokoll 16/211  

Weitere Informationen

 
< Prev   Next >