IT-Sicherheit im Koalitionsvertrag

CDU, CSU und SPD möchten im Falle einer Regierungsbildung die IT-Sicherheit erhöhen. Dazu sollen unter anderem Hersteller stärker in die Pflicht genommen werden. (Foto: Yuri Samoilov, cc by 2.0, flickr.com)

CDU, CSU und SPD wollen, wenn es zu einer erneuten Großen Koalition kommt, die Sicherheit und Resilienz der IT-Systeme im öffentlichen und privaten Sektor sowie im alltäglichen Gebrauch durch politische Maßnahmen stärken. So soll das in der letzten Legislatur verabschiedete IT-Sicherheitsgesetz fortgeschrieben werden.

Die Version “2.0” soll dann auch Meldepflichten für Branchen über die bisher adressierten Kritischen Infrastrukturen hinaus enthalten, wie es im Entwurf zum Koalitionsvertrag heißt. Vor der Bundestagswahl sind durch das Bundesministerium des Innern (BMI) unter anderem die Chemie- und Rüstungsbranche ins Spiel gebracht worden.

Angekündigt ist außerdem ein “Nationaler Pakt Cybersicherheit”. Mit dem Bündnis sollen Hersteller, Anbieter und Anwender von IT-Produkten sowie die öffentliche Verwaltung zusammengebracht werden. Einen gesamtheitlichen und kooperativen Ansatz befürwortet auch der Digitalverband Bitkom: “In Deutschland sind der Nationale Cyber-Sicherheitsrat und die Allianz für Cyber-Sicherheit gute Beispiele dafür, wie durch die Kooperation von Staat und Wirtschaft mehr Cyber-Sicherheit entstehen kann”, sagte Bitkom-Präsident Achim Berg im Rahmen einer Veranstaltung zur Cyber-Sicherheit. Mitinitiator der Allianz für Cyber-Sicherheit ist das Bundesamt für Sicherheit in der Informationstechnik (BSI). Dieses soll laut Koalitionsvertrag in seiner Rolle als neutrale Beratungsstelle gestärkt werden und mit dem Verbraucherschutz im Digitalen eine neue Aufgabe erhalten.

Haftung für Hersteller und Verschlüsselung für jedermann

CDU, CSU und SPD wollen die Verbraucher vor Gefahren im Cyber-Raum auch dadurch besser schützen, dass sie das Prinzip “Security by Design” fördern. IT-Sicherheit soll demnach schon zu Beginn der Entwicklung von Produkten mitgedacht werden. Pläne zur Schaffung eines IT-Sicherheitsgütesiegels für Router und andere Geräte sollen fortgesetzt werden. Darüber hinaus wird eine “gewährleistungsähnliche Herstellerhaftung” in Aussicht gestellt, um IT-Sicherheit in verbrauchernahen Produkten zu erhöhen.

Hier handelt es sich um eine durchaus umstrittene Option. Ein Haftungsregime könnte Hersteller dazu animieren, ihre Geräte sicherer zu gestalten. Die Umsetzung könnte aber problematisch werden. Weil viele Software-Produkte sehr komplex sind und auf Bausteine von Drittanbietern oder auf Open-Source-Bibliotheken zurückgreifen, wird es bei konkreten Sicherheitsvorfällen schwer sein, eine eindeutige Haftungskette zu erkennen.

Die Parteien der möglichen Großen Koalition haben sich auch auf eine Förderung von sicheren Kommunikationsmöglichkeiten verständigt. “Mit der Zielsetzung, eine durchgehende “Ende-zu-Ende-Verschlüsselung für jedermann verfügbar” zu machen und es Bürgerinnen und Bürgern zu ermöglichen, “verschlüsselt mit der Verwaltung über gängige Standards zu kommunizieren”, beschreitet die große Koalition einen guten Weg”, meint Dirk Arendt, Leitender Beauftragter Public Affairs and New Technologies bei Check Point. “Verschlüsselung ist ein sehr sensibles und wichtiges Thema gerade in Bezug auf das Vertrauen in die Dienstleistungen von Behörden und Kommunen.”

Auch der Teletrust – Bundesverband IT-Sicherheit begrüßt das Vorhaben grundsätzlich, kritisiert aber auch, dass kein klares Verbot für öffentliche Stellen vorgesehen ist, unveröffentlichte Sicherheitslücken zu erwerben und für Zwecke der Strafverfolgung auszunutzen. Das könne nur so verstanden werden, dass Sicherheitsbehörden die Möglichkeit haben sollen, unter Ausnutzung solcher Sicherheitslücken Zugriff auf verschlüsselte Kommunikation zu erlangen.