Deutschlands kritische Infrastrukturen noch immer ohne Schutz

CloudE-GovernmentEnterpriseManagementRegulierungServerSoftwareÜberwachung

Die letzte Bundesregierung hat es in den vergangen vier Jahren nicht geschafft, ein Bild oder auch nur eine Vorstellung über die Bedrohungslage in den Datennetzen zu erstellen. Deshalb wird auch die neue Regierung der Entwicklung hinterher rennen. Denn sie setzt beim Sicherheitsgesetz wieder bei null an.

Das politische Instrument für ein umfassendes Lagebild sollte das IT-Sicherheitsgesetz sein, an dem das Bundesinnenministerium in der vergangenen Legislaturperiode arbeitete. Doch das Ministerium hatte den “Entwurf eines Gesetzes zur Erhöhung der Sicherheit informationstechnischer Systeme” nicht zur Abstimmung in den Bundestag gebracht. Jetzt beginnen Verhandlung, Formulierung und Abstimmung von vorn – falls es überhaupt ein neues Gesetz geben sollte.

Die Entwicklung des Datendurchsatzes am De-Cix in den zurückliegenden fünf Jahren. Quelle: De-Cix
Die Entwicklung des Datendurchsatzes am De-Cix, dem weltweit größten Internet-Knoten, in den zurückliegenden fünf Jahren. Noch immer hat es die Bundesregierung geschafft Mindestanfroderungen an die Sicherheit solcher Infrastrukturen zu definieren. Quelle: De-Cix

Der Zeitplan hierfür sei völlig unklar, bestätigte ein Sprecher des Innenministeriums. Die Absicht sei es gewesen, die Betreiber der sogenannten “kritischen Infrastrukturen” zu verpflichten, eigenverantwortlich einen Mindeststandard an Sicherheit für ihre Informationstechnologie zu garantieren.

Zwar gehe man im Innenministerium davon aus, dass unter der neuen Regierung Bestandsaufnahme und Anforderungen gleich blieben. Allerdings ständen vor einem Neubeginn einer Gesetzesinitiative zunächst eine ganze Reihe anderer Entscheidungen an – wie etwa der SPD-Mitgliedervotum, dann die Regierungsbildung, die Besetzung von Ministerposten und schließlich die politische Gewichtung der Themen innerhalb einer neuen Regierung.

Doch die neue Schwarz-Rote Regierung scheint zu schnellem Handeln gezwungen zu sein. Denn in den vergangenen Wochen haben Pleiten, Blamagen und Pannen die Cybersecurity-Politik der inzwischen geschäftsführenden Bundesregierung bestimmt.

Beispielhaft hierfür sind das Abhören des Mobiltelefons der Kanzlerin und auch die Diskussionen um das sogenannte “SWIFT”-Abkommen.

SWIFT – “Society for Worldwide Interbank Financial Telecommunication” – verkörpert das, was in der Politik als Paradebeispiel einer kritischen Infrastruktur gilt. Die belgische Organisation wickelt für tausende Banken den weltweiten Zahlungsverkehr ab. Kein Wunder, dass das Interesse an den hier gesammelten Daten extrem groß ist. Schon seit Jahren ist die Datensammlung der Organisation Anlass für immer neuen Streit innerhalb der Europäischen Union – und für regelmäßigen Streit zwischen den europäischen Politikern und deren Verhandlungspartnern in den USA.

Denn wer die SWIFT-Transkationen auswertet, verfolgt sehr detailliert die Geldströme rund um den Globus. So war es die ursprüngliche Idee des SWIFT-Abkommens, anhand der Datensammlungen die Finanzierung des Terrorismus zu überwachen und zu beenden. Ob dies gelingt, ist völlig unklar.

Trotzdem gehen Neugier und Analysen der Geheimdienste viel weiter. Die Sicherheitsdienste wollen in den Datenbanken auch die Finanzen von Banken und ganzen Staaten verfolgen, “um die Vereinigten Staaten und all unsere Verbündeten früh vor finanziellen Krisen warnen zu können, die sich negativ auf die weltweite Wirtschaft auswirken könnten”. Dies erklärte der Geheimdienstkoordinator der US-Regierung, James Clapper, als im September der Verdacht aufkam, dass die US-amerikanischen Sicherheitsbehörden die Vereinbarungen für Wirtschaftsspionage missbrauchen.

Inzwischen geben die US-amerikanischen Geheimdienste unumwunden zu, dass sie die gesammelten Informationen auch zur Wirtschaftsspionage nutzen – und das, obwohl sie laut Abkommen nur der Bekämpfung des Terrorismus dienen dürften.

Vielen Abgeordneten im Europaparlament ging dies zu weit. In einer kontroversen Debatte trafen Befürworter und Gegner des SWIFT-Abkommens aufeinander.

Birgit Sippel, SPD, fordert das SWIFT-Abkommen mit den USA einzufrieren. Quelle: SPD
Birgit Sippel, SPD, fordert das SWIFT-Abkommen mit den USA einzufrieren. Quelle: SPD

“Ich glaube, es ist richtig, das Abkommen einzufrieren, um Gelegenheit zu haben, intensiv zu forschen und auch Druck auf die USA auszuüben, damit sie Belege bringen, ob nun ein Verstoß stattgefunden hat oder nicht”, forderte die SPD Abgeordnete Birgit Sippel. “Verträge wie das SWIFT-Abkommen sollen verhindern, dass die US-Amerikaner unter dem Deckmantel der Terrorismusbekämpfung ungefragt und ungeschützt alle Daten abgreifen können, die sie gerne einsehen möchten.”

Mit 280 zu 254 Abgeordneten stimmten die EU-Parlamentarier für eine Resolution, die fordert, das SWIFT-Abkommen mit den USA auszusetzen. Diese Resolution ist allerdings für niemanden bindend. Der nächste Schritt ist, dass sich Parlament, Ministerrat und EU-Kommission auf die Aussetzung einigen – oder sie ablehnen.

Doch unabhängig davon welche Diskussionen in Brüssel geführt werden – für die Cybersecurity in Deutschland und die Sicherheit der kritischen Infrastrukturen spielen sie im Moment keine Rolle. Denn gleichgültig, was das Europäische Parlament beschließt – in Deutschland werden die Verantwortlichen erst nach einer Regierungsbildung damit beginnen, ein Gesetz zu formulieren. Und bis zu dessen Verabschiedung wird es kein Lagebild geben, keine Mindestanforderungen an die Sicherheit von Datennetzen und damit eben auch keine neuen Ideen zur Cybersicherheit.