Mit drei neuen Behörden und “Internet-Eingreiftruppen” will das Innenministerium “eine neue Sicherheitsarchitektur für den digitalen Raum” einführen. Das berichten Zeit Online und Deutschlandfunk und berufen sich auf ein vertrauliches Papier aus dem Ministerium.
Die Strategie heißt demnach “Cybersicherheitsstrategie für Deutschland 2016”. Sie sieht gleich drei Behörden zur “Cyberabwehr” vor, das Kabinett soll sie laut Zeit Online und Deutschlandfunk im Herbst verabschieden. Die drei Behörden sollen wesentlich aus dem BSI, dem Cyberabwehrzentrum in Bonn und einem neuen nationalen Cert (Computer Emergency Response Team) bestehen.
Das Cert soll demnach Probleme und Angriffe analysieren und als Lagezentrum dienen. Das BSI übernehme demnach die Analyse der Angriffsmittel und -methoden sowie die technische Beratung. Das vom Bundesrechnungshof 2014 als “nahezu nutzlos” bezeichnete Cyberabwehrzentrum in Bonn soll als dritte Behörde die staatlichen Behörden, die es zu beschützen gilt, miteinander verknüpfen, etwa die Polizei und die Bundeswehr. Mit letzterer soll die Bonner Behörde zudem die Zusammenarbeit neu konzipieren.
Das BSI, der Verfassungsschutz und das Bundeskriminalamt sollen zudem eigene “digitale Eingreiftruppen” (Quick Reaction Force) bekommen, die schnell bei Angriffen vor Ort sind. Das BSI-Team soll kritische Infrastruktur reparieren, das vom Verfassungsschutz auf angreifende Geheimdienste und Terroristen reagieren. Unklar bleibe, woher die Teams schnell erfahren, wer hinter einem Angriff steckt: Sind es Kriminelle, Geheimdienste oder Terroristen. Zugleich will das Innenministerium das Strafrecht anpassen, insbesondere die Strafprozessordnung zur Telekommunikationsüberwachung.
Offene Fragen sind unter anderem, inwiefern das Ministerium das Strafrecht anpassen will, wie es Angriffe im Netz technisch erkennen, ob und wie Unternehmen, die etwa anonyme Dienste anbieten, ihre Nutzer identifizieren sollen. Auch der Plan, externe Dienstleister stärker zu nutzen, dürfte nicht überall auf Zustimmung treffen. Eine Stelle im Innenministerium will zudem “technische Unterstützung für nationale Sicherheitsbehörden im Hinblick auf deren operative Cyberfähigkeiten” bieten, was die Zeit so interpretiert, dass die Behörden Hackerwerkzeuge beschaffen oder gar entwickeln wollen.
Zudem steht in dem Papier: “Die deutsche Kryptostrategie umfasst Sicherheit durch Verschlüsselung und Sicherheit trotz Verschlüsselung.” Die kürzlich gegründete Zentrale Stelle für Informationstechnik im Sicherheitsbereich (Zitis) soll Schwachstellen in Verschlüsselungen finden, zugleich sollen die Bürger aber verschlüsseln dürfen, ein nicht ganz trivialer Spagat. Auch über Sicherheitslücken machen sich die Behörden Gedanken, Hersteller könnten künftig dafür haften.
[Update, 07.07]: Passage zur anonymen Nutzeridentifikation präzisiert.





