Netzpolitik.org, aber auch Eco, der Verband der Internetwirtschaft, üben Kritik an der am Mittwoch vom Bundeskabinett beschlossenen neuen Cyber-Sicherheitsstrategie.
Zwar biete die Reglung in vielen Punkten Ansätze für mehr IT-Sicherheit, heißt es in einer Pressemitteilung von Eco. Aber sie schaffe zugleich auch neue Unklarheiten. Neben der Verschlüsselungsstrategie kritisiert Eco-Vorstand Norbert Pohlmann wenig überraschend die in der Strategie angekündigten Reglungen zur Produkthaftung, sie könnten sich “wettbewerbsschädigend für deutsche Internetunternehmen auswirken”.
Konkret steht in dem Papier unter anderem:
"Vorgaben für eine angemessene Verteilung von Verantwortlichkeiten und Sicherheitsrisiken im Netz zum Beispiel durch Produkthaftungsregeln für IT-Sicherheitsmängel und Sicherheitsvorgaben für Hard- und Softwarehersteller werden geprüft. [...] Daneben soll die frühzeitige Umsetzung von Sicherheitsanforderungen rechtlich eingefordert werden können, um deren Berücksichtigung bereits am Beginn einer technischen Entwicklung (Security-by-design) sicherzustellen."
Netzpolitik.org legt den Fokus der Kritik hingegen auf das bekannte Verschlüsselungsparadox. Einerseits wolle sich die Regierung für “eine leicht handhabbare und sichere Verschlüsselung” einsetze, andererseits sollen Strafverfolger und Sicherheitsbehörden diese Verschlüsselung knacken oder umgehen können. Ist das der Fall, handelt es sich aber nicht um eine sichere Verschlüsselung, da auch Angreifer eingebaute Hintertüren nutzen könnten.
Daneben beschäftigt sich das Strategiepapier, das ein Update eines vor fünf Jahren erschienenen Strategiepapiers ist, vor allem mit der Sicherheitslage im “Cyberraum”, wie die Politik das Internet zu nennen pflegt. So will man eine Cyberwehr aufbauen, die bei Hackerangriffen auf kritische Infrastrukturen zur Hilfe eilt. Zitis, die “Zentralstelle für Informationstechnik im Sicherheitsbereich”, soll Behörden bei Ver- und Entschlüsselungsproblemen helfen, das Nationale Cyber-Abwehrzentrum soll besser vernetzt und reformiert werden.
“Sicher” ist im staatlichen Kontext selbstverständlich das, was “nur” er und seine Behörden selbst (auf die “übliche”, staatlich intransparente Weise) umgehen kann. Wo besteht da “Unklarheit”? Darüberhinaus bleibt das Papier wohl eh Wunschtraum, da gerade die proprietären Anbieter wie Microsoft sich gerade nicht auf irgendwelche Haftungen festnageln lassen – auch wenn deren Marketingabteilung besonders gern mit gegenteiligen Behauptungen hausieren geht. Letztlich wird der Staat nie wirklich umhin kommen, seine eigenen Prozesse volltransparent gegenüber den Bürgern abzubilden und zugleich die Datenhaltung persönlicher / personenbezogener Daten zu minimieren. Nicht mal einen echten Schwenk hin zu offener, transparenter Software wird hierzulande auf absehbar… Mehr »