„Überholen ohne einzuholen“ lautete das ambitionierte Motto der Wirtschaftspolitik in der DDR der späten 1960er Jahre. Mit Rationalisierung und Automatisierung wollte Ostdeutschland seine Planwirtschaft revolutionieren und so den Westen wirtschaftlich überholen. Im Jahr 1971 wurde das Projekt – anders als in Chile, wo man zur fast derselben Zeit gerade die ersten, wenn auch kurzfristigen, Erfolge der Kybernetisierung mit dem Projekt Cybersyn verzeichnete – in der DDR eingestellt, und die Reformen wurden rückgängig gemacht. „Ulbrichts Wirtschaftswunder“ scheiterte.
Ganz anders im wiedervereinten Deutschland, wo das Überholen, auch ohne Ansage, in vollem Gange ist – auch wenn man noch nicht abschließend weiß, wen oder was man überholen möchte. Dies zeigte die Ende 2024 aufgelöste Ampel-Koalition, die sich aus den Parteien SPD, Bündnis 90/Die Grünen und FDP zusammensetzte. In der Sicherheits- und Migrationspolitik beispielsweise, wie Chris Köver und Anna Biselli von Netzpolitik in ihrem Vortrag „Autoritäre Zeitenwende im Zeitraffer“ auf dem 38C3-Kongress zeigten.
Der „autoritäre Überbietungswettbewerb im Namen der Sicherheit ist spätestens seit dem Anschlag von Solingen in vollem Gang“, recherchierten die Autorinnen. Bundesinnenministerin Nancy Faeser (SPD) schaffte es, die Migrationspolitik ihres Vorgängers Horst Seehofer, der als CSU-Hardliner galt, zu überholen. Von rechts.
Der vergessene Koalitionsvertrag
Doch anstatt die Konservativen von rechts zu überholen, wären diverse andere Themen aus dem Koalitionsvertrag es wert gewesen, umgesetzt zu werden. Vor gar nicht so langer Zeit sprachen nämlich an gleicher Stelle, wo Chris Köver und Anna Biselli nun standen, andere Vertreter der Netzgemeinde und begrüßten jene Abschnitte des Sondierungspapiers, in denen es etwa hieß: „Wir wollen Freiheit und Sicherheit gewährleisten und die Bürgerrechte stärken.“
Relevante Aussagen zur IT- und Cybersicherheit waren praktisch überall im Koalitionsvertrag 2021-2025 zu finden. Datenschutz sowie durchgängige Ende-zu-Ende-Verschlüsselung waren nicht nur dort gefordert, wo es um die Stärkung der Bürgerrechte ging, sondern auch beispielsweise zur Sicherstellung des fairen Wettbewerbs und zur Wahrung des Kommunikationsgeheimnisses.
Zu den weiteren Aspekten der IT-Sicherheit, die der Stärkung der digitalen Bürgerrechte dienen sollten, gehörten auch die Einführung von Vorgaben zu Security-by-Design und Security-by-Default. Ebenfalls sollte eine Herstellerhaftung für Schäden eingeführt werden, die durch Sicherheitslücken in Produkten entstehen.
Außerdem sollte die IT-Sicherheitsforschung wieder legal werden, ebenso wie insgesamt das Identifizieren, Melden und Schließen von Sicherheitslücken „in einem verantwortlichen Verfahren“. Das Recht auf Anonymität sowohl im öffentlichen Raum als auch im Internet war zu gewährleisten. Hackbacks wurden abgelehnt.
Symbolpolitik: Der Schneeball in der Wüste
Am Ende der Ampel-Koalition steht fest, dass vieles aus dem Koalitionsvertrag nicht umgesetzt wurde, obwohl es notwendig gewesen wäre. Statt der Entkriminalisierung der IT-Sicherheitsforschung, mehr Tempo bei der Einrichtung der Freiheitskommission oder eines unabhängigeren BSI kam das „Durchgreifen als Performance“, wie Netzpolitik-Autorin Köver dieses moderne politische Überholen-ohne-einzuholen-Manöver beschrieb, bei dem mit technischen Maßnahmen wie IT-Forensik oder KI Signale für Innovation oder Fortschritt gesetzt werden – auch wenn sie eigentlich gar nicht zur Erreichung von Zielen wie weniger Kriminalität, weniger Desinformation oder besserem Medienschutz beitragen können.
„Auch in der neuen Regierungsbildung (mit einer konservativen Partei) dürften die Forderungen nicht länger halten als ein Schneeball in der Wüste“, prognostizierte Patrick Kaczmarczyk unlängst im „Surplus Magazin“ nach der Analyse des SPD-Programms. Bisweilen scheinen die Parteien im Wahlkampfmodus so sehr damit beschäftigt, sich gegenseitig mit symbolischen Maßnahmen zu überbieten, dass offenbar darauf verzichtet wurde, die nicht erfüllten Zusagen und Vereinbarungen aus dem Koalitionsvertrag in die Regierungs- oder Wahlprogramme mitzunehmen.
Wenn beispielsweise im Regierungsprogramm der SPD vom Grundrecht der Freiheit die Rede ist, dann bezieht sich dies auf die „Freiheit von Angst“, die im Kontext der inneren Sicherheit und des Schutzes „aller Bürgerinnen und Bürger vor Kriminalität, Gewalt und Hetze“ verstanden wird: „Eine starke Demokratie sorgt für Sicherheit.“
Die Union sieht den Datenschutz nicht etwa als Garant der Grundrechte und bürgerlicher Freiheiten im digitalen Raum, sondern stellt klar: „Der Schutz der Bevölkerung und die Sicherheitsinteressen unseres Staates müssen Vorrang vor Datenschutzinteressen des Einzelnen haben. Niemand, der gegen unsere Gesetze verstößt, darf durch die Anonymität des Internets falschen Schutz erlangen.“ Es heißt weiter: „Datenschutz darf nicht zum Täterschutz werden.“
IT-Sicherheit: Mut zur Lücke
Die Grünen möchten die Digitalisierung der Wirtschaft fördern, indem unter anderem die „Anwendung von Künstlicher Intelligenz (KI), die Etablierung robuster Cybersicherheitsstandards sowie die Stärkung digitaler Kompetenzen in Unternehmen gezielt“ vorangetrieben und Datenschutzbürokratie abgebaut werden: „Die Umsetzung des Datenschutzes [muss] einfacher und weniger bürokratisch werden. Die Datenschutzgrundverordnung muss effizienter und einheitlicher umgesetzt werden – auch um Doppelregulierung und unklare Zuständigkeiten zu vermeiden.“
Die Linke setzt mit ihrem Wahlprogramm ein klares Votum für den Datenschutz: „Datenschutz wirksam durchsetzen!“ heißt es dort. Sie macht nicht nur deutlich, was sie erreichen möchte – „Wir wollen das Recht auf informationelle Selbstbestimmung sichern“ –, sondern auch, was sie verhindern will. Die Linke ist „gegen Vorratsdatenspeicherung, Bestandsdatenauskunft und Onlinedurchsuchungen („Staatstrojaner“), nicht-individualisierte Funkzellenabfragen, Rasterfahndung (auch per Handy), allgegenwärtige Videoüberwachung, Späh- und Lauschangriffe“. Biometrische Videoüberwachung und Chat-Kontrollen möchte sie „verbieten“.
Zum „Schutz vor digitaler Massenüberwachung durch Staat oder Konzerne“ fordert Die Linke die Entkriminalisierung der IT-Sicherheitsforschung sowie die konsequente Schließung von Sicherheitslücken. Ähnlich argumentiert die FDP, die ein „geordnetes Schwachstellenmanagement“ fordert, „damit IT-Schwachstellen zügig geschlossen werden“.
Wodurch sich die Programme der großen Parteien für die bevorstehende Bundestagswahl bei den Themen Datenschutz und IT-Sicherheit auszeichnen, ist der Mut zur Lücke – der es ihnen nach der Wahl vermutlich ermöglichen wird, Kooperationen und Allianzen einzugehen, ohne sich bei weiteren Einschränkungen der Freiheiten von ihren traditionellen Werten einschränken zu lassen.
Datenschutz: Pro, contra oder beides?
Die FDP hat es zudem als einzige Partei geschafft, in ihrem Wahlprogramm sowohl für als auch gegen den Datenschutz zu sein. Dagegen, weil sie – ähnlich wie Bündnis 90/Die Grünen oder CDU/CSU – den Bürokratieabbau im Datenschutz für dringend notwendig hält. Die Freien Demokraten wollen die Datenschutzaufsicht vereinheitlichen, denn die 17 unterschiedlichen Stellen schaffen „für Unternehmen großen bürokratischen Aufwand, Rechtsunsicherheit und Wettbewerbsnachteile“ – und so für eine einheitliche Auslegung und Anwendung des Datenschutzrechts sorgen. Damit die Datenschutzkonferenz verbindliche Beschlüsse fassen kann, will man das Grundgesetz ändern.
Dafür, weil man „die Privatsphäre im öffentlichen Raum“ (wozu auch die „digitale Welt“ gehört) verteidigen möchte: „Wir alle haben das Recht, uns ohne ständige Kontrolle im öffentlichen Raum zu bewegen.“ So lehnt die FDP etwa Videoüberwachung – bis auf an „einzelnen Kriminalitätsschwerpunkten wie Bahnhöfen“ – ab, ebenso flächendeckende Überwachung oder automatisierte Gesichtserkennung im öffentlichen Raum, Netzsperren, Chatkontrollen, Uploadfilter, die Vorratsdatenspeicherung „und andere Formen der anlasslosen Datenerfassung“. Man setzt sich stattdessen für ein „Recht auf Verschlüsselung“ ein, „damit private Kommunikation privat bleibt“.
Totale Resilienz: Erfolgsprojekt ePA
Und dennoch gibt es vieles, auf das die Ampel stolz sein möchte – wie die elektronische Patientenakte (ePA), die „jetzt nach 20 Jahren Stillstand“ endlich kommt. Zusammen mit KI soll sie Heilung bringen: „Ärztinnen und Ärzte sowie Pflegekräfte haben zukünftig mehr Zeit für die Patientinnen und Patienten – durch Erleichterung der Dokumentation und Diagnostik durch KI. Der digitalisierte Datenaustausch wird schon bald die Erforschung neuer Therapien nachhaltig unterstützen. Für die Krebsbehandlung und Demenz wird KI Heilungen ermöglichen.“
Nur dass IT-Sicherheitsforschende das Vorzeigeprojekt ePA auf dem 38C3-Kongress kurz vor der Einführung zerhackt und die Sicherheitslücken öffentlich gemacht haben. Die Nachricht, dass das Sicherheitskonzept der ePA so löchrig ist wie ein Schweizer Käse, ließ den zuständigen Bundesminister prompt auf X (ehemals Twitter) reagieren: „Artikel ist kritisch, aber fair. Die ePA bringen wir erst dann, wenn alle Hackerangriffe, auch des CCC, technisch unmöglich gemacht worden sind. Daran wird schon länger gearbeitet. Wir brauchen die Digitalisierung für eine bessere Medizin und Forschung.“
Wie Lauterbach konkret die totale Resilienz der ePA gegen Angriffe bis zur Einführung am 15. Januar 2025 sicherstellen wollte, blieb ungewiss. Das Einführungsdatum blieb jedenfalls bestehen. Doch „Hackerangriffe … technisch unmöglich“ machen könnte man auch, indem man den Sicherheitsforschern ihre Arbeit nicht verbietet oder wesentlich erschwert – beispielsweise wie mithilfe des sogenannten Hackerparagrafen § 202c StGB, der IT-Sicherheitsforschende aktuell vor die große Herausforderung stellt, die Legitimität ihrer Handlungen nachzuweisen.
Es ist eine dieser Baustellen aus dem Koalitionsvertrag, die bei ständigem Drücken auf mehr Tempo auf der Strecke geblieben ist. So, wie die Lage aktuell ist, arbeitet man im Gesundheitsministerium eventuell weniger an einem Wundermittel gegen die Sicherheitslücken in der ePA, sondern fleißig an Anzeigen gegen die Erforscher, die diese Lücken aufgedeckt haben. Unmöglich ist in diesem Wahlkampf nichts.
Aleksandra Sowa ist zertifizierte Datenschutzbeauftragte. Sie leitete das Horst-Görtz-Institut für Sicherheit in der Informationstechnik, ist Sachverständige für IT-Sicherheit im Innenausschuss des Bundestages und Mitglied der Grundwertekommission der SPD.
In unserer Kolumnenreihe „Perspektiven“ kommentieren unsere Autor:innen aktuelle Entwicklungen, Trends und Innovationen im Bereich Cybersicherheit. Zuletzt von Sowa erschienen: Eine neue Ära der Sicherheitsregulierung?
