In nahezu jedem Bericht zur Lage der IT-Sicherheit des Bundesamtes für Sicherheit in der Informationstechnik (BSI) wurde auf eine zunehmende Gefährdungslage privater und öffentlicher Akteure verwiesen. Akut kommt der russische Krieg gegen die Ukraine als auch ein gesteigertes Gefährdungsniveau durch immer professionelleres Cybercrime-Geschehen hinzu.
Fachleuten sind die Bedrohungen aus dem Cyberraum nicht neu – bereits 2015 und 2021 traten umfassende IT-Sicherheitsgesetze in Kraft, die nun Vorbild mit Blick auf die Dachgesetzgebung für alle Sektoren der Kritischen Infrastruktur sind. Der breiten Öffentlichkeit scheint der Ernst der Lage erst mit dem russischen Angriff auf die Ukraine bewusst geworden zu sein. Dadurch rückte mit dem BSI diejenige Behörde in den Fokus, die per gesetzlicher Definition die zentrale Stelle für Informationssicherheit auf nationaler Ebene ist und durch die IT-Sicherheitsgesetze bereits immens gestärkt wurde.
Das BSI ist insbesondere beratend, ordnungsbehördlich und marktregulatorisch für Bundesbehörden, Unternehmen und auch Verbraucherinnen und Verbraucher tätig. Es hat enorme gesamtgesellschaftliche Bedeutung für die Sicherheit in unserem Land. In Verbindung mit der digitalen Souveränität unseres Staates sowie dem Schutz digitaler Bürger- und Grundrechte unserer Bürgerinnen und Bürger ist (digitale) Sicherheit Grundvoraussetzung für Freiheit.
Unabhängigkeit des BSI?
Die gestiegene Bedrohungslage verlangt von politischen Entscheiderinnen und Entscheidern zu prüfen, ob und wie das BSI seine Aufgaben bestmöglich ausführen kann. In diesem Zusammenhang wird stets die Forderung nach einer weitergehenden Unabhängigkeit vorgebracht. Bereits der Koalitionsvertrag der Ampel-Koalition griff dies auf. Die Frage nach der Unabhängigkeit geht zwangsläufig mit der Frage einher, wie das BSI grundsätzlich strukturell ausgerichtet sein soll.
Zu Beginn der Auseinandersetzung muss jedoch die Frage stehen, wovon das BSI überhaupt unabhängiger sein soll. Oftmals wird schlichtweg auf eine unabhängigere Stellung vom Bundesinnenministerium (BMI) verwiesen, welches die Fach-, Rechts- und Dienstaufsicht ausübt. Dieser einfache Verweis ist meines Erachtens zu wenig differenziert.
Die Aufgaben des BSI sind für unsere heutige digitale Gesellschaft zu wichtig, als dass wir sie politischer Verantwortung, direkter Kontrolle und letztlich demokratischer Legitimation entziehen dürften. Aufsichtsmechanismen können sicherstellen, dass in der Cybersicherheit politisch notwendige Leitentscheidungen getroffen und beachtet werden. Das BMI ist aufgrund seiner umfassenden Verantwortlichkeit für die Innere Sicherheit unseres Landes das richtige Ressort für die Aufsicht. Cybersicherheit ist elementarer Bestandteil der Inneren Sicherheit, da die Bedrohungen, die ihren Ursprung im Digitalen haben, sich letztlich bei Schutzgütern im Analogen verwirklichen.
Natürliche Zielkonflikte
Gleichwohl muss eine aufrichtige Auseinandersetzung mit der Unabhängigkeit des BSI anerkennen, dass es natürliche Ziel- und Interessenkonflikte zwischen den Aufgaben des BSI und anderen ebenfalls der Fachaufsicht des BMI unterliegenden Behörden (Bundeskriminalamt (BKA), Bundesamt für Verfassungsschutz (BfV), Zentralstelle für Informationstechnik im Sicherheitsbereich (ZITiS)) gibt, welche kaum aufzulösen sind.
Während das BSI berufen ist, Schwachstellen unserer IT-Sicherheit zu vermeiden, vor ihnen öffentlich zu warmen und zu schließen, sind die genannten Behörden bei ihren Aufgaben teilweise auf Schwachstellen angewiesen. Nur schwache IT-Systeme können kompromittiert, Daten ausgelesen und dadurch Straftaten verhindert werden. Dieser Konflikt kann nicht nur die Arbeit des BSI beeinträchtigen, sondern ist darüber hinaus geeignet, dessen Integrität infrage zu stellen. Hinzu tritt, dass ein willkürliches Offenhalten von Schwachstellen nicht mehr Sicherheit schafft, sondern das Gegenteil hiervon. Das Risiko für jedermann durch von Schwachstellen verseuchte Systeme ist größer als jeder Nutzen einer späteren, nur potenziellen Verwendung einer offen gehaltenen Schwachstelle.
Das BSI muss die zentrale Behörde für die Resilienz sowie defensive und präventive Sicherung unserer Cybersicherheit bleiben. Für die Aktive Gefahrenabwehr im Cyberraum kommen nur die Polizeien, allen voran das BKA infrage. Das Verhältnis zu den anderen Sicherheitsbehörden muss daher so ausgestaltet sein, dass das BSI bei seiner Aufgabenerfüllung von deren Interessen – nicht vom BMI – unabhängig ist. Dies ist der Schlüssel bei der Frage nach der Unabhängigkeit des neuen BSI.
Mit ZITiS-Gesetz BSI-Profil schärfen
Es muss gesetzlich sichergestellt sein, dass keine Verpflichtung besteht, solche Sicherheitsbehörden, die Schwachstellen nutzen, bei der Wahrnehmung ihrer Aufgaben und Eingriffsbefugnisse zu unterstützen. Insbesondere darf keine Verpflichtung bestehen, diesen andere Informationen über Schwachstellen weiterzugeben als solche, die deren eigene IT-Sicherheit betreffen. Mit Blick auf das BMI gilt, dass dessen Aufsicht und Weisungsbefugnis dies nicht konterkarieren darf.
Aufsicht und Weisungsbefugnis sollten daher abgestuft werden. Bereiche, die in hohem Maße auf eine rein auf wissenschaftlich-technischen Erkenntnissen beruhende Arbeitsweise angewiesen sind und gleichzeitig weniger politischer Lenkung bedürfen, können mit einem eingeschränkteren Weisungsrecht einhergehen.
Das ZITiS-Gesetz, mit welchem wir die Aufgaben der ZITiS endlich klar gesetzlich definieren werden, bietet ferner die Gelegenheit, das Profil des BSI als IT-Sicherheitsbehörde zu schärfen. Insbesondere durch die Entwicklung von Anwendungen für Cyberfähigkeiten fungiert die ZITiS für die Bundesbehörden mit Sicherheitsaufgaben bereits als technische Unterstützerin. Nur die ZITiS – und gerade nicht das BSI – darf diese Rolle einnehmen. Mit einer fähigen ZITiS kann auch in tatsächlicher Hinsicht gar kein Bedarf mehr für die Einbindung des BSI bestehen.
Schwachstellenmanagement als zentraler Baustein
Ein ganz wesentlicher Baustein ist außerdem ein Schwachstellenmanagement, welches allen Behörden klar vorgibt, wie sie mit Schwachstellen umzugehen haben. Transparenz und Rechtsklarheit stärken das Vertrauen von Behörden, Unternehmen und Bürgerinnen und Bürgern in die Integrität des BSI. Für dieses muss das Schwachstellenmanagement vorsehen, dass es Schwachstellen ausschließlich so behandelt, wie es für die IT-Sicherheit am zuträglichsten ist.
Auch sollte erkennbar sein, welche Entscheidungen nicht auf wissenschaftlich-technischen Erkenntnissen des BSI, sondern politischen Erwägungen der Bundesregierung beruhen. Können Bevölkerung und Unternehmen dies nachvollziehen, so wie es bereits beim Einsatz kritischer Komponenten der Fall ist, könnte das Vertrauen in die Arbeit des BSI deutlich gestärkt werden.
Neben der Frage der Unabhängigkeit des BSI halte ich eine Fokussierung auf die wesentlichen Aufgabenbereiche für zentral. Angesichts der enormen Herausforderungen muss hier priorisiert werden, mit dem Ziel, den Aufgabenkatalog zu konzentrieren. Die Kernaufgaben der Cybersicherheit dürfen nicht negativ beeinträchtigt werden durch überbordende Zuständigkeiten.
Die Krise als Chance
Der digitale Verbraucherschutz ist zweifelsohne eine wichtige Aufgabe. Doch dies muss keine Kernaufgabe eines BSI sein und ein direkter Bezug zur IT-Sicherheit oder den Netzen des Bundes fehlt sogar. Hier geht es in erster Linie darum, Awareness zu schaffen und Bürgerinnen und Bürger zu informieren als auch zu beraten. Erst 2021, mit dem Inkrafttreten des IT-Sicherheitsgesetzes 2.0 wurde dem BSI diese Zusatzaufgabe aufgebürdet. Kurzum, diese Aufgabe kann auch durch eine unabhängige Stelle, die mehr dem Verbraucherschutz zugeordnet wird, übertragen werden.
Es bieten sich Beliehenen- oder auch Stiftungsstrukturen bis hin zu Kooperationen mit Verbraucher-Schützern an. Denn seit der Aufgabenneuzuordnung hat sich deutlich gezeigt, dass die Fokussierung auf die ursprünglichen Zuständigkeiten angezeigter denn je ist. Auch im Sinne des digitalen Verbraucherschutzes braucht es eine Stelle, die sich eigens diesem widmet und das BSI entlastet.
In jeder Krise steckt eine Chance. Darum gilt es nun, die erhöhte Bedrohungslage im Cyberraum und den Fokus auf das BSI zu nutzen, um dessen Profil zu stärken. Für eine resiliente Digital-Gesellschaft brauchen wir eine Behörde, deren klare Aufgabe es ist, ausschließlich im Sinne der Cybersicherheit zu wirken und in deren Aufgabenstruktur nicht ein dauerhafter Zielkonflikt angelegt wird. Ein neues BSI ist schlanker, aber stärker.
Sebastian Hartmann ist Mitglied des Deutschen Bundestages und Innenpolitischer Sprecher der SPD-Bundestagsfraktion.
