Die Bundesregierung hat entschieden: Das Bundesamt für Sicherheit in der Informationstechnik (BSI) soll die Einhaltung des Cyber Resilience Acts (CRA) kontrollieren. Dieser führt für alle möglichen Kategorien vernetzter Geräte Mindestvorschriften für die IT-Sicherheit ein – inklusive Mindest-Updatezeiträumen. Wer die jeweiligen Vorschriften nicht erfüllt, darf seine Geräte in den kommenden Jahren schrittweise nicht mehr in der EU auf den Markt bringen. Damit das funktionieren kann, soll das BSI nun überwachen, ob Hersteller und Importeure die Regeln einhalten. Dass das BSI zuständig sein soll, meldete die Bundesregierung jetzt an die europaweit zuständige EU-Kommission.

Die Behörde werde ihre „Rolle sehr gewissenhaft ausfüllen und darauf achten, dass die Bürgerinnen und Bürger ihre IT-Produkte mit einem sicheren Gefühl nutzen können“, kündigte Präsidentin Claudia Plattner an. Der CRA sei ein „Gamechanger für die Sicherheit digitaler Produkte“, da damit in der Breite das Cybersicherheitsniveau gesteigert werde, so Plattner. Eine Komplettüberwachung aller vernetzten Geräte ist dabei aber weder praktisch möglich noch gesetzlich vorgesehen. Wie bei der behördlichen Marktüberwachung üblich, will das BSI stattdessen stichprobenartig oder in gezielten Aktionen IT-Produkte auf Cybersicherheit überprüfen.

Marktverbote und Geldbußen möglich

Bislang war das BSI keine Marktüberwachungsbehörde, auch wenn es mit dem IT-Sicherheitskennzeichen und der Befugnis für Produktwarnungen aus dem BSI-Gesetz schon verwandte Kompetenzen hatte. Im Rahmen des CRA darf die Behörde künftig bis zu 15 Millionen Euro oder 2,5 Prozent des weltweiten Umsatzes eines Anbieters als Strafe verhängen, je nachdem, welche Summe höher ist. So wie auch bei anderen Marktüberwachungs-Regimen darf das BSI künftig dann auch bei regelwidrigen Produkten ein Vertriebsverbot aussprechen. Zugleich ist das BSI als Konformitätsbewertungsstelle künftig für die Kriterien zuständig, nach denen Dritte die Einhaltung von Sicherheitsvorgaben für die unterschiedlichen Produktkategorien des CRA vergeben. Schnittstellen wird es auch weiterhin zur Bundesnetzagentur geben: Diese ist für einige verwandte Marktüberwachungsaufgaben zuständig, etwa im Bereich der sogenannten Funkanlagen-Richtlinie.

Deutsche Anbieter zufrieden mit Klarheit

Für die Elektro- und Digitalindustrie sei es eine gute Nachricht, dass die Zuständigkeit nun klar benannt sei, sagt Lennard Kreißl vom ZVEI, der die Unternehmen im Verband bei der Cybersicherheit auf Produktebene gut aufgestellt sieht. „Eben deshalb wünschen wir uns eine starke und umfassende Marktüberwachung, die dazu aber mit genügend Ressourcen und Kapazitäten ausgestattet werden muss“, sagt Kreißl auf Anfrage von heise online. Hier müsse das BSI in der Fläche noch aufgestockt werden, fordert der für Cybersicherheit zuständige Manager des ZVEI.

(mki)

Die Unionsfraktion im Bundestag stellt sich gegen eine anlasslose Überwachung von Chats und damit gegen die Chatkontrolle, die am 14. Oktober im EU-Rat abgestimmt werden soll.

Bei einer Pressekonferenz am Dienstagnachmittag sagte der Fraktionsvorsitzende der Union, Jens Spahn: „Wir als CDU/CSU-Bundestagsfraktion sind gegen die anlasslose Kontrolle von Chats. Das wäre so, als würde man vorsorglich mal alle Briefe öffnen und schauen, ob da etwas Verbotenes drin ist. Das geht nicht, das wird es mit uns nicht geben.“

Gleichzeitig sei klar, dass Kindesmissbrauch bekämpft und geahndet können werden müsse. Deswegen sei es auch grundsätzlich gut, dass die Europäische Union sich dieses Themas annehme. „Am Ende muss gelingen, dass die Verordnung, die geplant ist auf europäischer Ebene, Kinder wirksam schützt, ohne dabei die Sicherheit und die Vertraulichkeit individueller Kommunikation zu gefährden“, so Spahn weiter.

„Abstimmung noch nicht abgeschlossen“

Was das für die bis morgen erwartete Einigung der Bundesregierung bedeutet, ist noch unklar. Ein Sprecher des Bundesinnenministeriums sagte gegenüber netzpolitik.org, die Abstimmung innerhalb der Bundesregierung über eine Positionierung zum aktuellen Verordnungsentwurf sei noch nicht abgeschlossen. Zu laufenden Abstimmungen äußere sich das Ministerium grundsätzlich nicht. Das Bundesjustizministerium antwortete nicht auf eine Presseanfrage von netzpolitik.org zum Thema.

Elina Eickstädt, Sprecherin des CCC und Teil des Bündnisses „Chatkontrolle stoppen“ warnt allerdings: „Auch wenn Jens Spahn sich gegen die Chatkontrolle ausspricht, entscheiden letztendlich BMI und BMJ über die Positionierung der Bundesregierung.“ Entscheidend sei nicht nur das der dänische Vorschlag am 14. Oktober abgelehnt werde, sondern auch, dass sich die Bundesregierung generell gegen Client-Side-Scanning positioniere.

Union bekommt viele Zuschriften zur Chatkontrolle

Das Thema Chatkontrolle hat in den letzten Tagen hohe Wellen geschlagen und ist seit letzter Woche ein politischer Dauerbrenner in sozialen Medien, der viele Menschen mobilisiert hat. Jens Spahn bestätigte in der Pressekonferenz auch, dass die Unionsfraktion viele Zuschriften zum Thema erreichen würden. Auch der bayerische Digitalminister Fabian Mehring (Freie Wähler) sowie der CSU-Europaageordnete Christian Doleschal sprachen sich nun gegen die Chatkontrolle aus.

Zahlreiche zivilgesellschaftliche Organisationen haben sich in den letzten Tagen mit Nachdruck gegen die Chatkontrolle positioniert, darunter Amnesty International, Reporter ohne Grenzen, der Deutsche Kinderschutzbund, aber auch Wirtschaftsverbände wie eco und Bitkom sowie europäische Digital-Unternehmen. Auch Messenger wie Signal, Threema und WhatsApp sind gegen die Chatkontrolle.

Seit Jahren reden sich Hunderte von IT-Expertinnen und Sicherheitsforschern, Juristinnen, Datenschützern, Digitalorganisationen, Tech-Unternehmen, Messengern, UN-Vertretern, Kinderschützern, Wächterinnen der Internetstandards und Wissenschaftlerinnen weltweit den Mund gegen die Chatkontrolle fusselig. Eine unglaubliche Breite der Zivilgesellschaft lehnt die Chatkontrolle ab, weil sie die größte und gefährlichste Überwachungsmaschine Europas werden würde.

Zivilgesellschaft mobilisiert gegen Chatkontrolle

Das Bündnis „Chatkontrolle stoppen“ ruft derzeit dazu auf, für die Abstimmung relevante Personen und Organisationen zu kontaktieren. Das sind vor allem die an der deutschen Positionsfindung beteiligten Bundesministerien sowie die Fraktionen und Abgeordneten der Regierungsparteien im Bundestag. Am besten wirken direkte E-Mails und Telefonanrufe oder auch rechtzeitig ankommende Briefe. Auf der Website des Bündnisses gibt es Tipps und Adressen, um selbst aktiv zu werden.

Gleichzeitig hat das Bündnis eine Last-Minute-Petition gestartet, in der es die Bundesregierung auffordert, sich im EU-Rat gegen die Chatkontrolle zu stellen.

In die Debatte um die Chatkontrolle kommt kurz vor der entscheidenden EU-Ratssitzung Bewegung. Am Dienstagnachmittag erteilte Unionsfraktionschef Jens Spahn (CDU) der umstrittenen Maßnahme eine Absage. „Wir als CDU/CSU-Bundestagsfraktion sind gegen die anlasslose Kontrolle von Chats“, sagte Spahn am Nachmittag vor Journalisten in Berlin. Wie heise online aus Fraktionskreisen erfuhr, soll die Chatkontrolle vorerst nicht im Rat zur Abstimmung kommen.

„Das wäre so, als würde man vorsorglich mal alle Briefe öffnen und schauen, ob da etwas Verbotenes drin ist“, so Spahn. „Das geht nicht, das wird es mit uns nicht geben.“ Zugleich sei aber klar, dass Kindesmissbrauch bekämpft werden können müsse, betonte der Fraktionschef, und lobte die EU-Initiative. Eine Verordnung müsse Kinder wirksam schützen, „ohne dabei die Sicherheit und Vertraulichkeit individueller Kommunikation zu gefährden“.

Anlass oder nicht

Knackpunkt ist das Wort „anlasslos“. Die Union erteilt damit einer generellen Massenüberwachung eine Absage. Doch auch für eine anlassbezogene Überwachung von verschlüsselten Chats müsste die Technik massiv geschwächt werden, um Dritten Zugang zu den Inhalten zu ermöglichen. Damit wäre die Ende-zu-Ende-Verschlüsselung zwischen den Clients gebrochen.

Der erneute Vorstoß für eine Chatkontrolle wird von der dänischen Ratspräsidentschaft unter dem Banner der Bekämpfung des Kindesmissbrauchs geführt. Das EU-Parlament ist entschieden dagegen, das Grundrecht auf vor staatlichem Zugriff geschützte Kommunikation drastisch einzuschränken. Der EU-Rat der Mitgliedsstaaten sollte ursprünglich in der kommenden Woche darüber abstimmen.

Im Rat hatte bisher eine Minderheit mit Deutschland, Polen, Österreich und den Niederlanden eine Entscheidung verhindert. Sollte einer von den vier umfallen, wäre die Sperrminorität dahin.

In der Bundesregierung hat sich Innenminister Alexander Dobrindt (CSU) bisher offen für den Vorstoß der Dänen gezeigt. Die SPD lehnt die Chatkontrolle weiterhin und begrüßte die Äußerungen Spahns. Es sei gut, dass sich die Union den Bedenken anschließe, sagte SPD-Fraktionsvize Sonja Eichwede. „Der Schutz von Kindern ist zentral, aber verdachtslose Überwachung privater Kommunikation ist der falsche Weg.“

Fraktion hat Redebedarf

Bereits im Laufe des Tages hatte sich abgezeichnet, dass es offenbar noch Redebedarf gibt. Zwar hatten sich Dobrindts Innenministerium und das Justizministerium von Stefanie Hubig (SPD) im Grundsatz auf eine Abstimmungsposition verständigt. Doch dann musste die Bundesregierung feststellen, dass auch die sie tragenden Bundestagsfraktionen eigene Sichtweisen haben.

So kam scharfe Kritik daran auf, dass die neue Koalition die Fragen im Zusammenhang mit der geplanten Verordnung bislang nicht ausreichend diskutieren konnte. Nachdem die Verordnung nun bereits drei Jahre diskutiert werde, gebe es keinen Grund, nun binnen weniger Stunden eine deutsche Positionierung ohne gründliche Beteiligung mit den Abgeordneten im Bundestag durchzudrücken, heißt es aus Fraktionskreisen.

Gegen die EU-Pläne formiert sich breiter Widerstand. Die Betreiber des Messengers Signal haben angekündigt, ihren Dienst in der EU einzustellen, sollte die Politik die Verschlüsselung unterwandern. Auch andere Messengerdienste haben das Vorhaben kritisiert. Scharfe Kritik äußerten auch IT-Verbände, Bürgerrechtsorganisationen und Medienverbände.

(vbr)