Künstliche Intelligenz

Kommentar: Das BSI darf nicht zum Zero-Day-Hoflieferanten des BND werden


close notice

This article is also available in
English.

It was translated with technical assistance and editorially reviewed before publication.

Der in dieser Woche vom Bundesinnenministerium (BMI) vorgelegte Entwurf zur Reform des Nachrichtendienstrechts verpflichtet das Bundesamt für Sicherheit in der Informationstechnik (BSI) künftig, ihm bekannte Zero-Day-Schwachstellen an den Bundesnachrichtendienst weiterzugeben. Und das noch bevor überhaupt ein Patch existiert. Was hier als nachrichtendienstliche Notwendigkeit verkauft wird, bedeutet in der Sache die Preisgabe einer über Jahre mühsam erarbeiteten Vertrauensbasis zwischen Staat und IT-Sicherheits-Community und markiert einen Bruch mit dem eigentlichen Auftrag der Behörde.

Weiterlesen nach der Anzeige




(Bild: 

CII

)

Dennis-Kenji Kipker ist wissenschaftlicher Direktor und Gründer des cyberintelligence.institute in Frankfurt am Main und Professor für IT-Sicherheitsrecht.

Wer den Referentenentwurf liest, erkennt schnell, dass es hier lange nicht mehr nur um einzelne Kompetenzverschiebungen geht, sondern um einen grundlegenden Kurswechsel in der digitalen nationalen Sicherheitspolitik. Auf rund 700 Seiten zeichnet sich eine zunehmend aktive Sicherheitsarchitektur ab, in der das Misstrauen im digitalen Raum vom Ausnahmefall zum Regelfall wird.

Die Nachrichtendienste dürfen immer früher im Gefahrenvorfeld tätig werden, der grundrechtliche Kernbereichsschutz wird eingeschränkt und selbst unbeteiligte Dritte können zunehmend in digitale staatliche Aufklärungsmaßnahmen einbezogen werden. Dass ausgerechnet in diesem Entwurf auch eine Kooperationspflicht des BSI gegenüber dem Bundesnachrichtendienst (BND) verankert wird, fügt sich nahtlos in dieses neue Bild.

Konkret sieht der Gesetzentwurf vor, dass inländische öffentliche Stellen dem BND Informationen einschließlich personenbezogener Daten übermitteln dürfen, sobald tatsächliche Anhaltspunkte für eine Erforderlichkeit zur nachrichtendienstlichen Auslandsaufklärung vorliegen. Für das BSI wird sogar ausdrücklich eine Verpflichtung statuiert. Wer sich ernsthaft mit Cybersicherheit befasst, traut seinen eigenen Augen kaum. Die Begründung des Entwurfs macht einige Hundert Seiten später nämlich deutlich, worum es dem BMI eigentlich geht. Gerade bei Zero-Day-Schwachstellen soll die Zeit zwischen interner Bearbeitung, Meldung an die Hersteller, Behebung des Softwarefehlers und finaler Installation eines Patches künftig genutzt werden, um solche Lücken für nachrichtendienstliche Zwecke auszunutzen – im Entwurf nur lapidar als „in Wert bringen“ bezeichnet.

Das führt die nationale Cybersicherheitsarchitektur Deutschlands in Zukunft ad absurdum. Denn das BSI ist eine Behörde, deren gesetzlicher Auftrag im ersten Paragrafen des BSI-Gesetzes „als zentrale Stelle für Informationssicherheit auf nationaler Ebene“ definiert wird. Und die soll jetzt dazu verpflichtet werden, Informationen über Schwachstellen weiterzugeben, deren rasche Schließung eigentlich ihre Kernaufgabe wäre.

Weiterlesen nach der Anzeige

Wenn das BMI nun glaubt, dieser fatale Konstruktionsfehler bliebe folgenlos, irrt es. Sicherheitsforschende und Betreiber kritischer Infrastrukturen und nicht zuletzt NIS2-Betroffene werden sich künftig zweimal überlegen, ob sie entdeckte Schwachstellen noch mit dem BSI teilen. Zumindest solange unklar bleibt, ob eine gemeldete Lücke möglichst zügig geschlossen oder vielmehr geteilt und für nachrichtendienstliche Operationen offengehalten wird. Genau jenes Vertrauen, das die Behörde in den vergangenen Jahren mühsam als neutrale Ansprechpartnerin der IT-Sicherheits-Community aufgebaut hat, steht damit auf dem Spiel – und mit ihm die Bereitschaft, überhaupt noch freiwillig zu kooperieren.

Mittel- und langfristig drohen dadurch mehr offene Flanken in der digitalen Infrastruktur, gerade in einer Zeit, in der ohnehin schon außenpolitische Spannungen und hybride Bedrohungen zunehmen. Der Gesetzgeber handelt sich so ein zusätzliches digitales Sicherheitsrisiko ein.

Bemerkenswert ist auch: Der Entwurf nimmt weitreichende Eingriffe vor, obwohl bislang nicht belegt ist, dass offensive Cyberfähigkeiten tatsächlich einen Sicherheitsgewinn erzeugen, der die entstehenden Risiken rechtfertigt. Stattdessen wird mit dem allgemeinen Verweis auf die Erforderlichkeit für die Auslandsaufklärung gearbeitet. Handfeste Evidenz darüber, wie oft solche Zero-Day-Informationen tatsächlich zu belastbaren Erkenntnissen führen, ob man überhaupt in der kurzen Zeitspanne zwischen Bekanntwerden der Schwachstelle und Ausrollen eines Patches sinnvoll tätig werden kann und wie viele zusätzliche Angriffsflächen durch die verzögerte Schließung entstehen – all das bleibt in der Begründung auffällig dünn.

Ein Gesetzentwurf, der derart tief in unsere nationale Cybersicherheitsarchitektur eingreift, sollte diese fachliche Abwägung nicht der politischen Debatte überlassen. Das muss von Anfang an mit belastbaren Zahlen und Nachweisen unterlegt werden.

Die Reform wäre eine gute und überfällige Gelegenheit gewesen, um die rechtlich diffuse Stellung der Zentralen Stelle für Informationstechnik im Sicherheitsbereich, kurz ZITiS, jenseits eines bloßen Errichtungsbeschlusses auf eine solide gesetzliche Grundlage zu stellen. Doch stattdessen konzentriert man sich auf die falschen Baustellen. Gleichzeitig werden die nachrichtendienstlichen Kontrollmechanismen zunehmend aufgeweicht und in einer Weise zentralisiert, die kaum noch Transparenz über das Vorgehen zulässt.

Was lange währt, wird manchmal eben auch schlecht. Das trifft auf kaum ein Gesetzesvorhaben so sehr zu wie auf diesen Entwurf zur Reform des Nachrichtendienstrechts. Wer das BSI zur Zulieferin einer offensiven Nachrichtendienstpraxis macht, beraubt die Behörde ihrer Glaubwürdigkeit gegenüber der Sicherheits-Community und demoliert ihre Funktion als vertrauenswürdige Mittlerin zwischen Staat und Zivilgesellschaft. Der Gesetzgeber sollte diesen massiven Konstruktionsfehler unbedingt noch im weiteren parlamentarischen Verfahren korrigieren, bevor daraus ein dauerhafter Rückschritt für die Cybersicherheit und digitale Souveränität Deutschlands wird.


(axk)



Source link

Beliebt

Die mobile Version verlassen