Datenschutz & Sicherheit

Mit Zero-Days: BND und Verfassungsschutz sollen „Super-Geheimdienste“ werden


Das Bundesinnenministerium (BMI) plant eine Zäsur in der deutschen Sicherheitsarchitektur. Ein 648 Seiten starker Referentenentwurf zur Reform des Nachrichtendienstrechts sieht vor, die bisherigen rechtlichen Befugnisse des Bundesamts für Verfassungsschutz (BfV) und des Bundesnachrichtendienst (BND) sowie die Verflechtungen zwischen beiden Institutionen grundlegend neu zu ordnen.

Weiterlesen nach der Anzeige

Dahinter verbirgt sich eine umfassende digitale Aufrüstung: Inlands- und Auslandsgeheimdienst sollen im cyber-operativen Bereich zu eigenständigen Akteuren mit erweiterten Hackbefugnissen werden. Zugleich droht das Bundesamt für Sicherheit in der Informationstechnik (BSI) zum digitalen Zulieferer für die Spione zu werden.

Das Innenministerium begründet sein Reformvorhaben mit einer verschärften Bedrohungslage. Die operativen Fähigkeiten der Dienste müssten an die digitale Welt angepasst werden. Ein neues Frühwarnsystem und die Ausweitung der heimlichen Online-Durchsuchung sollen „Schutzlücken“ schließen.

Kritiker sehen darin das bekannte Muster sicherheitspolitischer Gesetzgebung: Tiefgreifende Überwachungsbefugnisse werden als alternativlose Antwort auf eine permanente Gefährdung dargestellt, während digitale Freiheitsrechte weiter unter Druck geraten.

Deutlich wird der Kurswechsel etwa bei den „aktiven“ Schutzmaßnahmen. Künftig sollen die Agenten unter bestimmten Voraussetzungen in laufende Cyberattacken eingreifen dürfen, wenn andere Behörden wie die Polizei nicht rechtzeitig handeln können.

Als Beispiel nennt das BMI den Fall, dass ein Dienst bereits die Infrastruktur eines Angreifers infiltriert und dort ein Schadprogramm entdeckt. Dann soll er unmittelbar Gegenmaßnahmen starten dürfen, anstatt die Attacke weiterlaufen zu lassen. Gegner sprechen von einer gesetzlichen Basis für staatliche Hackbacks, durch die die Grenze zwischen defensiver Aufklärung und offensiven Gegenmaßnahmen verschwimmt.

Von besonderer Tragweite ist die Neuregelung des Verhältnisses zwischen BSI und BND. Der geplante Paragraf 10 Absatz 2 BND-Gesetz soll die Übermittlungspflichten öffentlicher Stellen neu regeln. Dem BMI ist etwa die im BSI-Gesetz gesetzte Hürde für die Übermittlung an den BND nur bei „erheblicher Bedeutung für die Bundesrepublik“ zu hoch.

Weiterlesen nach der Anzeige

Künftig soll das BSI sicherheitsrelevante Erkenntnisse bereits in frühen Phasen eines Angriffs und teils automatisiert an den BND übermitteln. Begründet wird das damit, dass der Auslandsdienst dank seiner umstrittenen strategischen Fernmeldeaufklärung einzelne Vorfälle in einen globalen Zusammenhang einordnen und so Gefahren früher erkennen könne.

Brisant ist hier der Umgang mit IT-Schwachstellen. Laut dem Entwurf soll das BSI Erkenntnisse über die technische Funktionsweise entdeckter Sicherheitslücken unverzüglich und möglichst automatisiert an den BND weitergeben. Gerade bei Zero-Days – Sicherheitslücken ohne verfügbaren Hersteller-Patch – entstünde dem BMI zufolge so ein erheblicher operativer Vorteil.

In der Gesetzesbegründung heißt es, der Zeitraum bis zur Schließung einer Schwachstelle könne für „wichtige Arbeiten“ des BND genutzt werden. Zeitverzögernde Prozesse würden die Anwendbarkeit erheblich verringern.

Damit würde das BSI in einen kaum lösbaren Zielkonflikt geraten. Statt Sicherheitslücken möglichst schnell zu schließen, wie es die Ampel-Koalition plante, wird die Zeit bis zur Bereitstellung eines Updates bewusst für geheimdienstliche Zwecke einkalkuliert.

Als Ausgleich für die erweiterten Befugnisse verweist das Haus von Alexander Dobrindt (CSU) auf eine stärkere rechtsstaatliche Kontrolle. Die Zuständigkeiten sollen beim Unabhängigen Kontrollrat (UKRat) gebündelt werden, der künftig eine gerichtsähnliche Vorabaufsicht ausüben könnte. Doch dessen Möglichkeiten blieben begrenzt.

Auch finanziell markiert die Initiative einen deutlichen Ausbau der Cyberfähigkeiten. Für den BND sind mindestens 40 Millionen Euro an Einmalkosten sowie jährlich 35 Millionen Euro vorgesehen. Beim Verfassungsschutz werden rund 94 Millionen Euro für die Umstellung der IT-Strukturen und laufende Betriebskosten von etwa 269 Millionen Euro veranschlagt.

Parallel zu der Aufrüstung würde die ursprüngliche Schutzfunktion des BSI gegenüber Staat, Wirtschaft und Bürgern in den Hintergrund treten. Der Gesetzentwurf soll den Weg ebnen für zwei deutlich schlagkräftigere Cyber-Nachrichtendienste, deren weitreichende Eingriffe nur begrenzt überprüfbar wären. Die Vorlage muss als nächstes durchs Bundeskabinett. Das Kanzleramt hat bereits ähnliche Überlegungen.


(vbr)



Source link

Beliebt

Die mobile Version verlassen