"Schutz kritischer Infrastrukturen aus politischer Sicht"

- nicht redigiertes und endkorrigiertes Exemplar – es gilt das gesprochene Wort -

Sehr geehrte Damen und Herren,
liebe Gäste,

ich freue mich sehr, anlässlich ihrer Jahrestagung hier in Frankfurt zu ihnen sprechen zu dürfen. Ganz besonders freut es mich, dass sie ihre Tagung unter ein überaus aktuelles und ausgesprochen wichtiges Thema gestellt haben, zu dem ich mich insbesondere in meiner Funktion als medien- und forschungspolitischer Sprecher der SPD-Bundestagsfraktion äußern möchte.

Unsere moderne Informations- und Wissensgesellschaft ist dicht mit Infrastrukturnetzen überzogen, die Mobilität, Energie und Informationsflüsse bereitstellen. Mehr und mehr sind wir in allen Lebens- und Arbeitsbereichen darauf angewiesen, dass dies alles reibungslos funktioniert. Naturkatastrophen, große technische Unfälle und Anschläge können in einer dicht vernetzten Welt große Folgeschäden auslösen bis hin zur Destabilisierung unserer Gesellschaften. Denn Deutschland ist mit seinem freien Informations-, Personen- und Warenverkehr, als exportorientierte Wirtschaftsnation und als Land hoher Bevölkerungsdichte einerseits und einer stark ausgebauten, auf Hochtechnologie aufbauenden Infrastruktur andererseits in besonderem Maße neuen Bedrohungen ausgesetzt.

Energie- und Verkehrsnetze, Internet und Telekommunikation, Lebensmittel- und Gesundheitsversorgung sind zentrale Lebensnerven unserer Gesellschaft. Warenströme und Logistikketten, Versorgungsinfrastrukturen und Verkehrsleitsysteme sind verwundbar gegen Ausfälle. In ganz besonderem Maße gilt dies für sog. „kritische Infrastrukturen“.

Definieren möchte ich „kritische Infrastrukturen“ als „Organisationen und Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen, bei deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen eintreten würden“ (www.bsi.de). Nur wenn diese Bereiche nicht beeinträchtig sind, können Staat und Wirtschaft ihre Aufgaben uneingeschränkt erfüllen. Die Bundesregierung hat dies erkannt und das Programm „Forschung für die zivile Sicherheit“ ins Leben gerufen.

Ziel des Sicherheitsforschungsprogramms der Bundesregierung ist die zivile Sicherheit zu erhöhen und ohne dadurch die Freiheit der Bürgerinnen und Bürger einzuschränken. Das Sicherheitsforschungsprogramm ist kein reines Technologieprogramm. Innovation meint nicht nur technische Neuerungen, sondern beinhaltet auch innovative organisatorische Konzepte und Handlungsstrategien. Interdisziplinäre Projekte mit Beteiligung der Geistes- und Sozialwissenschaften, Wissenstransfer in die Öffentlichkeit, Begleitforschung zu kritischen Fragen und Transparenz sind in der Sicherheitsforschung Voraussetzungen für den Programmerfolg. Das Programm ist zudem in einen europäischen Rahmen eingepasst.

Ziel solch krimineller und/oder terroristischer Anschläge können beispielsweise Fussballstadien, Bahnhöfe, Atomkraftwerke oder auch Flughäfen sein. Die Liste lässt sich beliebig fortführen. Gerade in einer Stadt wie Frankfurt, mit einem der größten Flughäfen Europas, gehören solche Szenarien nicht ins Reich der Phantasie – auch wenn ich da nicht ganz so pessimistisch wie unser aktueller Bundesinnenminister bin. Dennoch sollte man realistisch bleiben. Der Ressourcenaufwand (Mensch, Finanzen, Logistik etc.), um einen solchen „erfolgreich“ Anschlag durchzuführen ist immens. Aber stellen Sie sich nun einmal vor, was passieren könnte, wenn eine kriminelle Gruppierung plötzlich Zugang zum IT-Herzen des Frankfurter Flughafens bekäme. Die Auswirkungen wären kaum Auszumahlen. Leider gehört dieses Szenario weitaus weniger zum Reich der Phantasie als vermutet.

Gerade weil unsere Gesellschaft immer mehr von neuen Informations- und Kommunikationstechnologien durchdrungen ist entstehen so neue Abhängigkeiten. Je mehr sensible Daten und vertrauliche Inhalte verarbeitet und übermittelt werden, desto mehr geraten Fragen der Sicherheit informationstechnischer Systeme, aber auch des Datenschutzes in den Blick. Dies gilt gleichermaßen für den privaten Bereich eines jeden Bürgers, dies gilt aber insbesondere für Unternehmen und im ganz besonderen Maße für „kritische Infrastrukturen“.

Unternehmen, Behörden und Privatleute, die sich sinnvoller weise und zwangsläufig gegen neu entstandene Bedrohungen und Risiken schützen wollen und müssen und so die Sicherheit und Stabilität ihrer Netzwerke und informationstechnischen Systeme gewährleisten wollen, verwenden millionenfach Programme, Tools und Applikationen zur Aufdeckung von Sicherheitslücken in IT-Systemen. Bisher!

Wundern Sie sich nicht, wenn ich ihnen an dieser Stelle eine vielleicht deplaziert klingende Frage stelle. Mich würde außerordentlich interessieren, wer von Ihnen den seit dem 10. August 2007 geltenden § 202c des Strafgesetzbuches und seine möglichen Konsequenzen kennt? Warum ich Ihnen diese Frage stelle? Ganz einfach, weil man mit dieser Novellierung des Strafgesetzbuches unserer bisher starken deutschen IT-Sicherheitsbranche ihr originäres Handwerkszeug genommen hat und gleichzeitig ihr eigens Programm zur IT-Sicherheitsforschung nahezu ad absurdum führt.

Hintergrund:
Angesichts der sich rasch verändernden Informations- und Telekommunikationstechnologien in den vergangenen Jahren war eine Verbesserung des geltenden Computerstrafrechts und die Schaffung eines europaweiten strafrechtlichen Mindeststandards in diesem Bereich dringend geboten. Allerdings wurden mit dem § 202c StGB erstmals typische Vorbereitungshandlungen unter Strafe gestellt werden, was dem Strafrecht - bis auf wenige Ausnahmen - sonst fremd ist. Dieser Regelungsvorschlag ist vor allem deshalb problematisch, weil entsprechende Programme und Tools nicht nach ihrer Einsatzart, sondern vielmehr nach ihrem Aufbau definiert werden und so eine Unterscheidung in Programme, die zur Begehung von Straftaten hergestellt werden und solche, die ausschließlich für legale Zwecke hergestellt werden, schlichtweg nicht möglich ist. Lediglich in der Verwendung lassen sie sich unterscheiden. Eine vom Gesetz bezweckte Unterscheidung in „gute“ und „schlechte“ Programme ist allein schon deshalb nicht möglich, weil die benannten Programme einen identischen Aufbau haben - dies gehört zum Grundwissen im Bereich der IuK-Technologie.

Der in § 202c gewählte Wortlaut führt daher zu einer Kriminalisierung von heute millionenfach verwendeten Programme, welche auch für das Entdecken von Sicherheitslücken in IT-Systemen notwendig sind – Programme, die selbst das Bundesamt für Sicherheit in der Informationstechnik verwendet und zum Download anbietet. Eine komplette Streichung des in meinen Augen mehrdeutigen und praxisfremden § 202c, mindestens aber eine Präzisierung oder aber marginale Änderungen wären notwendig gewesen und wurden so auch von mir in den parlamentarischen Beratungen gefordert und eingebracht. Dies ist zum Entsetzen der IT-Sicherheitsbranche, der Wissenschaft, der Interessenverbände und der betroffenen Unternehmen nicht geschehen. Durch den § 202c werden daher in letzter Konsequenz ganze Berufsbranchen wie Systemadministratoren, Software-Händler und IT-Sicherheitsexperten ohne jeden vernünftigen Grund und ohne jede Notwendigkeit kriminalisiert. Zu Recht schütteln IT-Experten mit dem Kopf über das Gesetz, welches in dieser Form vermeidbar gewesen wäre.

Weitaus dramatischer als das Kopfschütteln der gesamten IT-Sicherheitsbranche ist allerdings die durch das Gesetz entstandene Verunsicherung innerhalb einer gesamten Berufsbranche. Konsequenterweise verlagern daher bereits die ersten Unternehmen, die sich mit dem Entwickeln von Sicherheitsprogrammen und Sicherheitstools befassen, ihre Server ins Ausland, beenden laufende Projekte, schließen ihre Internetauftritte oder reichen sogar Selbstanzeigen ein. Diese klare Gefährdung und Benachteiligung des IT-Standortes Deutschland gegenüber anderen Ländern führt zu Verlusten von Arbeitsplätzen, weil so vorhandenes Know-how in Deutschland gefährdet wird, da der Entwicklung von Sicherheitsprogrammen die mögliche Strafverfolgung entgegensteht. Dies ist eine Gefahr für den gesamten Wirtschaftszweig und führt überdies zu Problemen in der Nachwuchsrekrutierung. Zumal der Normwortlaut so uneindeutig ist, dass sogar jegliche Lehre, Forschung und Entwicklung und auch der einfache Gedankenaustausch zu solchen Tools und Applikationen an Universitäten und Fachhochschulen mit diesem Paragrafen unter Strafe gestellt werden könnte. Dies kann sich unser Land nicht leisten!

Um es klar zu sagen: Es geht nicht um die Bagatellisierung oder Entkriminalisierung von Straftaten, sondern es geht um die Sicherstellung von IT-Sicherheit und IT-Sicherheitsforschung in Deutschland. Dieses Gesetz verhindert die eigentlich notwendige Sicherstellung und schwächt den IT-Standort Deutschland.

Die Folge: Rechtsunsicherheit für Administratoren, Entwickler, aber eben auch für den normalen Anwender. Überdies wird der Wirtschaft, aber auch dem normalen Bürger, mit dem engen Normlaut systematisch die Möglichkeit genommen, ihre Systeme adäquat auf Sicherheit zu überprüfen. Dies öffnet nicht nur der internetbasierten Kleinkriminalität Tür und Tor, sondern erschwert den notwendigen IT-Schutz deutscher Unternehmen vor international agierenden Wirtschaftskriminellen, die eben nicht vor deutschen Strafgesetzbüchern Halt machen.

Ich möchte an dieser Stelle ein weiteres - und wenn sie an Verschwörungstheorien glauben sogar überaus verwandtes - Thema ansprechen. Die sog. Online-Überwachung oder Online-Durchsuchung. Dabei möchte ich sie wirklich nicht mit technischen Details langweilen, zumal das BKA selbst anscheinend noch nicht weiß, wie eine solche Online-Durchsuchung aussehen könnte. Langweilen möchte ich sie auch nicht mit den immer weiter reichenden Forderungen von Seiten unseres Koalitionspartners und einiger Mitglieder des Bundeskabinetts, die sich mit ihren Forderungen ja zum Teil offen gegen unsere Verfassung stellen. Und wenn ich mir die aktuellen Diskussionen bei der EU-Innen- und Justizministerkonferenz anschaue, dann wird leider noch so einiges in diese Richtung zu erwarten sein.

Ich möchte Ihnen an dieser Stelle die Position der SPD-Bundestagsfraktion und insbesondere der Forschungs- und Medienpolitiker näher bringen.

Wie sie den Medienberichten der letzten Wochen und Monate entnehmen können, sind die SPD und die SPD-Bundestagsfraktion beim Thema Online-Durchsuchung sehr skeptisch. Bevor man ein solches heimliches Ermittlungsinstrument einführt, mit dem tief in die Privatsphäre der Nutzerinnen und Nutzer und möglicherweise auch in den Kernbereich der privaten Lebensführung eingegriffen wird, müssen auch die technischen Möglichkeiten, wie auch deren Grenzen, deren Folgen und die rechtlichen – insbesondere die verfassungsrechtlichen – Voraussetzungen geklärt und die Notwendigkeit eines solchen Instrumentes ausreichend dargelegt werden. Daher fordern wir, erst das Urteil des Bundesverfassungsgerichtes zur Klage gegen die nordrhein-westfälische Online-Durchsuchung durch den dortigen Verfassungsschutz abzuwarten. Es macht in unseren Augen wenig Sinn, heute den populistischen Forderungen des Bundesinnenministers nachzugeben, um uns dann wenige Monate später vom Verfassungsgericht die Unmöglichkeit eines solchen heimlichen Ermittlungsinstrumentes bestätigen zu lassen – diese Korrektur in sicherheitspolitischen Fragestellungen durch das Bundesverfassungsgericht ist in der Vergangenheit viel zu oft geschehen.
Gerade wegen der technischen und rechtlichen Problem einer Online-Durchsuchung wurde seitens des BMJ und seitens der Arbeitsgruppen für Bildung und Forschung sowie Kultur und Medien ein sehr umfangreicher Fragenkatalog vorgelegt und in der Zwischenzeit vom BMI formal „beantwortet“ worden. Zu unserem Bedauern sind die Antworten teilweise sehr unpräzise und werfen sogar weitere Fragen auf.

Ich möchte ihnen nur ein Beispiel nennen und zitiere:

• Was ist unter einem informationstechnischen System in abschließender Definition zu verstehen? Sind unter "informationstechnischen Systemen" auch Mobilgeräte wie Handys, Smartphones, Blackberries etc. zu verstehen? Sind unter "informationstechnischen Systemen" auch Infrastrukturkomponenten untergeordneter Netzebenen zu verstehen?
• Der Begriff „informationstechnisches System“ wurde bewusst weit gewählt, um der derzeitigen und zukünftigen technischen Entwicklung Rechnung zu tragen. Hierunter wird ein System verstanden, welches aus Hard- und Software sowie aus Daten besteht und das der Erfassung, Speicherung, Verarbeitung, Übertragung und Anzeige von Informationen und Daten dient. Somit sind die aufgezählten Beispiele ebenfalls umfasst.

Forderungen:

• Die SPD-Bundestagsfraktion besteht auf Klärung der zahlreichen offenen technischen, rechtlichen und verfassungsrechtlichen Fragen. So muss die tatsächliche Notwendigkeit und verfassungsrechtliche Zulässigkeit eines solchen Instrumentes dargelegt und insbesondere geklärt werden, wie den datenschutz- und persönlichkeitsrechtlichen Grundsätzen entsprochen wird und der Kernbereich der privaten Lebensführung gewahrt bleibt, wie ihn das Verfassungsgericht beim großen Lauschangriff vorgegeben hat.
• Daneben muss es Sicherungen zum Ausgleich des verdeckten Charakters der Ermittlungsmaßnahme geben, um die Rechte der Betroffenen zu wahren.
• Geklärt werden muss zudem der gerichtsfeste Beweiswert dieser mittels der Online-Durchsuchung gewonnenen Erkenntnisse. Sichergestellt werden muss darüber hinaus, dass dieses Instrument nicht durch Dritte missbraucht und die Verwundbarkeit der Informations- und Kommunikationsinfrastruktur erhöht bzw. die Akzeptanz der IuK-Technologie gefährdet. Zu befürchten ist durchaus, dass unsichere IT-Systeme neue Formen von Kriminalität und Terrorismus hervorbringen könnten (Eindringen in kritische Infrastrukturen, Bankgeschäfte etc.).
• Auch muss geklärt werden, wie der Schutz Unbeteiligter gewährleistet wird, nicht unbeabsichtigt von einer Online-Durchsuchung erfasst zu werden.
• Daneben bedarf es folgender selbstverständlicher rechtsstaatlicher Mindeststandards:

• Ein solch weitreichendes Ermittlungsinstrument darf nur unter engster Zweckbindung – also zur Bekämpfung des internationalen Terrorismus – eingesetzt werden.
• Schließlich dürfen Online-Durchsuchungen nur unter rechtstaatlich einwandfreien Bedingungen möglich sein, beispielsweise hinsichtlich der Beweissicherung und der Überprüfbarkeit vor Gericht. Aus diesem Grund ist es unumgänglich, dass es für eine Durchsuchung in der Wohnung oder online einen Verdacht und eine richterliche Anordnung geben und dass sich jeder Bürger und jede Bürgerin gegen eine solche Durchsuchung auch wehren können muss.
• Schließlich darf die Online-Durchsuchung nicht zu einer weiteren „Vernachrichtendienstlichung“ der Polizei führen.

Fazit:
Unausgegorene Ermittlungsinstrumente und eine unausgereifte Technik können nicht nur eine erhebliche Gefahr für den Wirtschafts- und Forschungsstandort Deutschland – Stichwort: Wirtschaftsspionage – darstellen, sondern vielmehr Tür und Tor für ein Ansteigen jeglicher Kriminalität in weltweiten Datennetzen öffnen. Auf der Basis des jetzigen Kenntnisstandes wäre die Ermöglichung der Online-Durchsuchung aber eben genau dies: ein unausgegorenes Ermittlungsinstrument auf Basis einer unausgereiften Technik, welche in ihren Folgen und Nebenwirkungen nicht verantwortbar wäre.

Vielen Dank für Ihre Aufmerksamkeit!