Offener Brief an die Deutsche Bundesregierung zur Cybersicherheitsstrategie
PM vom 25.6.2021 – Gemeinsamer offener Brief von knapp 40 Verbänden an die Bundesregierung veröffentlicht: „Im Namen guter Regierungsführung und effektiver IT- und Cybersicherheitspolitik fordern die Unterzeichnenden die Bundesregierung dazu auf, alle Maßnahmen, die den Ausbau von Überwachungsbefugnissen auf Kosten der IT-Sicherheit zum Ziel haben, ersatzlos zu streichen.“
Gemeinsamer offener Brief an die Bundesregierung
Betreff: Cybersicherheitsstrategie für Deutschland 2021
Sehr geehrte Damen und Herren,
die Bundesregierung plant wenige Monate vor der Bundestagswahl die Verabschiedung der „Cybersicherheitsstrategie für Deutschland 2021“. Diese Strategie ist von enormer Bedeutung, weil sie für Jahre die Weichen stellt, wie der Staat die Cybersicherheit in Deutschland gewährleistet, welche Verpflichtungen auf Unternehmen zukommen und welchen Schutz Bürger:innen erhalten.
Die Unterzeichnenden fordern die Bundesregierung dazu auf, die Verabschiedung der Cybersicherheitsstrategie auf die nächste Legislatur zu vertagen oder zumindest die Ausweitung der Befugnisse für die Sicherheitsbehörden ersatzlos zu streichen. Entscheidende Teile der Strategie sind bereits seit langem innerhalb der Bundesregierung hochumstritten und erhalten massive Kritik durch Vertreter:innen der deutschen Industrie, Wissenschaft und Zivilgesellschaft. Sollte die Strategie in ihrer jetzigen der Form verabschiedet werden, würde dies auf Jahre eine Cybersicherheitspolitik zementieren, für die es keinen ausreichenden Rückhalt in Wirtschaft und Gesellschaft gibt und deren Maßnahmen wenig Aussicht darauf haben, die IT- und Cybersicherheit in Deutschland zu verbessern. Die Grabenkämpfe um die Ausrichtung der nationalen Cybersicherheitspolitik würden so fortgeführt – zu Lasten der Sicherheit in Deutschland.
Im aktuellen Entwurf der Cybersicherheitsstrategie finden sich eine Reihe an Maßnahmen, die auf Kosten der IT- Sicherheit die Überwachung durch deutsche Sicherheitsbehörden vorantreiben. Dazu gehört zum Beispiel die „Entwicklung technischer und operativer Lösungen für den rechtmäßigen Zugang zu Inhalten aus verschlüsselter Kommunikation [...]”, die Umgehung von sicherer Implementierung starker Verschlüsselung (lies: Hintertüren). Es handelt sich hierbei um eine Maßnahme, gegen die sich die deutsche Industrie, Wissenschaft, Zivilgesellschaft und Politik bereits 2019 in einem Offenen Brief ausgesprochen hat, weil sie ausländischen Nachrichtendiensten und Cyberkriminellen mehr nutzen würde als unseren Sicherheitsbehörden. Hinzu kommen die internationale Signalwirkung und die Auswirkungen für besonders schutzbedürftige Bevölkerungsgruppen, die so ein Vorhaben hätte.
Weiterhin fordert die Cybersicherheitsstrategie unter anderem Befugnisse zur Aktiven Cyberabwehr; eine Maßnahme die so umstritten ist, dass sich sogar die aktuelle Bundesregierung selbst dagegen entschieden hat sie voranzutreiben. Es handelt sich hierbei nicht etwa um eine minimale Befugniserweiterung, sondern um ein Legislativvorhaben, welches sehr wahrscheinlich in einer Grundgesetzänderung münden wird. Es ist damit definitiv ein Vorhaben, über dessen Platz in einer Strategie eine neue Bundesregierung entscheiden sollte.
Ein weiteres Problemfeld wird durch den geplanten Ausbau der Zentralstelle für Informationstechnik im Sicherheitsbereich (ZITiS) verdeutlicht: fehlende Kontroll- und Schutzmaßnahmen. Es gibt seit Jahren eine Kontroverse darüber, ob die „Hackerbehörde“ aufgrund ihrer Aufgaben statt eines Ministererlasses mit einem Errichtungsgesetz auf solide rechtliche Grundlage gestellt werden sollte, auch wenn es rechtlich nicht zwingend notwendig ist. Hierzu findet sich in der Strategie kein Wort.
Dieser Punkt zieht sich wie ein roter Faden durch die Strategie. Denn überhaupt fehlt der Strategie die im Koalitionsvertrag versprochene „gleichzeitige und entsprechende Ausweitung der parlamentarischen Kontrolle“ sowie die wirksame juristische und administrative Kontrolle, bei Ausweitung der Befugnisse der Sicherheitsbehörden. Dass die Bundes- und Landesregierungen statt dem Ausbau der Überwachungsbefugnisse die Kontroll- und Schutzmaßnahmen stärken müssten, zeigte jüngst der Skandal um die Datensammlung von Politiker:innen durch den Verfassungsschutz in Sachsen.
Dies stellt nur eine kleine Auswahl der problematischen Maßnahmen dar, die auf den über 120 Seiten, vor allem im Kapitel 8.3 der Strategie genannt werden.
Erschwerend kommt hinzu, dass die Bundesregierung erstmals Maßnahmen zum Controlling in eine Cybersicherheitsstrategie integrieren möchte. Was an sich eine begrüßenswerte Maßnahme ist, wird dadurch höchst problematisch, dass sich die aktuelle Bundesregierung daran nicht mehr halten muss, sondern es der kommenden Bundesregierung auferlegt. Ein Vertrag zu Lasten Dritter.
Im Namen guter Regierungsführung und effektiver IT- und Cybersicherheitspolitik fordern die Unterzeichnenden die Bundesregierung dazu auf alle Maßnahmen, die den Ausbau von Überwachungsbefugnissen statt der Stärkung der IT-Sicherheit zum Ziel haben ersatzlos zu streichen – im aktuellen Entwurf vom 9. Juni 2021 betrifft das mindestens die Maßnahmen 8.3.1, 8.3.7, 8.3.8, 8.3.9, 8.3.11, 8.3.12, 8.3.14, 8.4.7.
Unterzeichnende Industrie, Organisationen und Verbände
1. Adacor Hosting GmbH
2. AG KRITIS
3. Arbeitskreis Soziale Bewegungen und Polizei des Instituts für Protest- und Bewegungsforschung
4. AStA TU Berlin
5. Bits & Bäume Berlin
6. Boxcryptor
7. cnetz – Verein für Netzpolitik e. V.
8. Chaos Computer Club e. V.
9. Chaos Computer Club Darmstadt e. V.
10. Cryptomator
11. D64 – Zentrum für digitalen Fortschritt e. V.
12. Digitalcourage e.V.
13. Digitale Gesellschaft e.V.
14. eco Verband der Internetwirtschaft e. V.
15. EnjoyVenture Management GmbH
16. European Society for Digital Sovereignty e. V.
17. Feilner-IT
18. FlokiNET Ehf
19. Forschungsnetzwerk Sicherheit & Polizei
20. Forschungsverbund Naturwissenschaft, Abrüstung und internationale Sicherheit (FONAS) e. V.
21. Forum Informatiker:innen für Frieden und gesellschaftliche Verantwortung e. V.
22. Freiburger Institut für angewandte Sozialwissenschaft e. V.
23. Gesellschaft für Informatik e. V.
24. JP Berlin
25. Koordinierungskreis des Netzwerks für Gute Arbeit in der Wissenschaft
26. LOAD e. V. - Verein für liberale Netzpolitik
27. mail.de GmbH
28. mailbox.org
29. mediaTest digital GmbH
30. Netzwerk Datenschutzexpertise
31. Niedersachsen.digital e. V.
32. Reporter ohne Grenzen e. V.
33. SaveTheInternet
34. SerNet GmbH
35. Stiftung Neue Verantwortung e. V.
36. Tutao GmbH
37. Unternehmerverbände Niedersachsen e. V.
38. Wikimedia Deutschland e. V.
Unterzeichenende Vertreter:innen* aus Politik, Wirtschaft, Wissenschaft und Zivilgesellschaft
1. Prof. Dr. Clemens Arzt, Hochschule für Wirtschaft und Recht Berlin*
2. Alexander Couzens, Informatiker*
3. Prof. Dr. Eric Bodden, Universität Paderborn und Fraunhofer IEM*
4. Karoline Busse, Niedersächsisches Studieninstitut für kommunale Verwaltung e. V.*
5. Dr.-Ing. Tobias Fiebig, Technische Universität Delft*
6. Dr. Friederike von Franqué, wissenschaftliche Beraterin*
7. Dr. Michael Friedewald, Forum Privatheit*
8. Dr.-Ing. Kai Gellert, Bergische Universität Wuppertal*
9. Prof. Dr. Steffen Großmann, Großmann & Köhn Unternehmensberatung*
10. Dr. Daniel Guagnin, VDI/VDE-IT*
11. Dipl.-Ing. Markus Ihle, Abteilungsleiter IT-Sicherheit*
12. Dipl. Wirt.-Inf. Oliver Jaeckel-Bender
13. Prof. Dr. Tibor Jager, Bergische Universität Wuppertal, Lehrstuhl für IT Security and Cryptography*
14. Frank Knischewski, DTS Systeme GmbH* und Vizepräsident von Niedersachsen.digital*
15. Prof. Dr. Anja Lehmann, Hasso-Plattner-Institut*
16. Peter Leppelt, Mitglied des digitalRat.niedersachsen*
17. Michael Lohmann, bevutaIT*
18. Daniel Maslowski, LABOR e. V. Bochum*
19. Staatssekretär für Digitalisierung Stefan Muhle, Niedersächsisches Ministerium für Wirtschaft, Arbeit, Verkehr und Digitalisierung*
20. Britta Müller, Stadt Wuppertal*
21. Michael Niewöhner, IT Security Consultant*
22. Dipl. Inf. Thomas Reinhold, Informatik, Wissenschaft und Technik für Frieden und Sicherheit, TU Darmstadt*
23. Prof. Dr. Konrad Rieck, Technische Universität Braunschweig*
24. Karsten Rohrbach, Experte für Application Security*
25. Folker Schmidt, c-base*
26. PD Dr. Jan-Felix Schrape, Universität Stuttgart*
27. Prof. Dr. Dominique Schröder, Lehrstuhl für Angewandte Kryptographie, Friedrich-Alexander-Universität Erlangen-Nürnberg*
28. Dr. Matthias Schulze, Stiftung Wissenschaft und Politik*
29. Prof. Peter Schwabe, Max Planck Institute for Security and Privacy*
30. Manuel Soler Hahn, Geraffel*
31. Dr. Dr. Peter Ullrich, TU Berlin, Zentrum Technik und Gesellschaft* und Netzwerk für Gute Arbeit in der Wissenschaft*
32. Prof. Dr. Nils Zurawski, Surveillance Studies Forschungsnetzwerk, Universität Hamburg*
*Zugehörigkeiten dienen ausschließlich der besseren Zuordnung.
Verweise
- Der offene Brief als PDF (Link)
- Jetzt Stellung nehmen: Entwurf der Cybersicherheitsstrategie 2021, https://www.bmi.bund.de/SharedDocs/kurzmeldungen/DE/2021/06/css-2021-beteiligungsformat.html
- Offener Brief an das Bundesministerium des Innern, für Bau und Heimat: Geplanter Eingriff in Verschlüsselung von Messenger-Diensten hätte fatale Konsequenzen, 2019, https://docs.zohopublic.com/file/0pvyt9605617d3c064defb3fd92f6940dd1e1
- Wie die SPD ein Gesetz zum Cyber-Gegenschlag verhinderte, Spiegel 2020, https://www.spiegel.de/politik/deutschland/hackback-wie-die-spd-ein-gesetz-zum-cyber-gegenschlag-verhinderte-a-00000000-0002-0001-0000-000171973716
- Koalitionsvertrag zwischen CDU, CSU und SPD 2018, https://www.bundesregierung.de/breg-de/themen/koalitionsvertrag-zwischen-cdu-csu-und-spd-195906
- Sächsischer Verfassungsschutz sammelte illegal Daten über Vize-Ministerpräsidenten, Spiegel 2021, https://www.spiegel.de/politik/deutschland/sachsen-verfassungsschutz-sammelte-illegal-daten-ueber-vize-ministerpraesident-a-d3b45f6a-ec4e-4912-ba58-a348b06547ac
- „In Sachen Cybersicherheitsstrategie: Echte Demokratie braucht Zeit - Partizipationsimulation sofort beenden. Sichere IT-Systeme statt mächtiger Behörden benötigt – Offensivausrichtung aufgeben“, PM vom 17.6.2021, https://www.fiff.de/presse/CybersicherheitsstrategieJuni21
- „Offener Brief gegen Seehofers Cybersicherheitsstrategie“, SZ 2021, https://www.sueddeutsche.de/wirtschaft/cybersicherheitsstrategie-seehofer-1.5332538
Kontakt bezüglich dieser Pressemitteilung
Person: Rainer Rehak
E-Mail: rainer [punkt] rehak [ät] fiff [punkt] de
Betreff: „PM #Cybersicherheitsstrategie 25.6.2021“
PGP: 0D66 63E5 70A3 964A EE60 D927 4427 CFE5 8C19 AE19
Über das FIfF
Das Forum InformatikerInnen für Frieden und gesellschaftliche Verantwortung (FIfF) e. V. ist ein deutschlandweiter Zusammenschluss von Menschen, die sich kritisch mit Auswirkungen des Einsatzes der Informatik und Informationstechnik auf die Gesellschaft auseinandersetzen. Unsere Mitglieder arbeiten überwiegend in informatiknahen Berufen, vom IT-Systemelektroniker bis hin zur Professorin für Theoretische Informatik. Das FIfF wirkt in vielen technischen und nichttechnischen Bereichen der Gesellschaft auf einen gesellschaftlich reflektierten Einsatz von informationstechnischen Systemen zum Wohle der Gesellschaft hin. Zu unseren Aufgaben zählen wir Öffentlichkeitsarbeit sowie Beratung und das Erarbeiten fachlicher Studien. Zudem gibt das FIfF vierteljährlich die „FifF-Kommunikation – Zeitschrift für Informatik und Gesellschaft“ heraus und arbeitet mit anderen Friedens- sowie Bürgerrechtsorganisationen zusammen.