Mehr Macht für Polizei und BSIKabinett beschließt Dobrindts geschärfte Cyberabwehr
Deutschland soll sich gegen Cyberattacken aus dem Ausland künftig robuster verteidigen dürfen. Innenminister Dobrindt stattet Polizei und Sicherheitsbehörden nun mit neuen Befugnissen zum Gegenschlag im Angriffsfall aus.
Die Bundesregierung will jenseits von präventiven Maßnahmen künftig auch eine "aktive Cyberabwehr" erlauben. Das Bundesamt für Sicherheit in der Informationstechnik (BSI), die Bundespolizei und das Bundeskriminalamt (BKA) sollen zusätzliche Werkzeuge in die Hand bekommen, um Cyberangriffe abzuwehren. Die Behörde soll etwa den Betrieb gefährlicher informationstechnischer Systeme untersagen können - ebenso das Umleiten von Datenverkehr und das Auslesen, Löschen oder Verändern von Daten.
Der Gesetzentwurf, den das Kabinett dazu jetzt beschlossen hat, will dem BSI ermöglichen, die Widerstandsfähigkeit der Informationstechnik der Bundesverwaltung zu erhöhen und die Erkenntnislage zu drohenden Angriffen zu verbessern. Zur Begründung heißt es, Deutschland stehe als führende Wirtschaftsnation in Europa verstärkt im Fokus von Cyberangriffen, die teils große Wirkung entfalten könnten. Auch hybride Bedrohungen gewännen an Bedeutung. In dieser Situation müsse die Erkennung und Abwehr solcher Angriffe zwingend ausgebaut werden.
Bundesinnenminister Alexander Dobrindt spricht von einer aktiven Cyberabwehr. Der CSU-Politiker sagt: "Wir werden proaktiv dagegen vorgehen, was bedeutet, wir schlagen zurück, wir schalten die Bedrohung aus, wenn wir angegriffen werden, wir werden Angreifer stören und deren Infrastruktur zerstören können." Fremde Mächte, staatliche Akteure oder damit verbundene Akteure seien zunehmend auch Urheber von Cyberangriffen gegen Deutschland. Im Fokus stünden dabei Wirtschaft, Industrie, staatliche Stellen und auch die Politik. Es gehe um Spionage, Sabotage, Erpressung und um "Machtdemonstration im digitalen Raum".
Zugriff statt Prävention
Gegen groß angelegte Cyberangriffe mit großem Schadenspotential böten präventive Maßnahmen in den eigenen IT-Systemen keinen hinreichenden Schutz, führt die Bundesregierung in ihrem Entwurf weiter aus. Die Polizeibehörden des Bundes und das BSI müssten daher die Befugnis bekommen, solche Angriffe zu unterbinden. Ziel sei es dabei, gravierende Folgeschäden abzuwenden oder zu minieren. Um die Aufgaben zu erfüllen, die sich durch die geplanten Änderungen ergeben, werden laut Entwurf insgesamt 37 zusätzliche Beschäftigte benötigt.
Durch die Gesetzesänderung soll das BSI das Recht erhalten, auf Ersuchen einer Institution in deren informationstechnischen Systemen nach vorbereitenden Maßnahmen von Angreifern zu suchen und diese zu identifizieren. Da wechselnde maliziöse Internet-Domänen bei der Verbreitung von Schadsoftware eine tragende Rolle einnehmen, soll dem BSI ermöglicht werden, gegen solche Domänen vorzugehen.
Die zusätzlichen Befugnisse für die Bundespolizei dienten alleine der Gefahrenabwehr, nicht der Strafverfolgung, heißt es. Besondere Abwehrmaßnahmen durch die Bundespolizei sollen nur in bestimmten Fällen erlaubt sein, etwa wenn sich die Gefahr gegen "Behörden oder Einrichtungen, deren Funktionieren für das Gemeinwesen oder die Verteidigung von wesentlicher Bedeutung sind", richtet.
Bitkom und BDI warnen vor BKA-Befugnissen
Der Verband der Internetwirtschaft, Bitkom, begrüßt zwar, dass sich die Bundesregierung jetzt stärker um Cyberabwehr kümmern will und sieht in dem Entwurf auch einige gute Ansätze. An entscheidenden Stellen schieße der Entwurf jedoch über das Ziel hinaus, heißt es in einer Mitteilung. Besonders kritisch seien die neuen Eingriffsbefugnisse für Bundespolizei und BKA, die Maßnahmen ermöglichten, bei denen eine Cyberbedrohung mit einem Gegenangriff auf das System des Angreifers beantwortet wird. "Weil sich Cyberangriffe technisch häufig nicht zweifelsfrei zuordnen lassen und Täter falsche Spuren legen, drohen unbeteiligte Dritte getroffen zu werden."
Nachbesserungsbedarf sieht auch der Bundesverband der Deutschen Industrie (BDI). Er kritisiert: "Der Entwurf setzt bislang zu stark auf staatliche Durchgriffe und zu wenig auf die Zusammenarbeit mit der Wirtschaft." Die Mitwirkungspflichten für Unternehmen müssten präziser und verhältnismäßiger gefasst werden.