Stellen Sie sich vor, es stehen zwei Polizisten vor Ihrer Tür und wollen Ihnen ein Konzept vorstellen, wie Sie Ihre Wohnung sicherer machen können. Ihr Tipp: Super sichere Türschlösser seien super wichtig. Und mit der Information, dass Ihr Fenster offen steht, werde die Polizei verantwortungsvoll umgehen. Sie entgegnen, dass es doch vielleicht am sichersten wäre, auch das Fenster abzuschließen. Woraufhin die Polizisten erwidern, das möge ja sein, aber: "Wie sollen wir denn dann noch in Ihre Wohnung kommen?"
Was klingt wie ein Witz, ist im Prinzip genau das, was die Bundesregierung in die Cybersicherheitsstrategie 2021 geschrieben hat, die das Kabinett am Mittwoch beschlossen hat und die skizziert, wie die Cybersicherheitspolitik der kommenden fünf Jahre aussehen soll. Etwas komplizierter, aber genauso absurd: Darin wird einerseits betont, wie wichtig Verschlüsselung digitaler Kommunikation ist ("Voraussetzung eines souveränen und selbstbestimmten Handelns"), und andererseits wird darin angekündigt, dass "technische und operative Lösungen für den rechtmäßigen Zugang zu Inhalten aus verschlüsselter Kommunikation entwickelt" werden sollen. Mit anderen Worten also eine Hintertür, um WhatsApp- oder Signal-Nachrichten, verschlüsselte E-Mails und Dokumente lesen zu können.
Damit macht die vermeintliche Sicherheitsstrategie das ganze Internet unsicherer. Denn wenn der Staat weiß, wie man eine Verschlüsselung umgehen kann, dann können es auch andere in Erfahrung bringen. Die Schwachstelle in einem Betriebssystem, die der Verfassungsschutz nutzt, um den Computer eines Terrorverdächtigen abzuhören, kann gleichzeitig eine Gruppe Krimineller verwenden, um ein Unternehmen auszuspionieren – oder um ein Krankenhaus lahmzulegen.
Jetzt noch mehr Staatstrojaner
Nun war von dieser Bundesregierung nichts anderes zu erwarten: Sowohl Ermittlungsbehörden wie das Bundeskriminalamt als auch seit Kurzem Nachrichtendienste wie der Verfassungsschutz dürfen Sicherheitslücken nutzen, um mit Staatstrojanern die Geräte von Verdächtigen zu infiltrieren. Erst vor wenigen Tagen zeigten ZEIT-ONLINE-Recherchen, dass dafür unter anderem die Software Pegasus der israelischen NSO Group eingesetzt wird. Das ist der Bundesregierung aber offenbar zu wenig: "Informationstechnische Überwachung (Quellen-TKÜ) sowie die Onlinedurchsuchung sind wegen der operativen und technischen Herausforderungen in der Praxis auf Einzelfälle beschränkt", heißt es in der Cybersicherheitsstrategie. Das soll sich durch die Cybersicherheitsstrategie nun offenbar ändern – und das ist ein Skandal.
Mal ein kleiner Auszug aus der langen Liste von Gegenargumenten: Es lädt zum Missbrauch ein, wenn Ermittlungsbeamte mit wenigen Mausklicks Chats mitlesen können. Das Risiko, auch Unbeteiligte mit abzuhören, ist groß. Der Nutzen dieser Art von Ermittlung ist kaum erwiesen. Es gibt zu wenig parlamentarische Kontrolle. Und zum Schluss noch einmal der Klassiker, als Digitalredakteur kann man sich für diesen Satz schon fast ein Tastaturkürzel einrichten: Wenn der Staat ein Interesse daran hat, Sicherheitslücken in Software zu kennen, offen zu halten, oder Unternehmen dazu zwingt, welche zu schaffen, dann macht das digitale Systeme unsicherer für alle – egal, wie "verantwortungsvoll" die Behörden damit umgehen.
Nicht umsonst haben wenige Tage nachdem der Entwurf für die Strategie im Juni veröffentlicht worden war, zahlreiche Expertinnen und Organisationen einen offenen Brief geschrieben und darauf hingewiesen, dass Maßnahmen wie Hintertüren "ausländischen Nachrichtendiensten und Cyberkriminellen mehr nutzen" würden als den heimischen Sicherheitsbehörden. Unter anderem der Chaos Computer Club, der Verband der Internetwirtschaft eco, Informatikprofessorinnen und die parteinahen Digital-Thinktanks von SPD, FDP und CDU fordern darin, die Strategie in einigen wesentlichen Punkten zu ändern oder wenigstens die Abstimmung darüber in die nächste Legislaturperiode zu verschieben.
Stattdessen hat das Kabinett nun gut zwei Wochen vor der Bundestagswahl eine Version der Strategie beschlossen, die sich kaum von dem damaligen Entwurf unterscheidet. Insofern ist der heutige Beschluss auch ein Schlag ins Gesicht der digitalen Zivilgesellschaft, die schon lange und zu Recht fordert, ernsthaft an solchen Vorhaben beteiligt zu werden. Um Stellung zu nehmen zum 128-seitigen Entwurf der Cybersicherheitsstrategie hatten Verbände gerade einmal sieben Tage Zeit – ihre Empfehlungen wurden am Ende ignoriert.
Der Staat will zurückhacken
Abgeraten hatten sie auch von einer anderen am Mittwoch beschlossenen Maßnahme: Hackbacks. Der Begriff setzt sich zusammen aus Hacken und dem englischen Wort back, bedeutet also zurückhacken. Gemeint ist damit, dass der Staat sich nicht nur vor Angriffen schützt, sondern dass "gegen die Ursachen schwerer Cyberangriffe aktiv (...) vorgegangen" wird. Der Staat will also selbst Cyberangriffe starten. Dafür ist eine Änderung des Grundgesetzes geplant.
Diese Idee ist so schlecht, dass es schon schwierig ist, überhaupt jemanden zu finden, der sie verteidigen würde, der nicht Horst Seehofer ist. Schon allein, weil man sich damit in ein digitales Wettrüsten mit kaum vorhersehbaren Folgen begeben würde. Abgesehen von Expertinnen, Forschern, und dem wissenschaftlichen Dienst des Bundestages sprechen sich auch alle im Bundestag vertretenen Parteien dagegen aus – mit Ausnahme der Union.
Das ist vermutlich auch der Grund, warum die Cybersicherheitsstrategie jetzt noch so hektisch beschlossen wurde: Wenn sich die Umfragewerte der Union nicht noch dramatisch erholen, dürfte es nach der Wahl wohl keine Mehrheiten für solchen Unsinn geben.
Stellen Sie sich vor, es stehen zwei Polizisten vor Ihrer Tür und wollen Ihnen ein Konzept vorstellen, wie Sie Ihre Wohnung sicherer machen können. Ihr Tipp: Super sichere Türschlösser seien super wichtig. Und mit der Information, dass Ihr Fenster offen steht, werde die Polizei verantwortungsvoll umgehen. Sie entgegnen, dass es doch vielleicht am sichersten wäre, auch das Fenster abzuschließen. Woraufhin die Polizisten erwidern, das möge ja sein, aber: "Wie sollen wir denn dann noch in Ihre Wohnung kommen?"
Was klingt wie ein Witz, ist im Prinzip genau das, was die Bundesregierung in die Cybersicherheitsstrategie 2021 geschrieben hat, die das Kabinett am Mittwoch beschlossen hat und die skizziert, wie die Cybersicherheitspolitik der kommenden fünf Jahre aussehen soll. Etwas komplizierter, aber genauso absurd: Darin wird einerseits betont, wie wichtig Verschlüsselung digitaler Kommunikation ist ("Voraussetzung eines souveränen und selbstbestimmten Handelns"), und andererseits wird darin angekündigt, dass "technische und operative Lösungen für den rechtmäßigen Zugang zu Inhalten aus verschlüsselter Kommunikation entwickelt" werden sollen. Mit anderen Worten also eine Hintertür, um WhatsApp- oder Signal-Nachrichten, verschlüsselte E-Mails und Dokumente lesen zu können.