Mit Computern und Internet kennt sich die Bundesregierung aus, da muss ihr niemand reinreden. Auch nicht der Bundestag. Ihre Cybersicherheitsstrategie für Deutschland 2016 erarbeitet die Regierung deshalb allein.

Im Juli hatten ZEIT ONLINE und der Deutschlandfunk einen mit "Verschlusssache – Nur für den Dienstgebrauch" überschriebenen Entwurf dieser Cybersicherheitsstrategie einsehen können. Er wird derzeit zwischen den zuständigen Ministerien abgestimmt und soll im Herbst vom Kabinett verabschiedet werden. Nun hatte die Bundestagsfraktion Die Linke gefragt, ob das Parlament denn mitreden dürfe bei diesen weitreichenden Plänen. Die Antwort der Regierung: Eine parlamentarische Beratung "ist nicht vorgesehen".

Damit sind viele Abgeordnete nicht einverstanden. Immerhin berührt dies Strategie verschiedene Gesetze und Behörden. Sie soll der Plan für die kommenden fünf Jahre sein, anhand dessen alle Aktivitäten zur Sicherheit im Internet koordiniert werden. Oder, wie es in dem Entwurf selbst heißt: "Die Cyber-Sicherheitsstrategie 2016 bildet den strategischen Überbau für sämtliche Initiativen und Vorhaben der Bundesregierung mit Bezügen zur Cyber-Sicherheit."

Drei schnelle Eingreiftruppen

Trotzdem ist die Regierung der Ansicht, dass sie das Parlament nicht über diese Pläne unterrichten oder den Bundestag gar einbeziehen muss, wie es in der Antwort auf die kleine Anfrage heißt, die ZEIT ONLINE vorliegt. Das sei nicht hinnehmbar, findet die Parlamentarische Geschäftsführerin der Fraktion Die Linke, Petra Sitte. Man werde "den chaotischen Cyberwar der Bundesregierung" nicht als einfachen Verwaltungsvorgang zur Kenntnis zu nehmen. "Wir werden deshalb die Debatte im Bundestag zu diesen Plänen einfordern."

Dem Entwurf zufolge sollen zum Beispiel drei Eingreiftruppen entstehen, um künftig schnell auf Vorfälle wie den Hack des Bundestagsnetzes im Sommer 2015 reagieren zu können. Auch soll das Cyber-Abwehrzentrum in Bonn mehr Geld und Befugnisse bekommen, die Zusammenarbeit mit der Bundeswehr "neu konzipiert" werden. Vor allem die letzten beiden Punkte sehen die Linken kritisch. Sie finden, dass im Cyber-Abwehrzentrum auch jetzt schon eine "verfassungsrechtlich bedenkliche Vermischung von Aufgaben der Bundeswehr und der Polizeibehörden" vollzogen werde. Das solle nun noch ausgebaut werden, trotzdem wolle die Bundesregierung den Abgeordneten nicht sagen, wie genau das passiere. Das zeuge von einem "demokratischen Unverständnis der großen Koalition", kritisiert Sitte.

Mit der Strategie wolle die Bundesregierung "eine verfassungsrechtlich höchst fragwürdige, völlig neue Sicherheitsarchitektur für den digitalen Raum" bauen, sagt Konstantin von Notz, Netzpolitischer Sprecher der Grünen im Bundestag. Dabei aber "stellen sich zahlreiche verfassungsrechtliche Fragen", die bislang nicht beantwortet worden seien. Angesichts dessen sei es "absolut inakzeptabel", dass die Bundesregierung plane, dieses Vorhaben am Parlament vorbei zu beschließen.  

Von "Sensorik im Netz" ist keine Rede mehr

Eine Idee des ursprünglichen Entwurfes immerhin scheint die Bundesregierung inzwischen aufgegeben zu haben. Dort stand, die Regierung wolle gemeinsam mit den Internetprovidern "die Notwendigkeit eines Ausbaus der Sensorik im Netz" prüfen. Genauer wurde das jedoch nicht erläutert. Was ist mit Sensorik gemeint? Wie soll sie ausgebaut werden? Auf welcher Rechtsgrundlage? Und soll sie die sogenannte Deep Packet Inspection mit einschließen, also die Überwachung aller Netzinhalte? "Sensorik" könnte immerhin auch aus weniger invasiven technischen Maßnahmen bestehen. All das wollten die Linken daher näher erläutert wissen. Die Antwort der Bundesregierung auf den ganzen Fragenkomplex lautet schlicht: "nein". Und an anderer Stelle: "Seitens der Bundesregierung ist keine automatisierte Überwachung des kompletten Netzwerkverkehrs geplant."

Keinerlei Netzüberwachung also. Damit wurde einer der heikelsten Punkte der geplanten Cyberstrategie also offenbar gestrichen. Oder vertagt. Der eco – Verband der Internetwirtschaft geht davon aus, dass das Thema "still beerdigt" wurde. 

Keine klare Aussage zur Entwicklung von "Cyberwaffen"

Dabei war sie ein Punkt, der gleich zwei Mal im Entwurf auftauchte. Dort stand zum einen, dass die Maßnahmen der Netzanbieter "zur Erkennung von Cyber-Angriffen, zum Umgang mit erkannten Vorfällen/Infektionen und auch zur Abschwächung laufender Angriffe" abgestimmt werden sollen. Zm anderen wollte die Bundesregierung auch die Fähigkeit der Behörden verbessern, um Bedrohungen im Netz durch "intelligente technische Sensorik" zu erkennen.

Das belegt, dass es durchaus Diskussionsstoff für eine parlamentarische Debatte gäbe.

Das zeigt auch ein weiterer kritischer Punkt, der selbst nach dem parlamentarischen Nachbohren nicht klarer wird. Auf die Frage der Linken, ob im Innenministerium eine zentrale Stelle entstehen soll, "die Cyberwaffen beschafft und entwickelt", wie es im Cyberentwurf heißt, verweist das Ministerium auf eine frühere Antwort zum Thema Zitis (Zentrale Stelle für Informationstechnik im Sicherheitsbereich). In der ist in diesem Zusammenhang allerdings auch nur schwammig von einer "Anpassung der technischen Fähigkeiten an die aktuellen Herausforderungen der Kommunikationswelt" die Rede.

"Ausweichend und substanzlos"

Ebenso unklar ist die Antwort zu einem eher harmlos wirkenden Punkt, sogenannten Computer Emergency Response Teams, kurz Certs. Es gibt ein solches Cert beim Bundesamt für Sicherheit in der Informationstechnik (BSI). Doch legt der Cybersicherheitsentwurf nahe, dass die Struktur komplett umgebaut werden soll, um ein nationales Cert zu bilden und ihm neue Befugnisse zu geben. Die Abgeordneten hatten dazu fünf konkrete Fragen gestellt. Die Bundesregierung schreibt jedoch lediglich den formelhaften Satz: "Mit der neuen Cyber-Sicherheitsstrategie der Bundesregierung sollen die Cert-Strukturen in Deutschland weiter gestärkt werden."

Jan Korte, stellvertretender Fraktionsvorsitzender der Linken, nennt die Antworten "ausweichend und substanzlos". Er beschwert sich: "Offenbar tapst die Regierung bei ihrem Kurs durch die Weiten des Cyberraums weiterhin im Dunkeln. Wer noch nicht einmal eine eindeutige Frage nach dem Bestehen von Computer Emergency Response Teams eindeutig beantwortet, weiß entweder einfach nicht, was er tut oder missachtet schlicht das parlamentarische Fragerecht."

Das federführende Bundesinnenministerium bezeichnet das Papier als unfertig. Es existiere "noch kein zwischen den beteiligten Bundesressorts abgestimmter Text". 

Der Schutz kritischer Infrastrukturen vor IT-Angriffen sei "fortlaufend Gegenstand der parlamentarischen Beratungen, insbesondere in den zuständigen Fachausschüssen", sagte Michael Grosse-Brömer, Erster Parlamentarischer Geschäftsführer der CDU/CSU-Bundestagsfraktion. Wie das "konkrete Papier" zu behandeln sei, werden Bundestag und Fachausschüsse entscheiden, nachdem das Kabinett es beschlossen habe.