Die Bundesregierung hat heute die Gründung einer „Agentur für disruptive Innovationen in der Cybersicherheit“ verkündet. Die Ausrichtung unter der Ägide von Innen- und Verteidigungsministerium lässt große Zweifel aufkommen, ob es hier wirklich um Cybersicherheit und nicht vielmehr um die Ausweitung der Cyber-Bewaffnung geht. Der Chaos Computer Club fordert, die deutsche Cybersicherheits-Strategie strikt defensiv auszurichten.
Faktisch stellt die Bundesregierung mit dem heute angekündigten Vorhaben die Weichen für eine stärkere Ausrichtung hin zu einer offensiven Cyber-Strategie. Der Chaos Computer Club (CCC) fordert hingegen eine strikt defensive Ausrichtung. Angesichts der Erfahrungen anderer Länder und auch im Lichte des Bundestagshacks kann die staatliche Entwicklung von Sicherheitslücken für den Gebrauch durch Militärs und Geheimdienste nicht Bestandteil einer nachhaltigen Sicherheitsarchitektur sein. Erinnert sei nur an den ETERNALBLUE-Exploit der NSA, der die Grundlage für die verheerenden Trojaner Wannacry und NotPetya bildete, die bisher nicht dagewesene Schäden weltweit verursachten.
Der Wunsch der deutschen Geheimdienste, mit NSA und GCHQ „auf Augenhöhe“ mitzucybern, darf nicht Maßstab einer Strategie für Sicherheit im digitalen Raum sein. Stattdessen müssen die für die Agentur eingeplanten Ressourcen ausschließlich für defensive Forschung verwendet werden. Dazu gehört, die Softwarequalität grundlegend zu verbessern und die an Universitäten erforschten und entwickelten Technologien für sichere digitale Systeme schnellstmöglich breit in die industrielle Praxis zu bringen.
Eine sinnvolle Strategie für eine sichere digitale Welt für Bürger und Wirtschaft erfordert, unabhängige zivile Organisationen und auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) zu stärken, und gerade keine weitere Militarisierung und Vergeheimdienstlichung des Themas. „Wenn die Bundeswehr und die Geheimdienste den Ton bei der Agentur angeben, wird der Schwerpunkt auf Cyber-Offensiv-Waffen liegen“, sagte CCC-Sprecher Frank Rieger. „Dies ist das falsche Signal und wird die desolate Situation in der IT-Sicherheit verschlechtern und nicht verbessern.“
Ob ein „Zurückhacken“ und offensive digitale Angriffe, zumal durch das deutsche Militär, überhaupt mit geltendem deutschen Recht und dem Völkerrecht vereinbar ist, steht ohnehin in Zweifel. [1] Darüber kann auch die euphemistische Verbrämung des Vorhabens durch die irreführende Namensgebung der Agentur nicht hinwegtäuschen. Dass offenbar militärische, geheimdienstliche und polizeiliche Interessen weiter vermengt werden, wenn die Agentur diese aus gutem Grund rechtlich getrennten Bereiche bedient, ist nicht akzeptabel.
[1] Rechtliche Bewertung der Wissenschaftlichen Dienste des Bundestags zum „Zurückhacken“: https://www.bundestag.de/blob/560900/baf0bfb8f00a6814e125c8fce5e89009/wd-3-159-18-pdf-data.pdf