Gegen IT-Sorglosigkeit

Wo waren sie denn nur alle? In ihren Abgeordnetenbüros, um Daten von ihren möglicherweise ausgespähten Computern zu sichern? Von den 631 Parlamentariern, die im Deutschen Bundestag einen Sitz haben, ließen sich am Freitagmorgen jedenfalls ausnehmend wenige in der abschließenden Debatte über das IT-Sicherheitsgesetz blicken. Das schreibt in Zukunft vor, dass die Betreiber von sogenannten kritischen Infrastrukturen, wozu beispielsweise Energie, Wasser, Gesundheitswesen, Banken, aber auch die Bahn gehören, in ihren computergestützten Systemen und Netzwerken einen Mindestsicherheitsstandard einhalten müssen.

Dabei müsste das Thema gerade die Parlamentarier im Moment über alle Maßen interessieren. Sind doch Hacker tief in die Computer-Netze des Bundestages vorgedrungen und haben Schadsoftware eingeschleust und sogar Administratoren-Rechte an sich gebracht. "Dass wir hier nicht über ein theoretisches Problem reden, sondern über eine handfeste Herausforderung, ist uns selbst in den letzten Wochen ja hinreichend deutlich vor Augen geführt worden", sagte Bundestagspräsident Norbert Lammert bei der morgendlichen Begrüßung.

Fokus auf kritische Infrastruktur

Auch Bundesinnenminister Thomas de Maizière, der das IT-Sicherheitsgesetz federführend zu verantworten hat und die Debatte im Bundestag daher eröffnete, war schnell bei der seit vier Wochen andauernden Cyberattacke auf den Bundestag. Was er mit Verweis auf die Sicherheitsarchitektur seiner eigenen Behörde sagte, war dabei mehr als ein Seitenhieb gegen das Parlament. "Das Schutzschild, das die Bundesregierung und die Bundesverwaltung um sich gezogen haben, funktioniert, und zwar ziemlich gut, und das Bundesamt für Sicherheit in der Informationstechnik BSI hilft uns dabei."

Die Regierung habe sich entschieden, ein eigenständiges IT-Netz mit ausschließlich deutschen Herstellern und Betreibern aufzubauen und sich streng abzuschirmen. Er bot dem Parlament die Unterstützung der Regierungsbehörden BSI und Verfassungsschutz an, was bei CDU und CSU für anhaltenden Applaus sorgte. "Da einiges dafür spricht, dass es um einen Angriff eines ausländischen Nachrichtendienstes geht, bin ich dafür, dass auch das gesetzlich dafür zuständige Bundesamt für Verfassungsschutz seine Hilfe anbietet."

Wer kontrolliert wen?

Das sei aber nur ein Angebot, die Entscheidung treffe einzig und allein der Deutsche Bundestag, fügte de Maizière hinzu, der genau weiß, wie groß die Empfindlichkeiten sind. "Ich werde dazu weder intern noch öffentlich Ratschläge geben." Die würde das Parlament sicherlich auch von sich weisen. Das hat mit der Rolle des Bundestages zu tun. Aufgabe der Abgeordneten ist es, die Bundesregierung und die ihnen unterstellten Behörden zu kontrollieren. Nicht wenige Parlamentarier fragen sich, wie sie diesem Auftrag noch gerecht werden können, wenn Regierungsbehörden die Datenströme der Parlamentarier überprüfen. Und sei es auch nur, um Cyberkriminellen auf die Spur zu kommen.

Ähnliche Bedenken fanden sich auch in der Debatte um das IT-Sicherheitsgesetz wieder. Über dem Gesetz schwebe "ein finsterer Schatten", kritisierte für die Partei Die Linke Bundestagsvizepräsidentin Petra Pau. Spätestens seit den Enthüllungen von Edward Snowden sei klar, dass die Geheimdienste das Internet beherrschen und es als "riesigen Datenstaubsauger" nutzen würden. Das Gesetz zur IT-Sicherheit würde diese Entwicklung nicht stoppen. "Vieles, was geregelt werden müsste, bleibt ungeregelt, aber unter dem Strich bleiben zwei Gewinner, der BND und der Verfassungsschutz, also Geheimdienste."

Tatsächlich erlaubt das Gesetz den Anbietern von Telekommunikationsdiensten, Daten über das Verhalten ihrer Nutzer zu speichern. Zur Begründung heißt es, so könnten Störungen oder Fehler besser erkannt, eingegrenzt oder beseitigt werden. Kritiker sehen in diesem Vorgehen aber eine Art Vorratsdatenspeicherung, die nichts mit IT-Sicherheit zu tun habe. Zudem müssen Unternehmen, die im Netz attackiert werden, die Angriffe beim BSI melden. "Wir wissen, das ist peinlich", sagte Innenminister de Maizière. Deswegen sollen die Meldungen vertraulich behandelt werden.

Sicherheit kontra Kontrolle

Wie es aussieht, wird jenseits aller Kritik Kontrolle in der digitalen Gesellschaft zunehmend wichtiger werden. Alle Parteien hätten ein Interesse an einer höchstmöglichen Sicherheit, auch die Linke, so Petra Pau. "Man stelle sich nur einmal den Ausfall der Wasser- und Energieversorgung vor oder wesentlicher Teile des Verkehrs – die gesamte Gesellschaft käme zum Erliegen", warnte sie.

Pau leitet auch die fraktionsübergreifende Kommission, die im Bundestag mit der Aufklärung der Cyberattacke befasst ist. Der Vorfall setzt den Abgeordneten spürbar zu. "Wir haben eine Schlacht verloren", sagte die Grünen-Abgeordnete Renate Künast. "Wir wissen nicht einmal, gegen wen wir diese Schlacht verloren haben." Das sei aber nicht unwichtig bei der Analyse und beim Abstellen. "Der Angriff zeigt, dass die Bundestags-IT nicht ordentlich aufgestellt ist." Dieter Janecek, ebenfalls von den Grünen sagte: "Wir stehen ganz schön peinlich da, wenn wir heute über ein IT-Sicherheitsgesetz beraten, das selber aber nicht hinkriegen."

Kritik an der Kritik

Zum Abschluss der fast zweistündigen Debatte ergriff Bundestagspräsident Norbert Lammert noch einmal das Wort und kritisierte offen "die zum Teil bemerkenswerten öffentlichen Erklärungen" einiger Abgeordneter zum Angriff auf das Datennetz des Bundestags. Der Streit über die nötigen Gegenmaßnahmen sowie Kritik an der Informationspolitik der Bundestagsverwaltung habe ihn verwundert. Schließlich seien in der IT-Kommission alle Fraktionen vertreten und dort habe es in den vergangenen Wochen nie Kritik gegeben.

Lammert bedankte sich bei allen Mitgliedern der Kommission, die seit Wochen einen "äußerst ungemütlichen Job" erledigen würde und verteidigte, dass die Ermittlungen hinter geschlossenen Türen ablaufen. "Sie erledigen ihren Job mit einem bemerkenswerten Einsatz und einer Unauffälligkeit, die offenkundig nicht allen gefällt, von der ich aber den Eindruck habe, dass sie angemessen ist."