Brauchen wir ein neues Zeitalter digitaler Mündigkeit? – Gedanken und Überlegungen zum Advents-Datenleak

Der neueste, am Freitag prominent gewordene Datenskandal hat wieder einmal mehr verdeutlicht, dass IT-Sicherheit mehr als bloß eine gesetzliche Vorgabe oder gar nur politische Forderung ist, sondern das Thema theoretisch jedermann zu jederzeit betreffen kann. Deutlich wurde auch, dass es vielleicht nicht nur darum geht, bestimmte Einrichtungen als bloße Institution zu schützen, sondern eben auch diejenigen natürlichen Personen, die hinter der Einrichtung stehen, dort arbeiten und damit in einem wesentlichen Sinne auch ihre Funktionsfähigkeit ausmachen. Und nicht zuletzt wurde klar, wie weit sich der Bogen beim Thema Cybersecurity eigentlich spannen lässt: Von politischen Impulsen über rechtliche Vorgaben, hin zu technisch-organisatorischen Maßnahmen der Datensicherheit und des Datenschutzes, und schlussendlich wieder zurück in die Politik, wenn es um die Beeinflussung und Manipulation demokratischer Willensbildungsprozesse geht.

Staat und Verwaltung – keine Kritische Infrastruktur?!

Doch kommen wir bei dieser Betrachtung zuerst dahin, wo alles – zumindest soweit es um das Thema gesetzliche Regelungen geht – beginnt: der rechtspolitischen Lage. Die Cyber-Sicherheit betreffend ist Deutschland hier eigentlich Vorreiter. Schon 2005 wurde von der Bundesregierung als umfassende Dachstrategie zur IT-Sicherheit der Nationale Plan zum Schutz der Informationsinfrastrukturen (NPSI) verabschiedet, der durch die Cyber-Sicherheitsstrategien von 2011 und 2016 abgelöst wurde. Alles dreht sich hierbei um die drei strategischen Ziele „Prävention, Reaktion und Nachhaltigkeit“. Als politische Grundlage bildeten und bilden die Cyber-Sicherheitsstrategien auch die Blaupause für die entsprechende bereichsspezifische Gesetzgebung, die sich bisher vornehmlich im IT-Sicherheitsgesetz (IT-SiG) von 2015 manifestierte. Hier wurden durch Änderung des BSI-Gesetzes erstmals umfassende Pflichten zur IT-Sicherheit von Kritischen Infrastrukturen festgeschrieben, so im Schwerpunkt die Umsetzung technisch-organisatorischer Maßnahmen gemäß dem „Stand der Technik“ und Meldepflichten für IT-Sicherheitsvorfälle. Interessanterweise blieb im IT-SiG die Definition der Kritischen Infrastrukturen hinter der KRITIS-Definition des BMI zurück, denn insbesondere der Sektor „Staat und Verwaltung“, der laut BMI unter anderem Regierung und Verwaltung, Parlament und Justizeinrichtungen umfasst, wurde als solcher nicht in das IT-SiG einbezogen. Argument war damals, dass die „schützende Einrichtung nicht gleichzeitig als zu schützende Einrichtung“ qualifiziert werden könne. Gleichwohl stehen staatliche Einrichtungen damit unter Cyber-Sicherheitsgesichtspunkten nicht völlig schutzlos da, denn das BSI besitzt auch hier einen entsprechenden Auftrag, Bundeseinrichtungen bei der Realisierung von IT-Sicherheitsmaßnahmen zu unterstützen. Fraglich ist aber, ob dies ausreichend ist – oder nicht doch darüber nachgedacht werden sollte, im Rahmen der zurzeit anstehenden Novelle des BSIG durch das „IT-SiG 2.0“ auch den Staat als Kritische Infrastruktur nunmehr explizit einzubeziehen – mit allen damit verbundenen Rechten und Pflichten. Schließlich ist es auch nicht das allererste Mal, dass wir von IT-Sicherheitsproblemen auf Ebene der Bundesregierung hören; der Hackerangriff von 2015 auf das Parlament zog ähnlich weite Kreise, und war letztlich wohl nur eine einfache Phishing-Attacke.

Eine neue Dimension digitaler Bedrohungen

Fraglich dürfte aber letztlich sein, ob Gesetze hier allein ausreichend oder überhaupt das geeignete Mittel darstellen, um derlei Angriffen zu begegnen, die in immer wiederkehrender Häufigkeit die Öffentlichkeit aufrütteln. Bei dem jüngsten Ereignis ist schon fraglich, ob es sich tatsächlich um einen Angriff handelt – letztlich wurden hier nur Informationen veröffentlicht, die über einen Zeitraum von scheinbar mehreren Jahren über verschiedene Quellen gesammelt wurden. Auch sind keine Daten und Dokumente betroffen, die unmittelbar die Funktionsfähigkeit der Regierung oder des Parlaments betreffen, aber sehr wohl die Reputation von Personen des öffentlichen Lebens, die hinter besagten Einrichtungen stehen und damit für deren Funktionsfähigkeit essenzieller Bestandteil sind. Insoweit erreicht die Cyber-Sicherheit, verglichen mit ihren bisherigen Zielen und Prämissen, für den vorliegenden Fall eine neue Dimension, da wir hier eine Verquickung von Privatem und Dienstlichem vorfinden, wie sie bisher in diesem Ausmaß ungekannt gewesen ist. Vieles dürfte in diesem Zusammenhang auch der Tatsache geschuldet sein, dass sich im Zeitalter der allgegenwärtigen Vernetzung Berufliches von Privatem auch immer schwieriger trennen lässt – und das wohl insbesondere dann, wenn sich Beruf und Privates natürlicherweise miteinander vermengen, wie es bei den betroffenen Politikern und Prominenten der Fall ist. So werden personenbezogene Daten nicht nur auf verschiedenen Endgeräten gespeichert, sondern auch synchronisiert. Hierdurch treten neue, für die IT-Sicherheit relevante technische Angriffsvektoren zutage. Es geht also folglich nicht allein um die Frage, ob Regierung und Parlament zukünftig Kritische Infrastrukturen im Sinne des Gesetzes sein sollen, sondern ob und wie diejenigen Personen, die hinter ihnen stehen, effektiv geschützt werden können.

Selbstschutz versus Drittschutz

Ist es aber letztlich nicht die Aufgabe ebenjener Personen selbst, für die Sicherheit ihrer IT zu sorgen, die sie als „normale Bürger“ in ihren Alltagsgebrauch einbringen? Ist es ihnen nicht selbst zuzuschreiben, scheinbar keine ausreichenden Vorkehrungen gegen Angriffe von außen getroffen zu haben? Trotz erheblicher Aufstockung seiner personellen Ressourcen wird das BSI nicht in der Lage sein, jedes private Abgeordnetenhandy oder jeden privaten PC, der durch ein Mitglied des Bundestages angeschafft wird, technisch-organisatorisch zu überwachen und ausreichend abzusichern. Und ein generelles Verbot, private Endgeräte zu nutzen, dürfte keine ausreichende Zahl an Befürwortern finden. Hier geht es deshalb vielleicht gar nicht um eine rechtliche Frage, sondern vielmehr um ein noch breiteres Awareness-Building für Cyber-Sicherheit in der allgemeinen Bevölkerung, als wir es bisher kennen. Immer neue Forderungen nach „Aufklärung“, die in den letzten Tagen laut wurden, ändern an dieser Situation nichts, denn einmalige Aufklärung bedeutet nicht, dass es in Zukunft keine IT-Sicherheitsvorfälle mehr gibt – und kann den mündigen Bürger ebenso nicht davor bewahren, für sich und seine eigenen Daten auch im digitalen Raum Verantwortung zu übernehmen. Eine staatliche Schutzpflicht zur IT-Sicherheit lässt sich grundrechtlich somit zwar herleiten, wird aber wohl im Ergebnis immer nur als Minimalgewährleistung zu verstehen sein.

Die Zeit ist reif – für ein neues Zeitalter der digitalen Mündigkeit

Vielleicht brauchen wir deshalb nicht immer neue gesetzliche Regelungen und weitere Vorschriften, sondern vielmehr ein neues Zeitalter digitaler Mündigkeit. Digitale Mündigkeit in einem multiplen Sinne verstanden: Nicht nur die Frage betreffend, wem ich meine Daten überlasse und was damit passiert, sondern auch, wie ich meine Daten in der allgegenwärtigen Cloud schütze, und vor allem auch, welchen öffentlich kommunizierten Informationen ich traue – und welchen eben nicht. So wurde im jüngsten Datenleak zwar eine große Zahl an Dokumenten veröffentlicht, aber wer weiß, wie viel davon tatsächlich „wahr“ und „richtig“ ist – oder vielleicht auch beigemischt wurde, um eine Gelegenheit zu nutzen, Personen des öffentlichen Lebens zu diskreditieren und so die demokratische Willensbildung zu beeinflussen? Geschichten rund um „Hacking Democracy“ sind spätestens seit dem letzten US-Präsidentschaftswahlkampf nicht mehr neu, und auch die EU rüstet sich für die anstehenden Europawahlen in diesem Jahr gegen mögliche Manipulationen der öffentlichen Meinungsbildung.

Mehr Selbstverantwortung für mehr Sicherheit

Längst geht es somit nicht mehr nur um Datenschutz und Cyber-Sicherheit als abstrakte Bedrohungen, sondern wir leben in einem Zeitalter neuer digitaler Herausforderungen, denen der Staat trotz aller begrüßenswerten Bestrebungen mit einer gewissen Ohnmacht gegenüberzustehen scheint. Uns bleibt deshalb zumindest vorerst nur übrig, dies hinzunehmen und an eigenen Lösungen zu arbeiten, denn es werden wohl zunächst keine Gesetze oder Behörden sein, die hier für mehr Sicherheit für den Einzelnen sorgen können – und betreffen könnte der nächste Datenleak theoretisch jeden von uns, zu jeder Zeit.

Hinweise zur bestehenden Moderationspraxis
Kommentar schreiben