Das Kaleidoskop des de Maizière – IT-Sicherheit für einen starken Staat

von Dr. Dennis-Kenji Kipker, veröffentlicht am 08.02.2017

Vor knapp über einem Monat im Januar 2017 stellte Bundesinnenminister Thomas de Maizière in einem Gastbeitrag in der Frankfurter Allgemeinen Zeitung seine „Leitlinien für einen starken Staat in schwierigen Zeiten“ als neue umfassende Strategie vor, um Deutschland „krisenfest zu machen“. Die Sicherheitslage habe sich nach Auffassung des Ministers geändert: So würden nicht nur „alle spüren, dass die Krisen zunehmen“, sondern der jüngste terroristische Anschlag auf den Weihnachtsmarkt in Berlin im Dezember 2016 verdeutliche mehr denn je, dass erneut „Konsequenzen“ folgen müssten. Doch was genau eigentlich muss getan werden, um der „sicherheitspolitischen Krise“ im Lande gerecht zu werden? Der Innenminister schlägt in seinem Beitrag einen umfassenden Maßnahmenkatalog vor, welcher in seiner Vielfalt einem rechtspolitischen Kaleidoskop nahe kommt: Die Einführung eines neuen Abschiebehaftgrundes für gefährlich abgelehnte Asylbewerber, die Verbesserung des sicherheitsbehördlichen Datenaustauschs in der Europäischen Union, die Erweiterung von Zuständigkeiten der Bundespolizei, der Ausbau der intelligenten Videoüberwachung, die Vorratsdatenspeicherung, die Ausweitung der Telekommunikationsüberwachung, die Abschaffung der Landesämter für Verfassungsschutz, verbunden mit einer entsprechenden Zentralisierung in der Bundesverwaltung, der verstärkte Einsatz von DNA-Analyseverfahren, die Ausweitung der Überwachung von Internetkommunikations- und Telemediendiensten, die Einführung sicherheitsbehördlicher Cyberaufklärung durch die „Zentrale Stelle für Informationstechnik im Sicherheitsbereich“ (ZITiS), die Einrichtung von EU-weiten Ein- und Ausreiseregistern (EES), um längerfristige Reisebewegungen auch über Landesgrenzen hinweg erfassen zu können und die Möglichkeit nicht nur zur Cyberabwehr, sondern auch zum Cyberangriff, gesteuert über das nationale Cyber-Abwehrzentrum. Einiges davon ist sicher neu, das meiste davon aber altbekannt, mittlerweile in nahezu allen Facetten ausdiskutiert und dürfte den politischen Erwartungen an das Innenministerium entsprechend wenig überraschend sein. Ebenso wenig ist nicht außer Acht zu lassen, dass sicherheitspolitische Forderungen allein noch längst keine entsprechenden sicherheitsbehördlichen Ermächtigungsgrundlagen bedeuten.

Neu ist aber, dass de Maizière in seinen Vorschlägen zur Verbesserung der inneren Sicherheit erstmals auch das nationale IT-Sicherheitsgesetz ausdrücklich und in einem Zuge mit verübten Anschlägen, terroristischen Bedrohungen und einer Änderung des Asyl- und Aufenthaltsrechts benennt. Das IT-Sicherheitsgesetz (IT-SiG), seit Juli 2015 als zentraler Bestandteil der Cyber-Sicherheitsstrategie der Bundesregierung in Kraft, ändert als Artikelgesetz verschiedene Einzelvorschriften, um zu einer flächendeckenden Verbesserung der IT-Sicherheit in Deutschland insbesondere für so genannte Kritische Infrastrukturen, d.h. für das Gemeinwohl besonders wichtige Einrichtungen, beizutragen. Insoweit weist es zwar durchaus einen Bezug zur öffentlichen Sicherheit auf, verfolgt aber eine gänzlich andere Strategie als beispielsweise staatliche Ermittlungsmaßnahmen wie die Vorratsdatenspeicherung oder die Telekommunikationsüberwachung: Während es bei letzteren zuvorderst um das Auffinden möglicher Gefährder, Störer oder Straftäter geht, schreibt das IT-SiG in seinem Kern lediglich vor, dass von dem Gesetz betroffene Unternehmen zuvorderst organisatorische und technische Vorkehrungen (TOV) gemäß dem Stand der Technik zur Aufrechterhaltung ihrer Funktionsfähigkeit zu treffen haben. Die angeordneten Maßnahmen sind folglich sach- und nicht personenbezogen. Nicht zuletzt ist die gesetzliche Regulierung von IT-Sicherheit auch deshalb inhaltlich gänzlich anders gelagert, weil sie, soweit es um den Schutz von Bürgerrechten geht, auch dem Datenschutz und damit dem Recht auf informationelle Selbstbestimmung zu dienen bestimmt ist: Zwischen Datensicherheit und Datenschutz besteht eine Korrelation dergestalt, dass es für einen effektiven Schutz personenbezogener Daten zwingend technisch hinreichend sicherer Rechnersysteme bedarf.

Doch wo liegt dann der Konflikt zwischen Datensicherheit und Datenschutz – oder anders gefragt: Wo hört der Datenschutz auf, wenn es um IT-Sicherheit geht? Zunächst entzündete sich diese Debatte im Juli 2015 genau zum Zeitpunkt der Einführung des neuen IT-SiG mit der Schaffung des § 100 TKG, der Regelung zur so genannten „kleinen Vorratsdatenspeicherung“, welche es TK-Diensteanbietern ermöglicht, Bestands- und Verkehrsdaten von Nutzern zu Zwecken der IT-Sicherheit zu verarbeiten. Jüngst im Dezember 2016 legte das Bundesinnenministerium zudem einen Gesetzentwurf zur Anpassung der nationalen IT-Sicherheitsgesetzgebung an die neue Netz- und Informationssicherheitsrichtlinie (NIS-RL) der EU vor, der mit verschiedenen Befugniserweiterungen für das Bundesamt für Sicherheit in der Informationstechnik (BSI) einhergeht. So bestimmt § 5a Abs. 3 BSIG-E, dass die Behörde unter bestimmten Umständen befugt ist, auch personenbezogene oder dem Fernmeldegeheimnis unterliegende Daten zu erheben und zu verarbeiten, soweit dies für die IT-Sicherheit erforderlich und angemessen ist. Die Übermittlung von Daten mit IT-Security-Bezug an Strafverfolgungs- und Verfassungsschutzbehörden oder an den Bundesnachrichtendienst ist ohnehin bereits gem. § 5 Abs. 5 und 6 BSIG zulässig. Soweit ein Angriff auf kritische IT-Systeme vorliegt, soll im Regelfall zugleich ein Anfangsverdacht zur Begehung von Straftaten oder eine Gefahr für die öffentliche Sicherheit bestehen.

Hier zeigt sich, dass Datensicherheit und Datenschutz, wie sie einerseits in ihren Zielsetzungen so dicht beieinander liegen, sie andererseits ebenso diametral auseinanderlaufen können, wenn personenbezogene Daten nicht nur durch sichere IT-Systeme geschützt, sondern ebenso zum Schutz von IT-Systemen verarbeitet werden sollen. Zweifelsohne kann es unter Umständen notwendig sein, einzelne Metadaten von Nutzern auszuwerten, um beispielsweise einen erfolgten Angriff auf ein informationstechnisches System forensisch zu analysieren oder um IT-Sicherheitsrisiken zu ermitteln, die von genutzten Rechnersystemen ausgehen. Dies darf jedoch im Ergebnis nicht dazu führen, dass Gesetzesänderungen, die scheinbar nur auf die Förderung der Informationssicherheit in Deutschland abzielen, tatsächlich verdeckte Maßnahmen flächendeckender staatlicher Überwachung darstellen. Ob Innenminister Thomas de Maizière mit seinen „Leitlinien für einen starken Staat“ genau dies mittelfristig bezweckt, lässt sich zwar konkret nicht absehen. Die Erfahrung lehrt jedoch, besonders wachsam zu sein, wenn es um den Schutz der informationellen Bürgerrechte geht – gerade in den heutigen Zeiten, wie de Maizière es für diesen Fall durchaus treffend beschreibt.

Diesen Beitrag per E-Mail weiterempfehlenDruckversion

Hinweise zur bestehenden Moderationspraxis
Kommentar schreiben

5 Kommentare

Kommentare als Feed abonnieren

h wo liegt dann der Konflikt zwischen Datensicherheit und Datenschutz – oder anders gefragt: Wo hört der Datenschutz auf, wenn es um IT-Sicherheit geht? .

Sehr geehrte Leserin,

haben Sie vielen Dank für Ihre spannende Frage. In der Tat lässt sich ja dieses Spannungsverhältnis zwischen Freiheit und Sicherheit nicht nur auf das Konfliktfeld Datenschutz und Datensicherheit beziehen, sondern sich ganz allgemein die Frage stellen, wann die Freiheit aufhört und wo die Sicherheit beginnt. Ganz pauschal wird man das wohl kaum beantworten können - man kann aber immer sagen, dass das jeweils eine nie ohne das andere auskommen wird und das dementsprechend immer eine wohl abgestimmte Interessenabwägung notwendig ist, um einen Ausgleich herbei zu führen.

Mit den besten Grüßen!

Dennis Kipker

Kommentar hinzufügen