Berlin (dpa) - Die Bundesregierung will jenseits von präventiven Maßnahmen künftig auch eine «aktive Cyberabwehr» erlauben. Das Bundesamt für Sicherheit in der Informationstechnik (BSI), die Bundespolizei und das Bundeskriminalamt (BKA) sollen zusätzliche Werkzeuge in die Hand bekommen, um Cyberangriffe abzuwehren. Dabei geht es unter anderem um die Untersagung des Betriebs informationstechnischer Systeme, von denen eine Gefahr ausgeht, sowie um das Umleiten von Datenverkehr und das Auslesen, Löschen oder Verändern von Daten.
Der Gesetzentwurf, den das Kabinett dazu jetzt beschlossen hat, will dem BSI ermöglichen, die Widerstandsfähigkeit der Informationstechnik der Bundesverwaltung zu erhöhen und die Erkenntnislage zu drohenden Angriffen zu verbessern. Zur Begründung heißt es, Deutschland stehe als führende Wirtschaftsnation in Europa verstärkt im Fokus von Cyberangriffen, die teils große Wirkung entfalten könnten. Auch hybride Bedrohungen gewännen an Bedeutung. In dieser Situation müsse die Erkennung und Abwehr solcher Angriffe zwingend ausgebaut werden.
Bundesinnenminister Alexander Dobrindt (CSU) spricht von einer aktiven Cyberabwehr. Er sagt: «Wir werden proaktiv dagegen vorgehen, was bedeutet, wir schlagen zurück, wir schalten die Bedrohung aus, wenn wir angegriffen werden, wir werden Angreifer stören und deren Infrastruktur zerstören können.» Fremde Mächte, staatliche Akteure oder damit verbundene Akteure seien zunehmend auch Urheber von Cyberangriffen gegen Deutschland. Im Fokus stünden dabei Wirtschaft, Industrie, staatliche Stellen und auch die Politik. Es gehe um Spionage, Sabotage, Erpressung und um «Machtdemonstration im digitalen Raum».
Großes Schadenspotenzial
Die Bundesregierung führt in ihrem Entwurf weiter aus: «Insbesondere gegen groß angelegte Cyberangriffe mit großem Schadenspotential bieten präventive Maßnahmen in den eigenen IT-Systemen alleine allerdings keinen hinreichenden Schutz.» Die Polizeibehörden des Bundes und das BSI müssten daher ergänzend Möglichkeiten zur Unterbindung solcher Angriffe erhalten. Ziel sei es dabei, gravierende Folgeschäden abzuwenden oder zu minieren. Um die Aufgaben zu erfüllen, die sich durch die geplanten Änderungen ergeben, werden laut Entwurf insgesamt 37 zusätzliche Beschäftigte benötigt.
Bedrohungen aufspüren und eindämmen
Durch die Gesetzesänderung soll das BSI das Recht erhalten, auf Ersuchen einer Institution in deren informationstechnischen Systemen nach vorbereitenden Maßnahmen von Angreifern zu suchen und diese zu identifizieren. Da wechselnde maliziöse Internet-Domänen bei der Verbreitung von Schadsoftware eine tragende Rolle einnehmen, soll dem BSI ermöglicht werden, gegen solche Domänen vorzugehen.
Aufgabe Gefahrenabwehr
Die zusätzlichen Befugnisse für die Bundespolizei dienten alleine der Gefahrenabwehr, nicht der Strafverfolgung, heißt es. Besondere Abwehrmaßnahmen durch die Bundespolizei sollen nur in bestimmten Fällen erlaubt sein, etwa wenn sich die Gefahr gegen «Behörden oder Einrichtungen, deren Funktionieren für das Gemeinwesen oder die Verteidigung von wesentlicher Bedeutung sind», richtet.
Kritik von Bitkom und BDI
Der Verband der Internetwirtschaft, Bitkom, begrüßt zwar, dass sich die Bundesregierung jetzt stärker um Cyberabwehr kümmern will und sieht in dem Entwurf auch einige gute Ansätze. An entscheidenden Stellen schieße der Entwurf jedoch über das Ziel hinaus, heißt es in einer Mitteilung. Besonders kritisch seien die neuen Eingriffsbefugnisse für Bundespolizei und BKA, die Maßnahmen ermöglichten, bei denen eine Cyberbedrohung mit einem Gegenangriff auf das System des Angreifers beantwortet wird. «Weil sich Cyberangriffe technisch häufig nicht zweifelsfrei zuordnen lassen und Täter falsche Spuren legen, drohen unbeteiligte Dritte getroffen zu werden.»
Nachbesserungsbedarf sieht auch der Bundesverband der Deutschen Industrie (BDI). Er kritisiert: «Der Entwurf setzt bislang zu stark auf staatliche Durchgriffe und zu wenig auf die Zusammenarbeit mit der Wirtschaft.» Die Mitwirkungspflichten für Unternehmen müssten präziser und verhältnismäßiger gefasst werden.
© dpa-infocom, dpa:260527-930-134852/3
