Die CSU hat auf ihrer Klausurtagung in Wildbad Kreuth ein netzpolitisches Arbeitspapier »SICHER UND SMART IN DIE ZUKUNFT« veröffentlicht. Dieses Papier haben die Piraten in Baden-Württemberg auseinandergenommen. Hier das Ergebnis und unsere Stellungnahme:
Die Digitalisierung unseres Alltags schreitet unaufhörlich voran. Digitale Innovationen und smarte Anwendungen bahnen sich kontinuierlich ihren Weg in unser Leben. Waren es zunächst die Desktop Computer, dann die Notebooks und Smartphones, sind es mittlerweile die Tablet-PCs und vielleicht schon bald digitale Brillen bzw. Kontaktlinsen.
Viele dieser Geräte vernetzen sich und kommunizieren über das Internet miteinander. Damit dies reibungslos und ungestört erfolgen kann, benötigen die Geräte nicht nur die entsprechende Infrastruktur, sondern auch die Nutzerinnen und Nutzer benötigen die Gewissheit, dass die eingegangen Verbindungen sicher und belastbar sind. Denn je komplexer die Systeme werden, desto verwundbarer werden sie. Daher stellt die CSU-Landesgruppe im Deutschen Bundestag folgende Forderungen auf:
Die Komplexität der Systeme und ihre damit einhergehende Anfälligkeit lassen sich nicht auf rechtlichem Wege begrenzen oder beseitigen. Entsprechende Gesetze sind sicherlich wichtig, aber allein die Illusion zu wecken, durch Recht Sicherheit schaffen zu können, ist problematisch, da dies zu einem unbedachten Umgang mit Technik einlädt.
Unabhängig von den Forderungen der CSU nach rechtlichen Regelungen müssen Entwicklungsstandards und offene Projekte vorangetrieben werden, die von den verschiedenen Betroffenen – auch und gerade von Nutzern mit dem notwendigen Knowhow – geprüft werden können.
Sicherheitsbestrebungen der Nutzer im Netz dürfen keinesfalls von staatlicher Seite unterwandert werden, indem beispielsweise durch einen »Staatstrojaner« neue Türen geöffnet oder Datenbanken über verwendete Schlüssel angelegt werden. Dies wäre nicht nur ein Einsatz unverhältnismäßiger Mittel zur Totalüberwachung, die auch rechtlich sehr fragwürdig sind und nicht mit Datenschutzbestimmungen und dem Grundgesetz in Einklang stehen können. Vielmehr würden auch neue Angriffsmöglichkeiten eröffnet, da ein neues, unbekanntes System implementiert wird, gegen das sich insbesondere der Nutzer nicht wehren kann, weil er ja – zumindest theoretisch – nichts davon weiß.
Zum Schutz kritischer Infrastrukturen IT-Sicherheitsgesetz schnell auf den Weg bringen
Die Betreiber von kritischen Infrastrukturen tragen nicht nur eine wirtschaftliche, sondern auch eine besondere Verantwortung für die Gesellschaft. Mit zunehmender Digitalisierung sind sie gehalten, ihre Netze sicher vor unberechtigten Zugriffen und Einflussnahmen zu halten. Die CSU-Landesgruppe im Deutschen Bundestag fordert daher die Einführung eines IT-Sicherheitsgesetzes, welches nicht nur branchenbezogene Mindeststandards sicherstellt, sondern auch die umgehende Meldung von Angriffen auf sicherheitsrelevante Infrastrukturen regelt. Hierbei ist der besonderen Rolle von Telekommunikationsanbietern als „Rückgrat der Informationsgesellschaft“ Rechnung zu tragen und die gemeinsame Zusammenarbeit im Nationalen Cyber-Abwehrzentrum weiter voranzutreiben. IT-Sicherheit „made in Germany“ wird hierdurch zum Markenzeichen und Standortvorteil für Deutschland.
Es ist innerhalb von Stunden – manchmal sogar nur von wenigen Augenblicken – möglich, Netzwerke und kritische Infrastrukturen anzugreifen und beträchtlichen Schaden anzurichten. Aus diesem Grund betrachten wir es als vollkommen vermessen, ein Cyber-Abwehrzentrum einzurichten und mit dem Slogan »IT-Sicherheit Made in Germany« zu bewerben, das zu kritischen Zeiten dann doch nicht besetzt ist. Betreiber sind bei Angriffen auf ihre Infrastruktur auf schnelle Informationen und die Möglichkeit der zeitnahen Reaktion angewiesen. Daher ist es sinnvoll, im weiteren Rahmen Informationsketten zu regeln.
Es ist bei künftigen gesetzlichen Regelungen vor allem darauf zu achten, bei der Absicherung der Netzwerke nicht die Handlungsfähigkeit der Netzwerkbetreiber selbst einzuschränken, wie dies seinerzeit beim so genannten »Hackerparagraphen« der Fall war.
Bekämpfung der Internetkriminalität verbessern
Der Fortschritt und die Errungenschaften des digitalen Zeitalters dürfen sich nicht nachteilig für die Menschen auswirken. Missbrauch und kriminelles Handeln im Internet müssen entschlossen bekämpft werden, um das Vertrauen der Nutzerinnen und Nutzer in die neuen Technologien und den damit einhergehenden wirtschaftlichen Fortschritt aufrecht zu erhalten.
Dieser Kampf wird nicht auf der rechtlichen Ebene gewonnen, sondern auf Entwicklerseite verloren. Nachteilige Auswirkungen sind immer möglich. Aktuelle Statistiken besagen jedoch, dass nur 3,7 Prozent aller registrierten Straftaten auf »Cyber-Crime« zurückzuführen sind. Zudem liegt die Aufklärungsquote in diesem Bereich auch ohne Vorratsdatenspeicherung mit 65 Prozent überdurchschnittlich hoch im Vergleich zur »Offline-Kriminalität«. Ein weltumspannendes Netz kann angesichts solcher Zahlen durchaus als relativ sicherer Ort betrachtet werden. Betroffene mögen das anders sehen, aber wir müssen uns vergegenwärtigen, dass die vonseiten der Sicherheitspolitik gestellten Forderungen angesichts solcher Zahlen als deutlich überzogen zu betrachten sind.
Aus Sicht der CSU-Landesgruppe im Deutschen Bundestag müssen unsere Strafverfolgungsbehörden daher sowohl über die notwendigen ermittlungstechnischen Maßnahmen zur Identifikation entsprechender Täterinnen und Täter als auch über die für eine Verfolgung erforderlichen sachlichen und personellen Ressourcen verfügen. Die Vorratsdatenspeicherung ist hierfür unabdingbar.
Angesichts der Zunahme neuer Begehungsformen setzen wir uns zudem für eine Überprüfung der entsprechenden Vorschriften des Strafgesetzbuchs ein. Hierbei müssen Strafbarkeitslücken wie beispielsweise bei der Datenhehlerei geschlossen und bisher fehlende Versuchsstrafbarkeiten ergänzt werden.
Die staatlichen Stellen sind, was die Abwehr von Angriffen im Internet und der Beseitigung der Rahmenbedingungen für solche Angriffe angeht, bisher vor allem durch Inkompetenz aufgefallen. Strafverfolger haben einerseits beklagt, nicht über kompetentes Personal zu verfügen, verlangten aber gleichzeitig uneingeschränkten Zugriff auf Endsysteme. Man entwickelte einen vollkommen ungeeigneten »Staatstrojaner« und entblödete sich nicht, ernsthaft über einen »Notausknopf« für das Internet nachzudenken.
Was auf der politischen Ebene bislang geleistet wurde, war zur Lösung der Probleme höchst ungeeignet. So wurde die Vorratsdatenspeicherung in ihrer ursprünglichen Fassung erwartungsgemäß als verfassungswidrig eingestuft, und ähnliche Konzepte dürften dem gleichen Schicksal anheimfallen. Überwachungsinstanzen ohne Richtervorbehalt und Maßnahmen, die nicht nur auf konkrete Einzelfälle anzuwenden sind, sind ohne Einschränkung abzulehnen.
Das Problem der Vorratsdatenspeicherung etwa besteht darin, dass sie nicht zu einem Täter, sondern zu einem Anschluss führt, über den Endgeräte von einem oder mehreren Nutzern verwendet werden können. Eine Täterzuordnung ist nicht möglich, die Aufzeichnung auf Generalverdacht hin daher abzulehnen. Die zeitweilige Einführung der Vorratsdatenspeicherung hat sich auch nicht signifikant auf die Aufklärungsquote ausgewirkt: Sie hat, wie Statistiken des Bundeskriminalamts belegen, in keinem Fall zur Aufklärung einer Straftat beigetragen.
Eine Strafbarkeit des Versuchs ins Spiel zu bringen, mag diskutierenswert sein, wobei auch hierbei zu berücksichtigen ist, dass ein »Täter« durchaus lautere Absichten verfolgen kann: Oftmals stellt die Ausführung einer Tat nämlich den einzigen Weg dar, ein Problembewusstsein zu schaffen. Zu nennen wäre in diesem Zusammenhang etwa das Konzept der »Full Disclosure«, mit dem immer wieder große Hersteller dazu gezwungen werden, fehlerhafte Systeme endlich zu korrigieren und damit für die Beseitigung seit langem bekannter Lücken zu sorgen. Dies wiederum ist erst nach einem erfolgreichen theoretischen oder praktischen Angriff möglich.
Cloud Computing einen rechtlichen Rahmen geben
Mit der Einführung des „Cloud Computing“ steht den Benutzern erstmals eine beinahe unbegrenzte Rechen- und Speicherleistung zur Verfügung. Sie können per Mausklick jederzeit lokal oder auch mobil auf ihre ausgelagerten Daten zugreifen. Es besteht damit ein enormes Einsparpotenzial an technischer Ausstattung, was für die Wirtschaft, die Bürgerinnen und Bürger aber auch für die öffentliche Verwaltung gleichermaßen interessant ist.
Mit der Auslagerung von personenbezogenen Daten auf fremde Server und in unterschiedliche Länder bzw. Kontinente gehen jedoch auch Risiken und rechtliche Fragen, beispielsweise der Datensicherheit und des Datenschutzes, einher. Auch Fragen der Rechtssicherheit und des staatlichen Zugriffs stellen sich.
Die CSU-Landesgruppe im Deutschen Bundestag begrüßt daher die im September 2012 veröffentlichte Strategie der Europäischen Union, „Cloud-Standards“ zu schaffen und die unterschiedlichen rechtlichen Rahmenbedingungen in den Mitgliedstaaten zu harmonisieren. Sie setzt sich dafür ein, sowohl in den Bereichen der Datensicherheit als auch des Datenschutzes das bisher in Deutschland geltende hohe Schutzniveau als Standard auch für Cloud-Anwendungen zu implementieren. Nur so kann die erforderliche Rechtssicherheit für eine breite Akzeptanz der Technologie geschaffen werden.
Die EU-Strategie zur Schaffung von Cloud-Standards ist grundsätzlich begrüßenswert. Allerdings ist sie in vielen Punkten bislang ohne Aussagekraft. So wird beispielsweise auf »später nachzureichende Standards« im Bereich Sicherheit verwiesen. Zudem ist erst im Prozess eine Evaluierung der notwendigen Schritte geplant, um den Cloud-Sektor entsprechend auszubauen.
Solange hier allerdings vonseiten der EU keine internationale Lösung angestrebt wird, kann ein solcher Ansatz nur als Übergangslösung zu betrachten sein. Die Cloud weicht wie das Internet selbst nationale Grenzen in erheblichem Maße auf. Nicht mehr die Sitze der Betreiber, sondern die Standorte ihrer Server sind relevant; die lokale Ausstattung verliert bezogen auf die technischen Systeme in der Cloud an Bedeutung. Zudem stehen nationale Richtlinien zur Verschlüsselung und ihrer Ausgestaltung durch die Standortfrage in einem ganz neuen Licht da.
Wir brauchen heute eine echte internationale Politik – ohne Selbstbeweihräucherung und ohne ein Streben nach dem eigenen Vorteil –, um weltweite Standards für Nutzer und Anbieter zu schaffen. Das Vorhandensein der Netze an sich als Chance zu begreifen, ist auch und gerade im nationalen Rahmen ein besonders wichtiges Anliegen.
Rechtssicherheit für Betreiber und Nutzer von offenen WLan-Netzwerken herstellen
Offene drahtlose lokale Netzwerke ermöglichen einen schnellen und unabhängigen Zugriff auf das Internet. Sie können sowohl privat als auch öffentlich, beispielsweise von Hotels- oder Restaurants als zusätzliche Leistung angeboten werden.
Nach der Rechtsprechung des Bundesgerichtshofs haftet der Betreiber eines Netzwerks für mögliche mit dem Zugang begangene Rechtsverletzungen. Er sollte daher insbesondere zu seiner eigenen Sicherheit gewährleisten, dass marktübliche Sicherungsmechanismen eingesetzt werden und beispielsweise ein Zugriff auf offensichtlich rechtswidrige Angebote gar nicht erst möglich ist. Unabhängig davon setzen sich die Nutzer offener drahtloser Netzwerke Gefahren eines unbefugten Zugriffs durch Dritte aus, wenn sie den angebotenen Zugang ohne besondere technische Schutzmaßnahmen benutzen.
Die CSU-Landesgruppe im Deutschen Bundestag setzt sich dafür ein, dass für die Benutzung und Bereitstellung von offenen drahtlosen Netzwerken gesetzliche Grundlagen geschaffen werden, die sowohl die Rechtsstellung und Haftung des Anbieters als auch den Schutz des privaten Nutzers regeln. Einseitige Haftungsfreistellungen kommen dabei jedoch nicht in Betracht. Vielmehr müssen die unterschiedlichen Rechtspositionen in ein angemessenes Verhältnis zu einander gesetzt werden, sodass die Grundlagen für einen Ausbau von entsprechenden Zugangspunkten in Deutschland geschaffen werden.
Die notwendige Abschaffung der Störerhaftung (sofern sie denn gemeint ist) ist in vollem Umfang zu unterstützen. Absurd erweist sich in diesem Zusammenhang einmal mehr die Forderung nach einer Vorratsdatenspeicherung, da Privatpersonen und Betreiber von kleinen Netzwerken hier als Dienst- bzw. Netzanbieter tätig werden. Die technischen Konzepte sind hierbei breit gestreut und reichen vom einfachen Öffnen des eigenen Netzes beispielsweise durch Zugänglichmachung eines WLAN-Passworts bis hin zur »Vermaschung« vieler kleiner privater Netze. In diesem Sinne ist eine Einschränkung oder rechtliche Regelung zum Scheitern verurteilt.
Es ist abwegig, Schutzmechanismen des Nutzers prüfen, durch Verträge darauf hinzuwirken und entsprechende Hardware bei den Betreibern einsetzen, solche Maßnahmen verpflichtend zu machen oder Sperrlisten und ähnliches etablieren zu wollen. Das wäre so, als würde man ein einheitliches, allumfassendes, stets auf dem aktuellen Stand der Technik stehendes und der Kontrolle eines unabhängigen Gremiums unterliegendes Konzept entwickeln, das konkret regelt, was illegal ist und was nicht. Klassisches Beispiel wäre ein Torrent – ein Konzept, das allzu oft mit dem Schlagwort »Downloads sind illegal« vom Tisch gewischt wird. Dabei werden über Torrent-Netzwerke durchaus legale Downloads angeboten; wie so oft ist es also nicht der Dienst als solcher, der illegal ist, sondern ein Teil der Inhalte. Und diese Inhalte entsprechend zu filtern, würde ohne unangemessen großen technischen und damit finanziellen Aufwand ein Ding der Unmöglichkeit darstellen.
Internetdienste sind einfach zu komplex, als dass man sie ähnlich wie physische Produkte mit einem eindeutigen »Herkunftsetikett« versehen könnte. Ein solches Haftungsrisiko kann keinem Nutzer zugemutet werden. Die Störerhaftung in ihrer bisherigen Form hat sich als kontraproduktiv für den Wirtschaftsstandort Deutschland erwiesen, da nun die vier Mobilfunknetze als einzige auf nationaler Ebene frei verfügbare Funknetzanbieter für alle Anforderungen der mobilen Gesellschaft herhalten müssen. Bereits jetzt hält der Netzausbau nicht mit der anwachsenden Datenmenge Schritt. Die einzigen, die aus den Regelungen zur Störerhaftung ein funktionierendes Geschäftsmodell entwickeln konnten, sind Rechtsanwälte.
Nebenbei: Die DE-CIX in Frankfurt – der größte Internetknoten der Welt – hat im September 2012 einen Datendurchsatz von 2 Terabyte/s überschritten. Derartige Datenmengen zu sichten, zu prüfen und zu kategorisieren dürfte ein Ding der Unmöglichkeit sein. Das gilt insbesondere für Privatpersonen, die ihre WLAN-Netze freigeben möchten, aber mangels professioneller Hardware wohl kaum in der Lage sein werden, für eine performante Untersuchung der Pakete zu sorgen.
Technikneutralen Datenschutz für das Internet der Dinge fördern
Die Vision, Objekte jeder Art in ein universales digitales Netz zu integrieren und miteinander kommunizieren zu lassen, nimmt zunehmend Gestalt an. Erste Anwendungen für „Smart Homes“ sind bereits erhältlich und erfreuen sich großer Beliebtheit. Projektstudien für eine weitere Vernetzung beispielsweise im Straßenverkehr oder aber im Gesundheitswesen existieren bereits. Ermöglicht wird dies durch die rasante Entwicklung in der Informations- und Kommunikationstechnologie und die Einführung des neuen IPv6-Protokolls, RFiD-Mikroprozessoren und der sog. Near Field Kommunikation.
Demnach ist die Anzahl möglicher Anwendungen und „smarter“ Gegenstände nahezu unbegrenzt. Hierdurch entstehen aber auch große Mengen an Daten, teilweise personenbezogen, teilweise ausschließlich objektbezogen. Die Anforderungen an den Schutz des Rechts auf informationelle Selbstbestimmung nehmen damit weiter zu.
Die CSU-Landesgruppe im Deutschen Bundestag setzt sich daher dafür ein, dass die Novellierung des Europäischen Datenschutzrechts diese aktuelle Entwicklung berücksichtigt und Antworten auf die sich aus dem Internet der Dinge ergebenden Fragestellungen enthält. Insbesondere fordert sie als Maßstab für einen modernen Datenschutz einen stärkeren risikobasierten Ansatz als bisher.
Diese Forderungen betrachten wir in ihrer Gesamtheit als unterstützenswert, sie sind uns jedoch nicht konkret genug. Kennzeichnungen – beispielsweise RFID-Chips – müssen vernichtet oder entfernt werden können, sobald das betreffende Produkt an den Endkunden ausgeliefert ist. Auch muss die Entwicklung neuer Produkte nach dem Grundsatz »Privacy by Design« erfolgen.
Medienkompetenz stärken
Die Digitalisierung kann nur dann zu einem Erfolg werden, wenn sie von einer breiten Mehrheit der Gesellschaft getragen wird. Die Bürgerinnen und Bürger müssen in die Lage versetzt werden, sich frühzeitig ein eigenes Bild über die Vor- und Nachteile einer Technik zu verschaffen, bevor sie diese das erste Mal anwenden. Nur dann ist ein eigenverantwortliches Handeln in einer digitalen Gesellschaft gewährleistet. Die CSU Landesgruppe im Deutschen Bundestag unterstützt daher eine frühe Förderung der Medienkompetenz bereits in der Schule.
Allerdings müssen Initiativen zur Förderung der Medienkompetenz auch für alle anderen Altersstufen angeboten werden. Hierbei sollten staatliche Angebote noch besser mit denen der Wirtschaft abgestimmt werden. Gerade für den Bereich der Gefahren durch schadhafte Programme bietet sich eine noch engere Kooperation zwischen dem Bundesamt für Sicherheit in der Informationstechnik und den Telekommunikationsanbietern in Deutschland an. Aber auch die Stiftung Datenschutz wird zu einer stärkeren Sensibilisierung der Nutzer einen wichtigen Beitrag leisten und damit den Schutz personenbezogener Daten insgesamt verbessern.
Hier schließt sich die CSU einer Kernforderung der Piratenpartei an. Kommt diese Einsicht auch spät, so ist sie doch ausdrücklich zu begrüßen und zu unterstützen. Wir nehmen mit Zufriedenheit zur Kenntnis, dass unsere Stimme bei der CSU in diesem Punkt offensichtlich wahrgenommen wurde. Piraten wirken.
Die Forderung nach engerer Zusammenarbeit zwischen dem BSI und der Wirtschaft bewerten wir allerdings kritisch, da wir eine zu enge Verzahnung mit dem Bundesministerium des Inneren sehen. Dort wurden Konzepte wie der Staatstrojaner entwickelt und vorangetrieben, die weder der IT-Sicherheit noch dem Datenschutz in irgendeiner Form dienlich gewesen sind.