Spätestens seit dem Beginn der russischen Invasion in der Ukraine wächst auch in Deutschland die Sorge vor Cyberattacken. Expert:innen weisen bereits seit Langem auf die stellenweise schwierige Lage der IT-Sicherheit hin. Bundesinnenministerin Nancy Faeser (SPD) hat am Dienstag einen Maßnahmenkatalog vorgestellt, der dem Rechnung tragen soll.

In der sogenannten „Cybersicherheitsagenda des Bundesministeriums des Inneren und für Heimat“ sind auf 16 Seiten mehrere Maßnahmen zusammengefasst, mit denen Deutschland gegen Cyberattacken geschützt werden soll. Darin geht es vor allem darum, kritische Infrastrukturen zu schützen. Um das zu ermöglichen, soll der Bund deutlich mehr Befugnisse bekommen. Das wiederum sorgt bei Sicherheitsexpert:innen für teilweise harsche Reaktionen.

„Die Cybersicherheitsagenda der Bundesinnenministerin ist das Papier nicht wert, auf dem sie geschrieben ist“, sagt IT-Sicherheitsexperte Manuel Atug gegenüber t3n. Die Agenda enthalte deutliche Hinweise auf das Brechen von Verschlüsselungen, die Quellen-TKÜ (Staatstrojaner), Chatkontrolle, Predictive Policing, automatisierte Gesichtserkennung, die Nutzung von Schwachstellen und Hackbacks, so der Sprecher der unabhängigen AG Kritis weiter. „Das BMI verharrt leider immer noch in längst überkommenen Überwachungsfantasien und Logiken der Ewiggestrigen“, so Atug.

Auch „aktive Cyberabwehr“ ist Teil der Agenda. Dafür will die Innenministerin sogar das Grundgesetz ändern. Sicherheitsbehörden sollen künftig in fremde Computersysteme eindringen dürfen. Im Koalitionsvertrag hatten die Ampelparteien dieses Vorgehen noch ausgeschlossen. Vor sogenannten Hackbacks warnt Experte Manuel Atug gebetsmühlenartig.

Im t3n-Podcast bezeichnete er diese Art der Cyberabwehr bereits im April als hanebüchenen Unsinn. Bei einem Hackback sollen Sicherheitsbehörden selbst einen Angriff auf digitale Infrastrukturen der Angreifenden durchführen, um diese unschädlich zu machen. Atug weist darauf hin, dass nicht immer eindeutig sei, von welchem Computer ein Angriff ausgehe und wer tatsächlich dahinterstecke. Kriminelle Hacker:innen nutzten oft fremde Server für ihre Attacken. Ein Hackback könnte demnach fatale Folgen für Unbeteiligte haben.

Wer in fremde Systeme eindringen will, muss zudem entsprechende Einfallstore kennen. Das heißt: Für Hackbacks müssen Behörden Sicherheitslücken in Software finden – und sie bewusst offen lassen. Auch der sogenannte Staatstrojaner, also die Spionagesoftware von Polizei und Geheimdiensten, ist auf diese Sicherheitslücken angewiesen.

Hierauf reagiert auch der Digitalverband Bitkom mit Kritik. „Wir kritisieren jedoch, dass man für ein vermeintliches Mehr an Sicherheit von den Vorgaben des Koalitionsvertrags abweichen und künftig stärker in die Privatsphäre der Bürgerinnen und Bürger eingreifen will“, heißt es in einer Pressemitteilung des Digitalverbandes. Eine Auflösung der Ende-zu-Ende-Verschlüsselung bei digitaler Kommunikation dürfe es nicht geben. „Dies würde zu tief und in unverhältnismäßiger Weise in das Grundrecht auf geschützte Kommunikation eingreifen.“