Cyberangriffe bedrohen Energieversorger, Behörden und Krankenhäuser. Ein vom Kabinett gebilligter Gesetzentwurf soll Sicherheitsbehörden mehr Befugnisse geben. Sie sollen künftig aktiver gegen Angreifer vorgehen können.
Deutsche Sicherheitsbehörden sollen im Kampf gegen Cyberangriffe mehr dürfen. Das Bundeskabinett beschloss dazu ein Gesetz, das Bundespolizei, Bundeskriminalamt (BKA) und dem Bundesamt für Sicherheit in der Informationstechnik (BSI) mehr Befugnisse einräumt, um Unternehmen oder Behörden vor digitalen Angriffen zu schützen.
BKA und Bundespolizei dürften demnach in fremde IT-Systeme eindringen, dort Daten kopieren, verändern oder löschen, um Cyberangriffe zu stoppen und weitere Attacken zu verhindern. Damit soll es möglich werden, Angriffe nicht nur abzuwehren, sondern auch aktiv gegen sie vorzugehen.
Bundesinnenminister Alexander Dobrindt betonte: “Wir werden proaktiv dagegen vorgehen, was bedeutet, wir schlagen zurück, wir schalten die Bedrohung aus, wenn wir angegriffen werden, wir werden Angreifer stören und deren Infrastruktur zerstören können.”
Mehr Befugnisse: Daten löschen, ändern, kopieren
Die zusätzlichen Befugnisse für die Bundespolizei sollen dem Entwurf zufolge allein der Abwehr von Gefahren dienen, nicht jedoch der Strafverfolgung. Bislang dürfen Polizeibehörden fast ausschließlich vorbeugend gegen Hackerangriffe aktiv werden. Dem BKA war ein aktives Eingreifen nur erlaubt, wenn es um die Abwehr von internationalem Terrorismus ging.
Durch die Gesetzesänderung soll das BSI das Recht erhalten, auf Ersuchen einer Institution in deren Systemen nach vorbereitenden Maßnahmen von Angreifern zu suchen und diese zu identifizieren. Da wechselnde Internet-Domänen bei der Verbreitung von Schadsoftware eine tragende Rolle einnehmen, soll dem BSI ermöglicht werden, gegen solche Domänen vorzugehen.
Keine Vergeltungsschläge
Die Behörden sollten “das, was sie heute technisch können, auch rechtlich sicher anwenden können”, sagte Dobrindt. Um die neuen Aufgaben zu erfüllen, werden laut Entwurf insgesamt 37 zusätzliche Beschäftigte benötigt.
Bei den Gegenmaßnahmen geht es nach den Worten von Dobrindt ausdrücklich nicht um sogenannte Hackbacks, also Gegenangriffe als Vergeltungsschlag. “Das legitimieren wir nicht”, betonte Dobrindt. “Bei einem Hackback würde man sich gegen irgendetwas richten, was gar nicht mit der Angreiferstruktur zu tun hat.” Statt um Racheakte gehe es um Gefahrenabwehr.
Zu weitreichende Befugnisse?
Der Verband der Internetwirtschaft, Bitkom, begrüßte den Entwurf. An einigen Stellen würde er jedoch zu weit gehen. “Weil sich Cyberangriffe technisch häufig nicht zweifelsfrei zuordnen lassen und Täter falsche Spuren legen, drohen unbeteiligte Dritte getroffen zu werden”, kritisierte der Verband.
Nachbesserungsbedarf sieht auch der Bundesverband der Deutschen Industrie (BDI). Er kritisiert, der Entwurf setze bislang zu stark auf staatliche Durchgriffe und zu wenig auf die Zusammenarbeit mit der Wirtschaft.
