Drucksache 18/12850
– 1702 –
Deutscher Bundestag – 18. Wahlperiode
Verpflichtung etwa der Internetzugangsprovider zur sicheren und verbraucherfreundlichen starken Verschlüsselung der Kommunikation ihrer Kund_innen.
b)
Sicherheitslücken schließen
Auch das staatliche Sammeln, Zurückhalten vor der Öffentlichkeit und gezielte Nutzen von so genannten
„Zero-Day“-Sicherheitslücken ist rechtsstaatlich nicht vertretbar. Im Gegenteil führt dies zu insgesamt weniger IT-Sicherheit, da bekannte, aber nicht geschlossene Sicherheitslücken immer auch Dritten gegenüber
offen stehen und der Schwarzmarkt für solche Angebote nicht auch noch indirekt gefördert werden darf. Der
Staat ist hier in einer Schutzpflicht. Daher fordern wir weiterhin ein Verbot des staatlichen Offenhaltens und
Aufkaufs von Sicherheitslücken. Stattdessen brauchen wir eine Verpflichtung für staatliche Stellen, Lücken
nach Bekanntwerden umgehend zu melden und/oder ggf. selbst zu schließen. Zudem reicht bei betroffenen
Unternehmen eine passive Meldepflicht von Sicherheitslücken nicht aus. Vielmehr müssen positive und wettbewerbsrelevante Anreize wie Auditierungen für die Wirtschaft mindestens flankierend eingeführt werden.
Dementsprechend lehnen wir auch sicherheitsbehördliche Befugnisse zur Durchführung sog. Online-Durchsuchungen ab, weil diese nicht zu rechtfertigende Eingriffe in das Grundrecht auf Integrität und Vertraulichkeit informationstechnischer Systeme sowie in den Kernbereichsschutz der Privatsphäre aus Artikel 2 Abs.
1 in Verbindung mit Art. 1 Abs. 1 GG darstellen.
c)
IT-Sicherheitsgesetz
Um das Vertrauen der Bürgerinnen und Bürger wiederherzustellen bedarf es eines umfassenden IT-Sicherheitsgesetzes, in welchem sich die staatliche Schutzpflicht des Grundrechts der Menschen auf Vertraulichkeit
und Integrität ihrer informationstechnischen Systeme manifestiert. Grundlegende Strukturfragen der IT-Sicherheit müssen klarer geregelt, sanktioniert, aber auch mit Anreizsystemen für bessere Sicherheitslösungen
beantwortet werden. Dies gilt von der Transparenz und Zertifizierung der IT-Software, über Haftungsregeln
bis hin zu stärkeren Update- und Supportpflichten, Privacy by Design, Security by Design, über den gesamten
Fertigungs- und Lebenszyklus von IT-Produkten und Anwendungen hinweg. Hierbei müssen die Hersteller
von Hard- und Software (und eben nicht nur die Betreiber) berücksichtigt und Anreize zur Qualitätssicherung
durch Haftungsverpflichtungen geschaffen werden.
d)
Cybersicherheit
Im Rahmen des Themas Cybersicherheit ist es notwendig, dass
–
die Cybersicherheit aus dem Kompetenzbereich des Bundesinnenministeriums herausgelöst wird.
Denn dieses hält nach wie vor an anlasslosen Massenspeicherungen wie auch am staatlichen Ankauf
und Einsatz von Sicherheitslücken und sogenannten „Zero-Day-Exploits“ fest, die gefährliche Lücken
in Infrastrukturen reproduzieren und mitfinanzieren. Das zeigt die strukturell angelegten Zielkonflikte
zwischen der gebotenen IT-Infrastruktursicherheit der Bürger_innen einerseits und den Eingriffsin-