Deutscher Bundestag – 18. Wahlperiode
– 1703 –
Drucksache 18/12850
teressen der Sicherheitsbehörden andererseits. Auch eine Kompetenzzuweisung an das Bundesverteidigungsministerium wäre falsch, da es inhaltlich ganz überwiegend um den Schutz zivilgesellschaftlicher Kommunikationsinfrastrukturen geht.
–
das Bundesamt für Sicherheit in der Informationstechnik (BSI) aus den gleichen Gründen in den wesentlichen Aufgabenfeldern der Beratung von Wirtschaft und Zivilgesellschaft unabhängig gestellt
wird, damit es zu einer vertrauenswürdigen und gut ausgestatteten Aufsichts- und Beratungsstelle außerhalb des Weisungsstrangs des Bundesinnenministeriums werden kann. Denn dem BSI kommt eine
tragende Rolle bei der Gewährleistung der IT-Sicherheit zu.
–
die Datenschutzbehörden in Fragen der IT-Sicherheit von Beginn an beteiligt und dafür mit ausreichenden Mitteln ausgestattet werden
–
die hochkomplexen Fragen der Täterschaft (Attribution) bei gravierenden IT-Angriffen durch unabhängige Stellen festgestellt werden.
–
in Fragen von staatlichem Hacking (Cyberwar) zwischen Staaten der volle Respekt völkerrechtlicher
Bindung und insbesondere die Wahrung der Rechte des Deutschen Bundestages gewährleistet wird
und dieser über alle operativen Vorgänge nicht nur voll informiert wird, sondern über sie auch selbst
entscheidet. Offensive Operationen in andere Systeme lehnen wir jedoch klar ab.Jeglicher Einsatz von
digitalen Einsatzkapazitäten der Bundeswehr muss der parlamentarischen Kontrolle des Deutschen
Bundestages unterliegen.
–
das IT-Sicherheitsgesetz von einem Papiertiger zu einem effektiven Regelungsinstrument weiterentwickelt wird. Dazu bedarf es, neben weiteren Regelungspunkten, der verbindlichen Vorgabe von effektiven Sicherheitstests durch die Unternehmen (sog. Penetrationstests) sowie der Prüfung der Ausweitung des KRITIS-Bestandes.
e)
Open Source
Es bedarf einer langfristigen Strategie zur Prüfung und Sicherstellung von Bausteinen einer sicheren Hardund Softwareinfrastruktur auf der Grundlage etwa von Open-Source-Elementen (offene und überprüfbare
Quelltexte, beispielsweise durch die Finanzierung von regelmäßigen und unabhängigen Überprüfungen von
sicherheitsrelevanter Software („bug bountys“). Zudem muss das Vergaberecht der öffentlichen Hand angepasst werden, so dass grundsätzlich nur auditierte, zertifizierte sowie open-source-gemäße Produkte berücksichtigt werden.
10.
Internationale / EU-Ebene
Auch auf europäischer Ebene ist es notwendig, dass die Europäische Union den Mitgliedstaaten Mindeststandards für die Arbeit und Kontrolle von deren Nachrichtendiensten empfiehlt. Dies kann dazu dienen, deren
Tätigkeit neben der Polizeiarbeit besser zu koordinieren, sowie wirksam und rechtsstaatlich zu gestalten. Die
Praxis solcher Nachrichtendienste, andere EU-Mitgliedstaaten heimlich auszuforschen, wollen wir beenden.