Deutschland rüstet sich für den Cyberkrieg: Neue Befugnisse für Sicherheitsbehörden
Die Bundesregierung plant eine deutliche Ausweitung der Befugnisse deutscher Sicherheitsbehörden im Kampf gegen Cyberangriffe. Ein Gesetzentwurf des Bundesinnenministeriums, der dem SPIEGEL vorliegt, sieht vor, dass Bundespolizei, Bundeskriminalamt (BKA) und das Bundesamt für Sicherheit in der Informationstechnik (BSI) Angriffe künftig nicht nur erkennen, sondern auch aktiv bekämpfen können.
Von der Erkennung zur aktiven Abwehr
Bisher waren die Möglichkeiten deutscher Behörden zur Cyberabwehr begrenzt. Das BKA durfte beispielsweise nur bei Terrorverdacht eingreifen und war in anderen Fällen auf Strafverfolgung beschränkt. BKA-Präsident Holger Münch hatte diese Einschränkungen bereits als "nicht mehr zeitgemäß" kritisiert.
Der neue Gesetzentwurf ändert dies grundlegend. Das Bundespolizeigesetz soll um einen Paragrafen ergänzt werden, der "besondere Abwehrmaßnahmen" erlaubt. Konkret bedeutet dies:
- Datenverkehr umleiten oder blockieren
- IT-Systeme stilllegen
- In schweren Fällen Daten löschen oder verändern
- Betrieb von IT-Systemen untersagen
Richterliche Kontrolle und Ausnahmen
Für solche Eingriffe ist grundsätzlich eine richterliche Anordnung erforderlich. Allerdings sieht der Entwurf eine Ausnahme vor: Bei akuter Gefahr kann die Genehmigung bis zu drei Tage nach der Maßnahme eingeholt werden. Betroffene müssen von den Eingriffen nicht informiert werden, wenn die öffentliche Sicherheit, sensible Einrichtungen, wichtige IT-Systeme oder Leib und Leben von Menschen gefährdet sind.
Erweiterte Befugnisse für alle Sicherheitsbehörden
Nicht nur die Bundespolizei erhält neue Kompetenzen. Das BKA soll vergleichbare Befugnisse erhalten und zusätzlich die Zusammenarbeit mit ausländischen Sicherheitsbehörden koordinieren. Außerdem bekommt das BKA eine Zuständigkeit für die Gefahrenabwehr bei Cyberangriffen mit außen- oder sicherheitspolitischer Bedeutung.
Das BSI erhält deutlich erweiterte Befugnisse zum Sammeln, Speichern und Analysieren von Daten. Dazu gehört auch die Suche nach Aktivitäten, die der Vorbereitung von Angriffen dienen könnten.
Pflichten für Unternehmen und hohe Bußgelder
Telekommunikationsunternehmen und Digitalkonzerne sollen verpflichtet werden, auf Anordnung sicherheitsrelevante technische Informationen zu liefern und Anordnungen der Sicherheitsbehörden zu befolgen. Bei Zuwiderhandlungen drohen Bußgelder bis zu 20 Millionen Euro.
Geopolitische Bedrohungslage
Die Sicherheitsbehörden warnen seit dem Überfall auf die Ukraine 2022 vor zunehmenden Hackerattacken aus Russland. Im aktuellen Bericht des BSI zur Lage der IT-Sicherheit in Deutschland heißt es: "Durch die geopolitischen Entwicklungen hat sich die Bedrohungslage weiter verschärft. Insbesondere russische Akteure greifen die IT-Strukturen deutscher Unternehmen, Kommunen und Privatleute an."
Politische Unterstützung und Zeitplan
Bundesinnenminister Alexander Dobrindt (CSU) hatte bereits Anfang dieses Jahres angekündigt, der zunehmenden Cybergefahr künftig offensiver begegnen zu wollen. "Wir werden zurückschlagen, auch im Ausland. Wir werden Angreifer stören und ihre Infrastruktur zerstören", sagte der CSU-Politiker der "Süddeutschen Zeitung".
Eckpunkte für den Gesetzentwurf hatte das Bundeskabinett bereits im vergangenen Sommer beschlossen. Die neuen Regelungen sollen es dem BSI ermöglichen, "sich resilient im Cyberraum aufzustellen", während BKA und Bundespolizei "eine zukunftsfähige Cyberabwehr" aufbauen können.
