Dieses IT-Desaster hinterlässt die Große Koalition

Probleme beim Telekommunikationsgesetz, IT-SiG 2.0, Quellen-TKÜ und anderen Vorhaben. Große netzpolitische Erblast. Experte nennt Gesetzesvorhaben "Katastrophe".

Mitten in der Arbeit an einer ganzen Reihe von teils lange geplanten und von der EU eingeforderten IT-Gesetzen sieht sich die Bundesregierung zunehmender Kritik von Experten und Oppositionspolitikern ausgesetzt. Unter Zeitdruck liefere sie mangelhafte Qualität und Bürokratiemonster, missachte wissenschaftliche Grundlagen, untergrabe die Sicherheit und die Souveränität der Bürger sowie der Industrie und zerstöre Vertrauen in den Staat. Telepolis hat mit Politikern und Experten über einige der Vorhaben gesprochen.

Zunächst kamen die Novelle des Telekommunikationsgesetzes (TKG) und das IT-Sicherheitsgesetz 2.0 (IT-SiG 2.0), vom Bundestag am 22. und 23. April verabschiedet, in vielen Medien gut weg. "Schnelles Internet für alle" und "endlich Sicherheit vor Hackern", das seien doch gute Sachen, dafür lohnten sich auch Investitionen.

Doch Opposition und Experten beklagen unisono Entstehungsweise und Inhalt der Gesetze, die auf den letzten Metern und unter großem sowie selbst verschuldeten Zeitdruck – die Umsetzung von EU-Verordnungen wurde lange verschleppt – noch gravierende Änderungen verpasst bekamen.

Sachverständige, die als Experten in Ausschüsse geladen wurden, bemängelten beispielsweise bei der TKG-Novelle, dass ihre Expertise nicht gehört und offenbar gar nicht gewünscht war. Von "Missachtung des Parlaments" bis zur verfassungsrechtlichen "Katastrophe" angesichts der tiefen Grundrechtseingriffe und Überwachungsmaßnahmen, die das neue TK-Gesetz vorsieht, ist die Rede. Auch der IT-Mittelstand sieht eine "Chance verpasst", der Text sei voll von ungeeigneten Maßnahmen.

Das zentrale Vorhaben des IT-Sicherheitsgesetzes, das Bundesamt für Sicherheit in der Informationstechnik zur Hackerbehörde auszubauen, nennen Kritiker "pure Augenwischerei", die Deutschland nur noch unsicherer mache.

Manuel Atug, Sprecher der Arbeitsgemeinschaft Kritische Infrastrukturen (AG Kritis) und Sachverständiger im Bundestag für das IT-SiG 2.0, erklärt gegenüber Telepolis:

Das IT-SiG 2.0 zeigt weiterhin die eklatante Strategie- und Ziellosigkeit des Gesetzgebers im Cyberraum. Erfolglos wird der Spagat versucht: Einerseits will man offensiv befugniserweiternde Maßnahmen für Sicherheitsbehörden und Nachrichtendienste zur Gefahrenabwehr einbringen, andererseits aber auch die Cyberresilienz für Kritische Infrastrukturen erhöhen, also die robuste und widerstandsfähige Versorgung der Zivilbevölkerung durch KRITIS-Betreiber erhalten.

Manuel Atug, Sprecher AG KRITIS

Aber wer Hintertüren aufmacht oder anordnet, so wie es das IT-SiG vorsieht, zerstört gleichzeitig jegliche Sicherheit. Wer seine Haustüre offen lässt, damit die Polizei im Notfall schneller helfen kann, gestattet auch Kriminellen den Zugang - eine Binsenweisheit. Wer Briefe verbietet und Postkarten zum Standard erklärt, untergräbt das Vertrauen der Bürger und leistet Fake-News und dubiosen Gestalten Schützenhilfe.

Genau das, meint Atug, nimmt der Gesetzgeber wohl bewusst und billigend in Kauf, anders könne man sich nicht erklären, "warum die gesetzlich vorgeschriebene Evaluierung der Wirksamkeit der seit sechs Jahren bestehenden Gesetzeslage nicht vorgenommen wurde". Das sei "fast schon wissenschaftsfeindlich und schlicht verantwortungslos", so Atug weiter.

IT-SiG 2.0 ohne "klare Zielrichtung

Das IT-SiG 2.0 mutiere daher zu einer kruden "Sammlung nicht aufeinander abgestimmter und nicht zielführender Maßnahmen mit redundanten Mehrfachregulierungen, die teils gar keinen Sinn ergeben und eine klare Zielrichtung vermissen lassen".

Sicherheitsbehörden und Nachrichtendienste müssen keinen Beitrag zur allgemeinen Sicherheit leisten, sie sind immer noch nicht verpflichtet, Sicherheitsschwachstellen zu melden. Auch die "Lex Huawei" sei nur eine wirkungslose "Vertrauenswürdigkeitserklärung" und würde keinen Geheimdienst aufhalten. Atug befürchtet ein Bürokratiemonster, das "Betreiber kritischer Infrastrukturen lange beschäftigen und auch lahmlegen wird, aber keine Sicherheitsmehrwerte schafft".

In die gleiche Kerbe schlägt die Opposition: "Das IT-SiG 2.0 steht heute schon exemplarisch für das Scheitern der Bundesregierung im Bereich der IT-Sicherheit. Die Kritik am Gesetz reicht von BITKOM bis zum CCC", sagt Tabea Rößner, Sprecherin für Netzpolitik und Verbraucherschutz der Grünen im Bundestag. Ohne verpflichtende Sicherheitszertifikate oder Ende-zu-Ende-Verschlüsselung könnten die Auswirkungen verheerend sein:

Die Bundesregierung hält am staatlichen Handel mit Sicherheitslücken und weitreichenden, rechtlich vielfach unregulierten Überwachungsmaßnahmen fest und wird so selbst zur Gefahr für die IT-Sicherheit. Hackerangriffe, Datenskandale, geheimdienstliche Manipulationsversuche, die Beeinflussung demokratischer Wahlen: Ein Umdenken in der IT-Sicherheit und klare rechtliche Vorgaben für die Sicherung der digitalen Souveränität und unabhängige Aufsichtsstrukturen sind überfällig.

Tabea Rößner, Sprecherin für Netzpolitik und Verbraucherschutz der Grünen im Bundestag

Auch die FDP findet deutliche Worte: Ihr digitalpolitischer Sprecher Manuel Höferlin erklärt das IT-Sicherheitsgesetz 2 zu einem "Flickenteppich", eine Strategie könne man nicht erkennen. Erschwerend komme hinzu, dass Innenminister Horst Seehofer (CSU) Debatten über sinnbefreite und nutzlose Maßnahmen wie Entschlüsselung, Staatstrojaner und Hackbacks befeuere. "Hätte die GroKo nicht zwei Jahre damit zugebracht, sich von einem chinesischen Staatskonzern am Nasenring durch die Manege führen zu lassen, dann wären wir jetzt ein gutes Stück weiter", so Höferlin.

TKG-Novelle "innovationsfeindlich, unausgereift und eine Katastrophe"

Die ebenfalls Ende April beschlossene Novelle des Telekommunikationsgesetzes schneidet nicht viel besser ab. Als Sachverständiger im Wirtschaftsausschuss des Bundestages hatte auch mailbox.org-CEO Peer Heinlein immer wieder deutlich gegen Horst Seehofers Pläne Stellung bezogen.

Der E-Mail-Provider hat seinen Schwerpunkt auf sicher verschlüsselter Kommunikation und ist einer der Träger einer Verfassungsbeschwerde gegen die Vorratsdatenspeicherung. Heinlein nennt das Gesetz "innovationsfeindlich, unausgereift und eine Katastrophe". Es fänden schlicht zu starke Eingriffe in die Grundrechte der Bürger statt. Zudem untergrabe das novellierte TKG die wirtschaftliche und digitale Souveränität deutscher Unternehmen, weil es nur deutsche Provider verpflichte, an der Überwachung mitzuwirken, zudem noch auf eigene Kosten.

Es bringe "pauschale Angriffe auf Sicherheit und Verschlüsselung der künftigen Mobilfunknetze und neue Regeln zur Bestandsdatenauskunft, Passwortherausgabe sowie immer noch eine anlasslose Vorratsdatenspeicherung".

Die Mängelliste ist lang, sagt auch die Opposition. Tabea Rößner kritisiert überbordende Bürokratie ebenso wie den Mangel an Strategie und Weitsicht. Dies zeige sich auch darin, dass in der geplanten Bestandsdatenauskunft eine absichtliche Leerstelle für ein künftiges "Reparaturgesetz" enthalten ist, das später Anforderungen des Bundesverfassungsgerichts gerecht werden soll.

Solche Rechtsunsicherheiten sind nichts Neues: Der grüne Innen- und Netzpolitikexperte Konstantin von Notz meint:

Die Umsetzung des EU-Kodexes Telekommunikation in deutsches Recht und eine Angleichung der Regelungen an die DSGVO sind seit Jahren überfällig, das war eine massive Rechtsunsicherheit. Der Datenschutzbeauftragte hat mehrfach darauf hingewiesen und wiederholt eine zügige Umsetzung angemahnt. Passiert ist nichts. Der Zeitdruck, jetzt in der Endphase der Legislaturperiode, ist selbstverschuldet. Ein ordentliches Gesetzesverfahren war und ist das nicht.

Konstantin von Notz, Bündnis90/Die Grünen

Das erklärt vielleicht die Eile, die auch Anke Domscheit-Berg (Die Linke) kritisiert: "Erst einen Tag vor der letzten Behandlung schickte die Bundesregierung ihre Änderungen zum Gesetz - 450 Seiten - und peitschte sie durch. Dieser Prozess ist eine Missachtung des Parlaments." (…)

Laut Domscheit-Berg komme so weder das versprochene Recht auf schnelles Internet, noch würden Grundlagen für regionales Roaming zur Verbesserung der Netzabdeckung geschaffen: "Stattdessen nutzt die Bundesregierung das TKG zu einer erneuten Ausweitung der Massenüberwachung."

Das sei insofern ein besonderes Problem, weil die Bundesregierung nach wie vor keine "Überwachungsgesamtrechnung" erstelle. So könne sie nicht einmal nachweisen, "dass ihre Überwachungs- und Sicherheitsgesetze den versprochenen Nutzen haben", so Domscheit-Berg.

Die Nebenwirkungen dagegen seien enorm. Die Linken-Netzpolitikerin befürchtet einen Vertrauensverlust durch den "Chilling Effekt": Schon die Wahrnehmung allgegenwärtiger staatlicher Überwachung sei mit den Werten einer entwickelten Demokratie nicht vereinbar.

Auch problematisch: Verfassungsschutznovelle, Open Data und TTDSG

Digitalisierung bedeutet für die Große Koalition offenbar stets mehr Überwachung. Vorwärts immer, rückwärts nimmer ist das Motto, wenn Gesetze stets verschärft, aber nie zurückgedreht werden. Neuestes Beispiel ist die Verfassungsschutznovelle zur Quellen-TKÜ.

Hinter dem Begriff verbirgt sich nichts anderes als die Installation von Spyware auf privaten Geräten, laut FDP und Grünen ein weiterer "massiver Grundrechtseingriff".

Am Montag dieser Woche nun haben sich SPD und CDU/CSU auf eine Geheimdienstreform geeinigt, die genau das zum Ziel hat.

Nicht Überwachung, sondern Transparenz will die EU aber mit der Strategie "Open by default" erreichen. Am heutigen Donnerstag sollte in Deutschland das 2. Open Data Gesetz im Parlament beschlossen werden, ein Papiertiger, bei dem der Leser eigentlich nach dem zweiten Absatz aufhören kann: "Eine Bereitstellungspflicht oder ein Anspruch auf Zugang zu Daten wird mit diesem Gesetz nicht begründet." Die Behandlung im Parlament wurde nun abgesetzt, ein neues Datum steht nicht fest.

Viel ist vom ursprünglichen Ziel der EU-Richtlinie oder dem Koalitionsvertrag - man wollte hier "internationaler Vorreiter" werden - nicht übrig.

Auf der Arbeitsliste der Regierung steht nun noch das Gesetz zur Regelung des Datenschutzes und des Schutzes der Privatsphäre in der Telekommunikation und bei Telemedien (TTDSG). Auch dabei hatte sich Deutschland bereits blamiert, weil etwa der vermeintliche Vorreiter in Sachen Datenschutz Privacy-by-Default ablehnt.

Ein gutes Gegenbeispiel sind die EU-Vorschläge aus Portugal. Das EU-Papier sieht vor, dass Webbrowser Cookies automatisch ablehnen sollen, der Benutzer müsste das aktiv ändern. Doch das geht dem deutschen Gesetzgeber zu weit - der Unterschied geht zurück auf alte Diskussionen um die E-Privacy-Richtlinie.

Vor dem Hintergrund dieser Gesetzesvorhaben fällt es schwer zu glauben, dass Sicherheit und Datenschutz in der IT-Politik der Großen Koalition eine Rolle spielen, ebenso wie Transparenz und Offenheit. Es fällt aber auch schwer, jedwede Absicht zu unterstellen angesichts so grober handwerklicher Schnitzer und planloser Eile.

Die GroKo hinterlässt ein großes Arbeitspensum für die nachfolgenden Generationen an Netzpolitikern, die all die Fehler, all die staatsgefährdenden und demokratiefeindlichen Regelungen reparieren müssen.