Bundesregierung lässt Unternehmen beim Thema IT-Sicherheit im Stich

„Die Unternehmen in Deutschland wurden und werden von der Bundesregierung beim Thema IT-Sicherheit im Stich gelassen. Sie tut viel zu wenig, um Risiken zu begrenzen, obwohl neben der Wirtschaft ganz allgemein auch kritische Infrastrukturen und öffentliche Einrichtungen bedroht sind, wie der kürzliche Katastrophenfall nach einem Ransom-Ware-Angriff auf den Landkreis Anhalt-Bitterfeld zeigte“, erklärt Anke Domscheit-Berg, netzpolitische Sprecherin der Fraktion DIE LINKE. im Deutschen Bundestag, zur heutigen Pressekonferenz von Bitkom-Verbandschef Achim Berg und Verfassungsschutz-Vizepräsident Sinan Selen zur neuen Bitkom-Studie "Wirtschaftsschutz und Cybercrime", die eine extreme Zunahme von Angriffen auf die IT in deutschen Unternehmen aufzeigte. Domscheit-Berg weiter:

„So kam das IT-Sicherheitsgesetz 2.0 viel zu spät und wurde von Expert*innen zu Recht als Anti-IT-Sicherheitsgesetz bezeichnet. Das darin angekündigte IT-Sicherheitskennzeichen bietet bestenfalls einen esoterischen, aber keinen tatsächlichen Beitrag zu mehr IT-Sicherheit.

Auch der Entwurf der Cybersicherheitsstrategie ist ein Schlag ins Gesicht der Unternehmen, die ihre Existenz durch Cyberangriffe bedroht sehen. Denn während das BSI und die Branche tagtäglich vor neuen Angriffen warnen und 90 Prozent der Unternehmen in den letzten beiden Jahren zum Angriffsziel wurden, will die Bundesregierung weiterhin Sicherheitslücken geheimhalten, um sie für Überwachungsaktivitäten ausnutzen zu können. Dazu kommt, dass mit dem neuen Verfassungsschutzgesetz alle 19 Geheimdienste in Bund und Ländern die Befugnis erhielten, unter Ausnutzung von Sicherheitslücken Staatstrojaner in IT-Systeme einzuschleusen. Das ist ein Spiel mit dem Feuer, denn Sicherheitslücken kennen weder Gut noch Böse - offene Schwachstellen schwächen die IT-Sicherheit aller, weil sie auch von Kriminellen ausgenutzt werden, zum Beispiel von der wachsenden organisierten Kriminalität rund um Erpressersoftware. Faktisch ist jeder Staatstrojaner eine Schadsoftware, die auch genauso funktioniert und die gleichen Angriffswege nutzt.

In Fragen der IT-Sicherheit gibt es keinerlei politischen Verhandlungsspielraum: Sicherheitslücken müssen in jedem Fall sofort nach ihrer Entdeckung den betroffenen Unternehmen gemeldet und konsequent geschlossen werden, um ihre Ausnutzung als Einfallstor für kriminelle Angriffe zu verhindern. Stattdessen will Innenminister Seehofer (CSU) die IT-Sicherheit durch Einbau von Hintertüren (Backdoors) in Software und Hardware sogar noch weiter schwächen und zeigt damit, dass er jedes Maß verloren und vor allem null Kompetenz in Sachen IT-Sicherheit hat. Er hat schlicht grundlegende Zusammenhänge nicht verstanden.

Im Digitalausschuss fragte ich Minister Seehofer im Juni, was die Bundesregierung tut, um der wachsenden Gefahr durch Ransom-Ware zu begegnen. Seine Antwort war so schlicht wie sinnlos: ‚Null Toleranz‘. Was das bedeuten soll und wie er damit verhindern will, dass international organisierte kriminelle Erpresserbanden noch mehr Opfer auch unter Unternehmen finden, erklärte er nicht. Es gibt nicht einmal ein umfassendes und öffentliches Lagebild für Ransom-Ware-Angriffe auf Unternehmen oder andere Einrichtungen. Auch Maßnahmen, die konkret die IT-Sicherheit in der Breite der Gesellschaft erhöhen würden, fehlen weiterhin: Es gibt immer noch keine Mindestupdatepflicht für Software, keine Produkthaftung für IT-Produkte und kein vollständig unabhängiges BSI.

Außerdem braucht es gesamtgesellschaftliche Sensibilisierungskampagnen, denn häufig sitzt das schwächste Glied vor dem Bildschirm. Da gerade im Home-Office Risiken höher sind, hat DIE LINKE in einem Antrag bereits im Januar 2021 gefordert, dass Unternehmen verbindlich Verantwortung dafür übernehmen müssen, dass sowohl die technischen Voraussetzungen für einen hohen IT-Sicherheitsstandard im Home-Office gegeben sind, als auch Qualifizierungen der Beschäftigten im Home-Office zur IT-Sicherheit stattfinden."