75 Jahre GrundgesetzBSI-Präsidentin fordert Grundgesetzänderung für Cyberabwehr

• Laut der BSI-Präsidentin könnte eine Änderung des Grundgesetzes die Zusammenarbeit verbessern sowie gemeinsame Übungen für den Ernstfall ermöglichen.
• Anstatt das Grundgesetz zu ändern und damit die gesamte Verantwortung dem Bund zu übertragen, wäre es auch auf anderem Wege möglich, die Zusammenarbeit zwischen Bund und Ländern zu stärken.
• Um einen besseren Überblick über die Cybersicherheitslage in Deutschland zu haben, könnten auch Behörden und Unternehmen verpflichtet werden, einschlägige Vorfälle zu melden.

Die IT-Sicherheitslage in Deutschland ist besorgniserregend – das sagt Claudia Plattner, Präsidentin des Bundesamtes für Sicherheit in der Informationstechnik (BSI), seit Monaten. Die Frage sei nicht, ob, sondern wann Deutschland großflächig und tiefgreifend von einem Cyberangriff getroffen wird.

Aktuell sei es nur schwer möglich, gemeinsam zu handeln, wenn zum Beispiel nach einem Cyberangriff in München und Hamburg gleichzeitig die Lichter ausgehen. Der Grund dafür liege auch im Grundgesetz.

BSI-Chefin Plattner zählt zwei Dinge auf, die die deutsche Cybersicherheit voranbringen könnten – die zwischen Bund, Ländern und Kommunen aber schwer umzusetzen sind: "Zu den Dingen, die wir gerne miteinander tun würden, gehört das Lagebild, dass Informationen fließen. Das dürfen sie aber eben nicht in der Form, wie wir uns das vorstellen. Wir haben außerdem noch das Thema für den Krisenfall miteinander üben, weil – wenn man eine Krise hat – dann hängt alles davon ab, wie gut man da ganz schnell koordiniert zusammenarbeitet. Das muss man aber üben. Da sagen uns dann auch die Verfassungsrechtler 'Hey, das gibt das Grundgesetz so nicht her!'"

Kein ausreichender Cyberüberblick und keine gemeinsamen Übungen. Und auch Technologien zwischen Bund, Ländern und Kommunen auszutauschen, sei schwierig, sagt Claudia Plattner. So habe das BSI eine Software entwickelt, um die Netze des Bundes zu schützen. Die dürfe man aber nicht an die Bundesländer weitergeben. Plattner möchte die rechtliche Lage klären, bevor es richtig groß knallt – je früher desto besser.

Das Grundgesetz dafür zu ändern, ließe sich zwar vertreten. Es sei aber unklug, alle Kompetenzen und die gesamte Verantwortung dem Bund zu übergeben, meint Dennis Kipker. Er ist Professor für IT-Sicherheitsrecht und Direktor des Cyber Intelligence Institute in Frankfurt am Main. Er würde eher die Zusammenarbeit zwischen Bund und Ländern stärken, zum Beispiel in Artikel 73 des Grundgesetzes. "Da steht nämlich für bestimmte Bereiche drin, dass die ausschließliche Gesetzgebungszuständigkeit in der Zusammenarbeit von Bund und Ländern auf bestimmte Bereiche übertragen werden kann, wie Kriminalpolizei (...). Da könnte man natürlich auch sagen 'Ja, Cybersecurity macht eben nicht an den Grenzen von Bundesländern halt' und dass man diese Kooperationsmöglichkeit verfassungsrechtlich noch stärker verankert."

Kipker sagt, wer das Grundgesetz ändern wolle, müsse gleichzeitig Doppelzuständigkeiten entwirren. Denn geht es zum Beispiel um die Cybersicherheit von Telekommunikations- oder Energieunternehmen, sei neben dem BSI auch die Bundesnetzagentur zuständig und bei Banken oder Finanzen gebe es noch die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin).

Schon heute könnten Bund, Länder und Kommunen aber Informationen über Schwachstellen und Cyberangriffe austauschen, meint Kipker und widerspricht BSI-Präsidentin Plattner. Auch Sven Herpig hält den Informationsaustausch für unproblematisch. Er leitet bei der Stiftung Neue Verantwortung den Bereich Cybersicherheitspolitik und warnt vor einer vorschnellen Änderung des Grundgesetzes. "Der zweite Punkt, der in einer Debatte immer angesprochen wird, ist die Grundgesetzänderung für Gefahrenabwehr im Cyberraum durch Bundesbehörden, was das Innenministerium seit Jahren forciert. Da fehlt es aber an jeglichen Details. Gerade wenn es um Grundgesetzänderungen geht, brauchen wir hier eine ganz klare Kommunikation, wozu das gemacht werden soll und es müssen sich alle Parteien einig sein und die Mehrheit nicht durch irgendwelche Kuhhandel zustande kommt."

Für Herpig ließe sich ein besserer Überblick über die Cybersicherheitslage gewinnen, wenn viel mehr Behörden und Unternehmen dazu verpflichtet sind, ihre Vorfälle zu melden. Und zur Software-Weitergabe vom BSI an die Kommunen sagt Herpig: Das BSI könne seine Software jederzeit als Open Source zur Verfügung stellen.