Deutschland und die EU sind in vielerlei Hinsicht vom Ausland abhängig – auch, was Überwachungssysteme und IT-Lösungen betrifft. In der Beantwortung einer Kleinen Anfrage der AfD-Fraktion räumt die Bundesregierung selbst potenzielle Sicherheitsrisiken in diesem Bereich ein.
„Die Bundesregierung sieht grundsätzlich Risiken durch unberechtigte Zugriffe beim Einsatz cloudbasierter Kommunikations- und Kollaborationsdiensten aus Drittstaaten“: Das konstatiert die Bundesregierung in der Anfragebeantwortung wörtlich.
Zuvor hatte man angegeben, dass für die durch die Bundespolizei in eigener Zuständigkeit betriebenen öffentlichen Videoüberwachungssysteme teilweise externe Dienstleister Betriebs- und Speicherungsaufgaben übernehmen. Die Verantwortung für die Sicherheit liege bei den jeweiligen Behörden (in diesem Fall also der Bundespolizei), die die Technologien einsetze. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) mache zur Reduktion von Risiken hinsichtlich der digitalen Souveränität aber spezielle Vorgaben.
Die AfD wollte zudem wissen, inwieweit öffentliche Überwachungs- und sicherheitsrelevante Systeme in Bund, Land und Kommunen nach Kenntnis der Bundesregierung zentral oder dezentral betrieben werden. Brisant: Dazu liegen der Bundesregierung keine Informationen vor.
Zugriffe ausländischer Behörden auf in Deutschland genutzte IT- und Cloud-Infrastrukturen sollen „soweit wie möglich“ durch Nutzung des Frameworks „Criteria enabling Cloud Computing Autonomy“ (C3A) ausgeschlossen werden. Der AfD-Bundestagsabgeordnete Sascha Lensing betrachtet die Antwort der Bundesregierung kritisch: Besonders brisant sei, „dass die Bundesregierung ausdrücklich einräumt, Risiken durch mögliche Zugriffe ausländischer Behörden auf in Deutschland genutzte Cloud- und IT-Infrastrukturen nicht vollständig ausschließen zu können. Trotzdem werden entsprechende Systeme weiterhin in erheblichem Umfang genutzt.“
Bezüglich des Einsatzes umstrittener Pegasus-Spyware durch deutsche Sicherheitsbehörden und des Risikos unbemerkter Datenabschöpfung berief sich die Bundesregierung auf notwendige Geheimhaltung – dem Bekanntwerden von Informationen in diesem Bereich stünden überwiegende Belange des Staatswohls entgegen. Außerdem muss nach Ansicht der Bundesregierung geheim bleiben, welche technischen und organisatorischen Schutzmaßnahmen getroffen werden, um Endgeräte von Mitgliedern der Bundesregierung gegen Überwachungs- und Ausspähmaßnahmen zu schützen, wie oft diesbezüglich Prüfungen stattfinden und welche forensischen Fähigkeiten die Bundesregierung hat, um Kompromittierungen festzustellen.
AfD-Politiker Lensing schlussfolgert:
Die Bundesregierung bestätigt selbst erhebliche Risiken für die digitale Infrastruktur Deutschlands. Gleichzeitig fehlt offenbar eine vollständige Übersicht über kritische Überwachungs- und IT-Strukturen im öffentlichen Bereich. Das ist sicherheitspolitisch hochproblematisch. Besonders kritisch ist die weitgehende Auskunftsverweigerung der Bundesregierung beim Themenkomplex ausländischer Überwachungssoftware und möglicher Sicherheitsrisiken durch externe Technologien. Selbst gegenüber dem Deutschen Bundestag verweigert die Bundesregierung zentrale Informationen mit Verweis auf Staatswohl und Geheimschutz. Wenn der Staat immer stärker auf digitale Überwachungs-, Cloud- und Kommunikationssysteme setzt, dann braucht es zugleich maximale Sicherheitsstandards und eine wirksame parlamentarische Kontrolle.
Die Bundesregierung selbst wies übrigens in ihrer Beantwortung auf den „Faktor Mensch“ hin. Kürzlich erst wurde publik, dass mehrere Politikerinnen auf einen bekannten Phishing-Trick in der App Signal hereingefallen sind (Report24 berichtete). Schon das wirkte wenig vertrauenerweckend. Abhängigkeiten bei der digitalen Infrastruktur stellen weitere Einfallstore für Eindringlinge dar, durch die sensibelste Informationen entwendet werden können. Lensings Fazit:
Die Antwort der Bundesregierung zeigt vor allem eines: Deutschland verfügt bislang offenbar weder über ein vollständiges nationales Lagebild sicherheitsrelevanter digitaler Infrastruktur noch über digitale Souveränität gegenüber ausländischen Technologieanbietern. Ein moderner Staat darf sich bei kritischer Sicherheits- und Verwaltungsinfrastruktur nicht in strategische Abhängigkeiten begeben. Deutschland braucht mehr technologische Eigenständigkeit und endlich eine konsequente Sicherheitsstrategie für kritische digitale Systeme.
Ausländische Cloud- und Überwachungstechnologie: Bundesregierung räumt Risiken ein