Der Bundesverband IT-Sicherheit e.V. (Teletrust) begrüßt einzelne Inhalte des Koalitionsvertragsentwurfs, soweit sie sich auf den Themenkreis IT-Sicherheit beziehen. Insbesondere greife der Vertragsentwurf die Teletrust-Forderung nach Entwicklung einer übergreifenden Cybersicherheitsstrategie auf (Cyberpakt). Gleichwohl bleiben Inkonsistenzen, so eine Mitteilung des Verbands.

Teletrust begrüßt ausdrücklich die Aussagen des Koalitionsvertrages zu Innovation, digitaler Souveränität und Interdisziplinarität sowie zur Stärkung der IT-Sicherheitsforschung insbesondere auf den Gebieten Blockchain und Quantencomputing (Kapitel IV „Offensive für Bildung, Forschung und Digitalisierung“; Unterkapitel „Digitalisierung“).

Begrüßenswert sei ebenso die Absicht, das Produktsicherheitsrecht zu novellieren und für verbrauchernahe Produkte die IT-Sicherheit unter anderem durch die Einführung einer „gewährleistungsähnlichen Herstellerhaftung“ zu erhöhen. Ferner wollen Union und SPD die Verbreitung sicherer Produkte und das Prinzip „Security by Design“ fördern. Letzteres bedeute, dass bei der Entwicklung von Hard- und Software schon von Beginn an darauf geachtet wird, dass Systeme frei von Schwachstellen und so gegen Cybertattacken geschützt sind und nicht erst am Ende der Entwicklungskette. Dies entspreche früheren Teletrust-Forderungen. Zudem soll ein Gütesiegel für IT-Sicherheit auf Produkten mehr Transparenz für Verbraucher schaffen.

Positiv zu bewerten sei auch das Vorhaben, die Rolle des Bundesamts für die Sicherheit in der Informationstechnik im Verbraucherschutz zu stärken und Unternehmen zur Offenlegung und zur Beseitigung von Sicherheitslücken zu verpflichten. Zu begrüßen sei auch die Zielsetzung, „Ende-zu-Ende-Verschlüsselung für jedermann verfügbar“ zu machen und es Bürgerinnen und Bürgern zu ermöglichen, „verschlüsselt mit der Verwaltung über gängige Standards zu kommunizieren“. Dieser sinnvolle Ansatz werde allerdings nicht konsequent durchgehalten und teils konterkariert, denn weder ist ein Verbot für staatliche Stellen, Zero Day Exploits anzukaufen, noch eine ausdrückliche Verpflichtung dieser Stellen, derartige Sicherheitslücken bekannt zu machen, beabsichtigt.

Statt dessen heiße es: „Es darf für die Befugnisse der Polizei zu Eingriffen in das Fernmeldegeheimnis zum Schutz der Bevölkerung keinen Unterschied machen, ob die Nutzer sich zur Kommunikation der klassischen Telefonie oder klassischer SMS bedienen oder ob sie auf internetbasierte Messenger-Dienste ausweichen.“ Dies kann laut Teletrust nur so verstanden werden, dass die Sicherheitsbehörden entweder die Möglichkeit haben sollen, auch verschlüsselte Kommunikation mitzulesen oder diese Kommunikation unter Ausnutzung von Sicherheitslücken mit Hilfe der Quellen-TKÜ in unverschlüsselter Form mitzulesen. Mit der Zielsetzung, die IT-Sicherheit insgesamt zu verbessern, passe keine der beiden Varianten zusammen.

Weitere Informationen gibt es unter www.teletrust.de.

Dr. Jörg Schröper ist Chefredakteur der LANline.