Wir fordern die SPD-Fraktion im Niedersächsischen Landtag auf, in Niedersachsen ein Gesetzgebungsverfahren anzustoßen und sich im Bundesrat für die Einführung eines Gesetzes einzusetzen, welches die folgenden Punkte verankert:
- Sicherheitslücken, die staatlichen Stellen zur Kenntnis gelangen, sind umgehend dem Hersteller des informationstechnischen Systems zur Kenntnis zu bringen mit dem Ziel einer unverzüglichen Schließung.
- Nach einer angemessenen Frist zur Beseitigung durch den Hersteller ist die Öffentlichkeit zu informieren.
- Des Weiteren wird insbesondere eine Bevorratung oder das Zurückhalten von Sicherheitslücken zum Zweck der Infiltration von informationstechnischen Systemen verboten.
Informationstechnische Systeme sind im weitesten Sinne Computer, erfassen vom Begriff her aber auch Systeme, die „Computer“ enthalten beispielsweise Mobiltelefone („Smartphones“), Autos oder medizinische Implantate wie Hörgeräte. Diese Beispiele zeigen, dass informationstechnische Systeme immer zentraler werdende Rollen im Leben einnehmen. Das Bundesverfassungsgericht hat mit seinem Urteil vom 27. Februar 2008, 1 BvR 370/07, 1 BvR 595/07 festgestellt, dass es ein Grundrecht auf Integrität und Vertraulichkeit dieser Geräte gibt. Das bedeutet im weiteren Sinne, dass diese Geräte nicht von „außen“ manipuliert werden dürfen und Daten nicht ohne Einwilligung eingesehen werden dürfen.
Sicherheitslücken in Computerprogrammen und allgemein informationstechnischen Systemen stellen ein Einfallstor für Schadsoftware aller Art dar. Schadsoftware verletzt dieses Grundrecht, indem sie Systeme (Computer) verändert und Daten einsieht. Insbesondere im Bereich der sog. Ransomware sind wirtschaftliche Schäden seit 2016 von 800 Mio. € auf ca. 4,8 Milliarden € im Jahr 2017 angewachsen. Darunter fällt beispielsweise der Trojaner „WannaCry“, der weltweit Computer, unter anderem in Krankenhäusern, befallen hatte. Auf diesen Computern wurden Dateien unzugänglich gemacht. Um wieder Zugang zu den Dateien zu erhalten, musste Lösegeld gezahlt werden.
In den Fällen sicherheits- oder gesundheitsrelevanter Systeme wie Kraftwerke, Autos oder Medizintechnik ist die Gefahr offensichtlich.
Das Fatale an den allermeisten Sicherheitslücken ist, dass diese nicht nur auf einem einzelnen System vorhanden ist, sondern auch allen Systemen, die das gleiche Softwareprodukt einsetzen. Damit sind alle Nutzer dieser Software in gleicher Weise gefährdet. Die Zahl der Betroffenen geht in Deutschland alleine also schnell in die Millionen.
Als Sozialdemokratinnen und Sozialdemokraten stehen wir für die Balance aus Freiheit und Sicherheit. Eine freie offene Gesellschaft braucht Spielregeln, auf die sich im digitalen Zeitalter alle Menschen verlassen können. Dazu gehört insbesondere, dass der Staat seine Bürger*innen auch vor Angriffen von Cyberkriminellen schützt. Jede Sicherheitslücke, die existiert, ist ausnutzbar – eine Geheimhaltung durch eine/n Entdecker/in ist kein wirksamer Schutz. Jede weitere sachkundige Person kann diese Lücke ebenso entdecken. Ein Ausnutzen der Lücke kann also lediglich dadurch verhindert werden, dass die Lücke geschlossen wird.
Der Staat muss daher zum Schutze der Allgemeinheit darauf hinwirken, dass Lücken unverzüglich geschlossen werden, um nicht weite Teile der Bevölkerung schutzlos zu lassen. Daher ist eine Geheimhaltung und Bevorratung von Sicherheitslücken durch staatliche Stellen abzulehnen, auch wenn diese zum Zweck einer vermeintlichen Gefahrenabwehr und weitere staatlichen Maßnahmen gegen Einzelpersonen oder Kleingruppen gedacht ist.
Wir fordern die SPD-Fraktion im Niedersächsischen Landtag auf, in Niedersachsen ein Gesetzgebungsverfahren anzustoßen und sich im Bundesrat für die Einführung eines Gesetzes einzusetzen, welches die folgenden Punkte verankert:
- Sicherheitslücken, die staatlichen Stellen zur Kenntnis gelangen, sind umgehend dem Hersteller des informationstechnischen Systems zur Kenntnis zu bringen mit dem Ziel einer unverzüglichen Schließung.
- Nach einer angemessenen Frist zur Beseitigung durch den Hersteller ist die Öffentlichkeit zu informieren.
- Des Weiteren wird insbesondere eine Bevorratung oder das Zurückhalten von Sicherheitslücken zum Zweck der Infiltration von informationstechnischen Systemen verboten.