IT-Sicherheitsgesetz 2.0 – ein weiterer Schritt zur Errichtung eines Polizeistaats

Von Wolfgang Weber
15. April 2019

Wenige Tage nach dem Entwurf für ein Geheimdienste-Ermächtigungsgesetz hat Bundesinnenministers Horst Seehofer dem Kabinett Vorschläge für eine umfassende Ausweitung und Verschärfung des IT-Sicherheitsgesetzes von 2015 vorgelegt.

Das „IT-Sicherheitsgesetz 2.0“ sieht vor, das Bundesamt für Sicherheit in der Informationstechnik (BSI) für Geheimdienstaufgaben aufzurüsten, die Vollmachten der Polizei auszuweiten und das Strafrecht um neue Straftatbestände zu erweitern. Die Plattform www.netzpolitik.org hat den Entwurf am 27. März veröffentlicht.

Bisher bestand die Kernaufgabe des BSI darin, Angriffe auf IT-System abzuwehren – z.B. Informationen über Viren und Trojaner an die Öffentlichkeit zu geben, auf Sicherheitslücken in weitverbreiteten Programmen wie Windows, Office und Adobe Flash aufmerksam zu machen und solche Sicherheitslücken zu schließen. Jetzt soll es unter der Maske der gemeinnützigen Tätigkeit zu einer Behörde des Angriffs, des Knackens, Hackens und der Manipulation von IT-Systemen, privaten Datenbanken und Netzen aufgerüstet werden.

So soll es künftig im Internet durch systematisches Scannen der dort identifizierbaren Ports (Gerätezugänge) nach unsicheren, d.h. leicht angreifbaren Geräten suchen. Das sind z.B. im „Internet der Dinge“ mit dem Internet verbundene Kühlschränke, Waschmaschinen, Kameras, Automobile, auch Kinder-Computer oder Babyfons, über die ein Angreifer in das WLAN eines Unternehmens oder einer Privatperson eindringen kann.

Das BSI soll sich auf solchen Geräten einloggen dürfen, um herauszufinden, welche Passwörter dort benutzt werden, und um Daten auszuspähen und zu verändern. Handlungen, die sonst strafbar sind, werden damit legalisiert, wenn sie das BSI vornimmt. Darüber hinaus werden Telekommunikationsanbieter verpflichtet, dem BSI die Personaldaten zu einer IP-Adresse zu übermitteln.

Das Bundesamt kann betroffene Eigentümer von unsicheren und geknackten IT-Systemen informieren, muss es aber nicht zwingend tun. Außerdem darf es Geräte, Netze und IT-Systeme, die von ihm als „unsicher“ klassifiziert, d.h. schon geknackt worden sind, selbst aktiv verändern. Zu diesem Zweck kann das BSI künftig die Telekommunikations-Provider verpflichten, auf einem unter einer bestimmten IP-Adresse angemeldeten System vom BSI entwickelte Software-Patches zur Löschung oder Veränderung von „Schadsoftware“ aufzuspielen.

Diese Möglichkeit, heimlich in IT-Systeme einzudringen und sie zu manipulieren, ermöglicht es den Sicherheitskräften, gegen Privatpersonen und Organisationen, die als „verdächtig“ oder „verfassungsfeindlich“ eingestuft werden, mit bisher illegalen Methoden vorzugehen und sogar Beweise zu manipulieren. Sie bedeutet einen fundamentalen Eingriff in demokratische Grundrechte wie die Unverletzlichkeit der Wohnung, das Fernmeldegeheimnis, das Selbstbestimmungsrecht und die Privatsphäre von betroffenen Menschen, je nach Angriffsziel möglicherweise auch eine Verletzung der Pressefreiheit oder der Schutzrechte von Ärzten und Rechtsanwälten.

Das Bundesinnenministerium begründet das IT-Sicherheitsgesetz 2.0 unter anderem damit, dass es die Sicherheitsbehörden in die Lage versetze, „unsichere Systeme“ vor Angreifern zu schützen und die Kontrolle über Gruppen von ferngesteuerten Geräten – sogenannte Botnetze – zu übernehmen, um sie daran zu hindern, Angriffe durchzuführen oder Spam-Mails zu verschicken. Dabei verschweigt es gezielt, dass der Schutz vor Botnetzen auch auf andere, defensive Weise möglich ist und so auch kritische Infrastrukturen wie die Energie- oder Wasserversorgung oder das Bahnnetz gesichert werden können.

Noch deutlicher lässt der ganz am Ende des Gesetzentwurfs angesiedelten Paragraph 163g das Gesicht einer Geheimdienst- und Polizeidiktatur hinter der dünnen Maske der „IT-Sicherheit“ sichtbar werden. Er gibt der Staatsanwaltschaft und der Polizei das Recht, „auch gegen den Willen des Inhabers auf Nutzerkonten oder Funktionen“ des Verdächtigen zuzugreifen und „unter dieser virtuellen Identität mit Dritten in Kontakt“ zu treten. „Der Verdächtige ist verpflichtet, die zur Nutzung der virtuellen Identität erforderlichen Zugangsdaten herauszugeben.“

Bereits ein allgemeiner, nicht ein konkreter Verdacht, dass jemand mit Hilfe eines Internetdienstes eine Straftat begangen hat, begeht oder an ihr teilnimmt, reicht aus, um den Betreffenden zur Herausgabe seines Accounts zu zwingen. Weigert er sich, kann er nach Paragraph 70 der Strafprozessordnung für bis zu sechs Monate in Beugehaft genommen werden.

Mit anderen Worten: Polizei und Staatsanwaltschaft dürfen im Internet unter der falschen Identität eines Verdächtigen, der ihnen unter Strafandrohung seine Passwörter und Daten übergeben muss, mit den aktiven oder potentiellen Kommunikationspartnern des eigentlichen Account-Inhabers Kontakt aufnehmen und sie ausspionieren. Das schafft nicht nur die Grundlage für eine grenzenlose Überwachung, sondern auch für Polizeiprovokationen. Es ist dann ein Leichtes, Unschuldige zu Straftaten anzustiften oder ihnen solche unterzuschieben. Der digitale Agent Provocateur ist aus der Taufe gehoben.

Unter den relevanten Straftaten, die den Vorwand für Staatsaktionen liefern sollen, wird eine ganze Liste von Delikten aufgeführt, die von der „Verleitung zur missbräuchlichen Asylantragstellung“ (zu Deutsch: Unterstützung für Flüchtlinge) bis zum Mord reicht, aber auch ganz kleine Alltagsdelikte wie Beleidigungen per Mail oder Ebay-Betrug umfasst und somit Tür und Tor für willkürliche Verfolgungsjagden und „verdeckte Ermittlungen“ im Internet öffnet.

Im Übrigen können, so der Gesetzentwurf, „Accounts … auch dann übernommen und genutzt werden, wenn die staatliche Stelle die Zugangsdaten auf andere Weise erlangt, etwa durch verdeckte Ermittlungsmaßnahmen oder im Rahmen einer Online-Durchsuchung“, z.B. durch den Einsatz von Staatstrojanern.

Schließlich sieht das IT-Sicherheitsgesetz 2.0 mehrere neue Straftatbestände vor, andere Strafrechtsbestimmungen werden erheblich verschärft. Für eine ganze Reihe schon existierender Straftaten wie das Ausspähen, Abfangen oder Manipulieren von Daten wird das Höchstmaß der Strafe von zwei auf fünf Jahre heraufgesetzt. Natürlich gilt dies nicht, wenn es sich bei den Tätern um das BSI, die Geheimdienste oder die Polizei handelt.

Gleichzeitig werden diese Straftaten zu schweren Straftaten höhergestuft, so dass Behörden bei den Ermittlungen nicht nur Telefone abhören, sondern auch sogenannte Staatstrojaner, d.h. vom BSI oder anderen staatlichen Organen entwickelte Spionage- und Schadsoftware, einsetzen dürfen.

Ein neuer Straftatbestand ist das Anbieten „internetbasierter Leistungen“, die es ermöglichen oder erleichtern, mittels Internetdiensten Straftaten zu begehen. Damit sind vor allem Handelsplattformen im sogenannten Darknet gemeint, aber auch Anonymisierungsdienste oder private Kommunikationsräume wie der TOR-Browser. Auch damit werden wiederum grundlegende demokratische Rechte, wie das auf informationelle Selbstbestimmung und Meinungsfreiheit, ausgehebelt, von denen das Recht auf Anonymität ein integraler Bestandteil ist.

Zu Straftaten werden in Zukunft auch die Veröffentlichung privater Daten oder allein schon der Plan dazu erhoben. Strafmaß: bis zu zehn Jahren. Ein besonders schwerer Fall einer solchen Straftat liegt vor, wenn die Tat „die Gefahr eines schweren Nachteils für die Bundesrepublik Deutschland herbeiführt“. Darunter würde dann zweifellos auch die Veröffentlichung von geleakten Daten fallen, die zum Beispiel die Beteiligung der Bundeswehr an Kriegsverbrechen in Afghanistan oder Mali enthüllen.

Und schließlich wird noch der „Digitale Hausfriedensbruch“ oder, wie es im Gesetzentwurf heißt, das „unbefugte Benutzen von IT-Systemen“ zur Straftat erhoben. Dazu würde auch das Knacken einer staatlichen Datenbank zwecks Enthüllung staatlicher Verbrechen gehören, wie es Chelsea Manning tat, als er 2010 der Weltöffentlichkeit über Wikileaks amerikanische Militärdokumente zugänglich machte, die Kriegsverbrechen der US-Armee im Irak und in Afghanistan enthüllten.

Gerade die letzten beiden Bestimmungen zeigen deutlich, dass das IT-Sicherheitsgesetz 2.0 im Zusammenhang mit der Verhaftung von Julian Assange und seiner drohenden Auslieferung an die USA gesehen werden muss. Jeder, der wie Chelsea Manning und Julian Assange standhaft für demokratische Rechte eintritt und imperialistische Verbrechen aufdeckt, soll eingeschüchtert, bestraft und mundtot gemacht werden.

In den verschiedenen Ministerien arbeitet eine ganze Heerschar von Juristen daran, die allein in ihrem Ausmaß an Detailbestimmungen ans Groteske grenzenden Polizei- und Geheimdienstermächtigungsgesetze auszutüfteln. Sie regeln explizit und fein-säuberlich die „gesetzliche“ Abschaffung demokratischer Rechte, um so den Anschein des „Rechtsstaates“ möglichst lange zu wahren. Die deutsche Juristenzunft hat in dieser Kunst der Zuarbeit für einen autoritären Unterdrückungsstaat große Erfahrung – nicht nur aus dem Kaiserreich vor 1918 und der Weimarer Republik, ohne sie wäre auch die Diktatur Hitlers, die Verfolgung der Juden und schließlich ihre Vernichtung nicht möglich gewesen.

Die Geschwindigkeit, mit der sie jetzt wieder zu Gange sind, ist atemberaubend. Sie korrespondiert mit der weltweiten Verschärfung des Klassenkampfs gegen soziale Ungleichheit, Militarismus und diktatorische Regimes. Diese Klassenkämpfe sind der Hauptgrund, weshalb die herrschende Klasse in Deutschland, ganz Europa und auch den USA auf die Karte von Diktatur und Faschismus setzt.

 

Commenting is enabled but will only be shown on the live site.