Kritiker fürchten Überwachung durch IT-Sicherheitsgesetz

Netzaktivisten und Datenschützer protestieren vehement gegen das geplante IT-Sicherheitsgesetz und befürchten dadurch eine neue Form der Vorratsdatenspeicherung. Bundesinnenminister Thomas de Maizière (CDU) wolle Online-Diensten erlauben, das Surfverhalten ihrer Nutzer aufzuzeichnen und auf Vorrat zu speichern, sagte der Datenschutzexperte der Piratenpartei, Patrick Breyer, der Nachrichtenagentur dpa. Der Minister wolle außerdem die Internetanbieter praktisch verpflichten, auf Vorrat Internet-Adressen (IP-Adressen) der Rechner ihrer Kunden zu erfassen. "Das ist ein perfides Projekt", sagte Breyer. Kritik und große Skepsis kam auch von Datenschützern. Das Innenministerium wies die Einwände zurück.

Bewegungen im Internet werden erfasst

De Maizière hatte den Entwurf für das IT-Sicherheitsgesetz am Dienstag vorgelegt. Hauptziel ist, kritische Infrastrukturen wie Energie- oder Telekommunikationsnetze besser vor Cyberattacken zu schützen. Vorgesehen sind aber auch Änderungen des Telemedien- und des Telekommunikationsgesetzes, die bislang kaum Beachtung fanden.

Online-Dienste sollen demnach künftig erfassen dürfen, wie sich ihre Nutzer im Internet bewegen - was sie anklicken, lesen oder im Netz schreiben. Die Anbieter dürfen das allerdings nur tun, um Angriffe auf ihre Systeme zu erkennen oder Störungen zu beseitigen.

Solche Surfprotokolle zu erstellen, findet Breyer hochproblematisch. "Das ist noch schlimmer als die Vorratsdatenspeicherung, weil es auch die Inhalte der Internetnutzung betrifft", sagte er. Außerdem könnten die Daten an Sicherheitsbehörden und andere Stellen weitergegeben werden. "Dass das in diesem Gesetz versteckt wird, ist unmöglich.Denn mit IT-Sicherheit hat das nichts zu tun."

Versuch der Vorratsdatenspeicherrung?

Auch der Arbeitskreis Vorratsdatenspeicherung - ein Zusammenschluss von Bürgerrechtlern und Datenschützern - äußerte sich empört. Das sei der Versuch, die Vorratsdatenspeicherung durch die Hintertür doch noch einzuführen. Der Berufsverband der Datenschutzbeauftragten Deutschlands erklärte ebenfalls, das entspreche dem Gedanken der Vorratsdatenspeicherung und sei verfassungsrechtlich kritisch.

Bei der Vorratsdatenspeicherung handelt es sich um eine anlasslose Erfassung von Daten, wer wann mit wem telefoniert oder mailt. Die EU hatte vor einigen Jahren alle Telekommunikationsfirmen verpflichtet, solche Daten zu sammeln und über Monate zu speichern - als Mittel zum Kampf gegen Terror und Verbrechen. In Deutschland wurde die Regelung bereits 2010 vom Bundesverfassungsgericht gekippt. Im April wurde sie schließlich auch EU-weit von Europas höchsten Richtern verworfen.

Alle Anbieter sollen Daten sammeln

Im Entwurf für das neue IT-Sicherheitsgesetz ist auch vorgesehen, dass Internetprovider ihren Nutzern einen Hinweis geben müssen, wenn sie auf deren Rechnern Schadsoftware entdecken. Einige Anbieter forschen bereits heute nach solchen Störungen, zum Beispiel indem sie Lockmittel für sogenannte Botnetze einsetzen. Dies sind Netzwerke von Rechnern, die Kriminelle mit einem Schadprogramm infiziert haben, fernsteuern und etwa für Cyberangriffe missbrauchen.

Internetanbieter legen beispielsweise Fallen aus, um die Betreiber solcher Botnetze anzulocken und dann herauszufinden, welche Rechner mit dem Netz verbunden sind. Dann geben sie betroffenen Kunden Bescheid. Um diese identifizieren und benachrichtigen zu können, ist aber die Speicherung der IP-Adressen der Kunden nötig.

Nach geltendem Recht dürfen Anbieter diese IP-Adressen nur für maximal sieben Tage speichern. Nicht jeder mache davon Gebrauch, sagte Breyer. Mit dem IT-Sicherheitsgesetz wolle de Maizière nun aber alle Anbieter dazu bringen, diese Daten zu sammeln, und zwar auf Vorrat. Er befürchtet, dass die Daten am Ende bei Sicherheitsbehörden und anderswo landen. Auch der Arbeitskreis Vorratsdatenspeicherung hat diese Sorge und nannte die Pläne ungeheuerlich.

Das Innenministerium wies die Kritik zurück. Es dürften nur Daten erhoben und verwendet werden, die ein Anbieter tatsächlich brauche, um Hackerangriffe zu erkennen und abzuwehren. Ohne Anlass oder für einen anderen Zweck sei das nicht möglich, ebensowenig eine unbegrenzte Speicherung, sagte ein Sprecher auf dpa-Anfrage in Berlin. Staatliche Eingriffsbefugnisse würden nicht geschaffen.