Der neue Referentenentwurf des Bundesministeriums des Inneren (BMI) für ein Gesetz zur Stärkung der Cybersicherheit verspricht mehr Schutz vor Cyberangriffen. Dafür soll das Bundeskriminalamt (BKA) zahlreiche neue Gefahrenabwehrbefugnisse erhalten. Ziel ist es, das Cybersicherheitsniveau in Deutschland anzuheben. Seine Wirkung ist aber überschaubar: Die praktischen Handlungsmöglichkeiten des BKA bleiben durch die verfassungsrechtlich vorgegebenen Kompetenzen stark begrenzt, während die neuen Eingriffsbefugnisse ihrerseits neue rechtliche und technische Probleme schaffen. Wieder kündigt ein Sicherheitsgesetz den großen Wurf an, ohne den Schutz der Bürgerinnen und Bürger vor Cyberkriminalität spürbar zu verbessern.

Cyberabwehr zwischen Anspruch und Zuständigkeit

Wer die neuen Befugnisse lediglich überfliegt, könnte meinen, Cybersicherheit diene vor allem als Vorwand für neue Überwachungsbefugnisse. Das ist aber nicht die Intention des Entwurfs (S. 34); entsprechende Instrumente stehen dem BKA bereits zur Verfügung.

Stattdessen verlagert der Entwurf die polizeiliche Aufgabe der Gefahrenabwehr in den „Cyberraum“: Die neuen Befugnisse sollen es dem BKA ermöglichen, drohende oder laufende Cyberangriffe abzuwehren und Informationen auszuwerten (vgl. auch Entwurf S. 2). Damit verfolgt der Gesetzgeber einen proaktiven Ansatz, der Bedrohungen möglichst früh verhindert oder eindämmt.

Entgegen der grundsätzlichen Länderzuständigkeit für die Gefahrenabwehr (Art. 30 Abs. 1, Art. 70 Abs. 1 GG) will der Entwurf das BKA zur „Cyberabwehrbehörde“ machen. § 3a BKAG-E weist der Behörde eine neue Zuständigkeit für die Abwehr von Cyberangriffen bei „internationaler Zusammenarbeit oder außen- und sicherheitspolitischer Bedeutung“ zu. §§ 62b bis 62g BKAG-E schaffen dafür einen neuen, eigenen Abschnitt mit Befugnissen zur Abwehr von Angriffen auf die IT-Sicherheit.

Die neue Rolle des BKA suggeriert eine breit gefächerte Handlungsfähigkeit, die in diesem Ausmaß nicht von der Verfassung gedeckt ist. Der Entwurf kann sich nur auf die begrenzten Gesetzgebungskompetenzen des Bundes in der Gefahrenabwehr stützen. Dazu zählen vor allem die Terrorismusbekämpfung (Art. 73 Abs. 1 Nr. 9a GG) und die internationale Verbrechensbekämpfung (Art. 73 Abs. 1 Nr. 10 GG). Beide sind praktisch durchaus relevant, bleiben aber auf wenige Fallkonstellationen beschränkt.

Denn so eindrücklich das Szenario eines Cyberterrorismus („Sum of All Fears“) erscheinen mag, so selten sind entsprechende Fälle im Vergleich zur alltäglichen Cyberkriminalität. Ähnlich verhält es sich mit den ausgewiesenen Möglichkeiten bei der internationalen Verbrechensbekämpfung: Bedeutung gewinnen die Befugnisse vor allem bei grenzüberschreitenden Fällen und internationalen Kooperationen, etwa zur Zerschlagung von Cybercrime-Infrastrukturen. In der Praxis bleiben solche Kooperationen eher eine Ausnahme.

Der praktische Anwendungsbereich des Cyberabwehrgesetzes bleibt somit eng. Die neue „polizeiliche Generalklausel für die Cyberabwehr”, die mit § 62b BKAG-E geschaffen werden soll (S. 48), wird daher nur in seltenen Einzelfällen greifen. Umfassende Gefahrenabwehrbefugnisse des BKA im Cyberraum würden eine eigenständige Gesetzgebungskompetenz des Bundes für Cybersicherheit voraussetzen.

Auch die örtliche Zuständigkeit des BKA ist begrenzt. Grundsätzlich darf es nicht außerhalb Deutschlands tätig werden. Es gilt das sogenannte Territorialitätsprinzip, wonach hoheitliche Befugnisse nur auf dem eigenen Staatsgebiet ausgeübt werden dürfen.

Darin zeigt sich eine zentrale Herausforderung: Cyberkriminalität wirkt typischerweise vom Ausland (bzw. über Server im Ausland) auf deutsche Betroffene ein. In solchen Fällen kann das BKA bisher nicht selbst eingreifen, indem es zum Beispiel entsprechende Systeme abschaltet oder beeinträchtigt.

Stattdessen bleibt es auf die Zusammenarbeit mit den Behörden des betroffenen Staates angewiesen. Das BKA war bereits mehrfach an entsprechenden Maßnahmen beteiligt, etwa bei der „Operation Endgame” gegen die Angriffsstruktur „Rhadamanthys”. Allerdings sind diese Kooperationen aufwendig und selten; sie skalieren nicht. Sie können nur einige wenige (typischerweise aber sehr große) Angriffsstrukturen zerschlagen.

Internationale Kooperationen zur Zerschlagung von Botnetzen

Internationale Kooperationen von Sicherheitsbehörden richten sich vor allem gegen sogenannte „Botnetze“ – Netzwerke aus gehackten IT-Systemen, die Kriminelle für Cyberangriffe nutzen. Diese Netzwerke können aus Millionen von gekaperten Systemen („Bots“) bestehen und sind global verteilt. Eine Sicherheitsbehörde allein kommt dagegen nicht an. Deshalb konzentriert sich das Vorgehen auf die sogenannten „Command-and-Control-Server“, die die Botnetze steuern. Mit den neuen Cyberabwehrmaßnahmen können diese ausgeschaltet werden. Dadurch werden auch die Bots harmlos und lassen sich nach und nach deaktivieren. Zum Beispiel hat das BKA im Rahmen der Emotet-Zerschlagung Schadsoftware von Opfersystemen gelöscht. Dabei griff die Behörde in private IT-Systeme ein, um künftige Schäden zu verhindern. Eine Rechtsgrundlage, die dem BKA ein solches Vorgehen erlaubt, besteht nicht.

Hier setzt nun der Entwurf des Cyberabwehrgesetzes an. Ist die nationale Sicherheit betroffen, zum Beispiel, wenn tausende IT-Systeme betroffen sind (§ 3a Abs. 3 Nr. 3 BKAG-E, Entwurf S. 45), soll das BKA im Rahmen internationaler Kooperationen nicht nur unterstützen; es soll auch selbst tätig werden können. Mit den neuen Befugnissen würde das BKA in Zukunft zum aktiven Partner für grenzüberschreitende Aktionen.

Das BKA als aktiver Partner

Für diese aktive Beteiligung an der Zerschlagung von Botnetzen soll das BKA Befugnisse erhalten, die es erlauben, den Betrieb von IT-Systemen zu untersagen (§ 62c BKAG-E) und Datenverkehr einzuschränken, umzuleiten oder zu unterbinden (§ 62d BKAG-E). Damit lässt sich die Kommunikation und Kontrolle des Botnetzes gezielt stören. Diese (eher unspektakulären) Instrumente werden zwar nur selten Anwendung finden (s. o.), sind aber nicht weiter problematisch. Ähnliche Befugnisse hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) bereits seit einigen Jahren (vgl. § 16 Abs. 1 S. 1 Nr. 1 BSIG).

Anders sieht es hingegen mit § 62e BKAG-E aus: Seine Überschrift „Erheben, Löschen und Verändern von Daten in informationstechnischen Systemen“ verbirgt die Tragweite seiner Eingriffsermächtigung: Welche Daten wie und zu welchem Zweck verarbeitet werden sollen, gibt die Norm nicht preis. Die Intention wird mit einem Blick auf eine Befugnis des BSI klar.

Nach § 16 Abs. 1 S. 1 Nr. 2 BSIG darf das BSI „technische Befehle“ (z. B. Deinstallationsbefehle) verteilen, um IT-Systeme von Schadsoftware zu bereinigen. Im Idealfall verkleinert sich dadurch das Botnetz, damit keine Angriffe mehr von ihm ausgehen können. Bei Einführung der Norm im Jahr 2021 verortete man dieses Handeln beim BSI, der zentralen Cybersicherheitsbehörde des Bundes. Dem BSI sollte erlaubt werden, was das BKA beim Takedown des Emotet-Botnetzes 2021 noch ganz ohne Rechtsgrundlage vorgenommen hat.

Das BKA soll nunmehr eine dem § 16 Abs. 1 S. 1 Nr. 2 BSIG ähnliche, aber weitreichendere Grundlage für Eingriffe in IT-Systeme erhalten. Dabei ist die Entscheidung, welche Behörde diese Rechtsgrundlage erhält, mehr als eine Zuständigkeitsfrage: Während das BSI eine defensive Rolle im Dienst der IT-Sicherheit (vgl. § 3 Abs. 1 S. 1 BSIG) einnahm und bestehende Zugriffsmöglichkeiten zur Verteilung von Zwangsupdates nur mittelbar über die Telekommunikationsdiensteanbieter nutzte, geht das BKA deutlich aktiver vor und schafft sich diese Zugänge künftig einfach selbst. Zudem begreift das BSI das Vertrauen der IT-Sicherheitsszene als Ressource seiner Arbeit und hat seine Befugnisse für Eingriffe in IT-Systeme bislang nur mit Bedacht genutzt. Dagegen kann das BKA mit diesem Vertrauen nicht rechnen. Denn obwohl das BSI nicht neutral und auch nicht unabhängig ist, wird es als vertrauenswürdiger wahrgenommen als das BKA.

Hinter dem „Erheben, Löschen und Verändern von Daten“ des § 62e BKAG-E verbirgt sich, dass das BKA zukünftig selbst die Systeme infiltriert, d. h. in sie eindringen darf. Die neue Befugnis würde somit den sogenannten „Hackback“ ermöglichen, also Gegenangriffe auf die IT-Systeme von Cyberkriminellen. Technisch unterscheidet sich das Vorgehen des BKA dabei kaum von dem der Täter. Eine solche „Hackback“-Befugnis wird seit Längerem diskutiert, wirft allerdings erhebliche verfassungsrechtliche Fragen auf.

Der umdefinierte Grundrechtsschutz

Vor dem Eindringen in IT-Systeme schützt eigentlich das IT-System-Grundrecht. Der Entwurf geht bei „Angriffssystemen“ aber pauschal davon aus, dass dieser Schutzbereich nicht eröffnet ist. § 62f BKAG-E unterstellt, dass lediglich „private“ IT-Systeme grundrechtlich geschützt sind, weil nur sie aufgrund von „Umfang und Vielfalt der Daten Erkenntnisse über wesentliche Teile der Lebensgestaltung“ einer Person ermöglichen.

Woher diese, in ihrer Pauschalität falsche, Annahme herrührt, dass Angriffssysteme keinen Einblick in die Privatsphäre von Grundrechtsträgern bieten, ist unklar. Das einfache Recht kann den Schutzbereich eines Grundrechts nicht nach Belieben verengen und eine solche Ausnahme gewissermaßen konstruieren. Auch Angriffssysteme können persönliche Informationen enthalten und genießen daher den Schutz des IT-System-Grundrechts. Eingriffe lassen sich allenfalls im Einzelfall leichter rechtfertigen, etwa wegen des schädigenden Verhaltens der Betroffenen.

Der Grundrechtsschutz entfällt im Übrigen auch nicht deshalb, weil Cyberkriminelle typischerweise aus dem Ausland agieren und keine deutschen Staatsbürger sind. Behörden sind nach Art. 1 Abs. 3 GG immer an die Grundrechte gebunden, wenn sie Staatsgewalt ausüben; diese Pflicht ist laut BVerfG nicht auf das deutsche Staatsgebiet begrenzt (siehe z. B. auch zur Auslandstätigkeit des BND).

Erst hacken Kriminelle, dann auch noch der Staat

Auch in „Opfersysteme“ von Botnetzen – also Systeme, die bereits kompromittiert sind – soll das BKA künftig eindringen können. Wenn aber der Staat ein bereits gehacktes System noch einmal hackt, behebt er den Eingriff nicht, sondern er vertieft ihn.

Außerdem können Maßnahmen der aktiven Cyberabwehr zu unbeabsichtigten Kollateralschäden in den betroffenen Systemen führen. Handelt es sich bspw. um das System eines Krankenhauses, könnten Geräteausfälle die medizinische Versorgung gefährden. Das gilt selbst bei Eingriffen, die Sicherheitslücken schließen sollen, z. B. indem das BKA Software-Updates installiert, um Schwachstellen zu schließen; dies kann die Funktionsfähigkeit des Systems beeinträchtigen. Die Folgen können in diesem Fall neben dem IT-System-Grundrecht auch andere grundrechtlich geschützte Interessen betreffen, zum Beispiel die körperliche Unversehrtheit. Sie müssen deshalb in die Verhältnismäßigkeitsprüfung einbezogen werden.

Entsprechend hoch sind die rechtlichen Hürden. Das Bundesverfassungsgericht hat zuletzt betont, dass solche Eingriffe nur unter engen Voraussetzungen zulässig sind. Angesichts der erheblichen technischen Unsicherheiten und rechtlichen Durchführungsprobleme fällt es schwer, diese zu erfüllen.

Versicherheitlichung statt Sicherheit

Von der selbst suggerierten Leistungsfähigkeit gegen Cyberangriffe ist das Cyberabwehrgesetz daher weit entfernt – rechtlich problematisch und zugleich kaum wirksam. Materiell eröffnet es weitreichende Eingriffsbefugnisse, während Cyberkriminellen der grundrechtliche Schutz durch die Fiktion der „privaten“ Systeme faktisch abgesprochen wird. Gleichzeitig sind die geplanten Maßnahmen nur unter engen formellen Voraussetzungen anwendbar. Die Vorschriften erlauben theoretisch große Handlungsspielräume, doch in der Praxis lassen sie sich nur im Rahmen internationaler Kooperationen nutzen.

Das Cyberabwehrgesetz ist damit ein Paradebeispiel der Versicherheitlichung. Sicherheitsbedrohungen werden politisch zugespitzt, um Handlungsdruck zu erzeugen und weitreichende Instrumente zu legitimieren. Das BMI präsentiert auf komplexe Gefahrenlagen eine vergleichsweise schlichte Antwort: mehr Eingriffsbefugnisse statt holistisches und differenziertes Vorgehen. Dass Cyberangriffe regelmäßig schwer zuzuordnen sind, bleibt dabei unterbelichtet. In der Praxis lassen sich Täter meist erst nach langwierigen und komplexen Ermittlungsverfahren – oft nur durch die Zusammenarbeit vieler Behörden – identifizieren.

In dieser Logik wird Cyberabwehr vor allem als Frage staatlicher Gegenangriffe auf fremde IT-Systeme verstanden. Begriffe wie „Hilfe leisten“ oder „Bewältigung“ sucht man im Entwurf dagegen vergeblich (vgl. lediglich S. 6, wonach zu den Maßnahmen auch „technische Unterstützungsleistungen” gehören sollen). Dabei gehört gerade diese Dimension zum Kern klassischer Gefahrenabwehr: Gefahren sind zu beseitigen, nicht nur Täter zu verfolgen. Cybersicherheit zu stärken bedeutet daher vor allem, Betroffene zu unterstützen.