AUSWIRKUNGEN AUSLÄNDISCHER GESETZGEBUNG AUF DIE DEUTSCHE CYBERSICHERHEIT - forschung-it ...
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
Wissenschaftliche Arbeitsgruppe Nationaler Cyber-Sicherheitsrat
© natali_mis/AdobeStock
AUSWIRKUNGEN AUSLÄNDISCHER GESETZGEBUNG
AUF DIE DEUTSCHE CYBERSICHERHEIT
Impulspapier | November 2021
Zusammenfassung der Regel durch interne Anweisungen, die nicht für die Öf-
Die Cybersicherheit in Deutschland wird nicht nur durch außer- fentlichkeit bestimmt sind. Soweit jedoch Kompetenzen
europäische Nachrichtendienste bedroht, sondern auch durch bestimmt, Behörden koordiniert, Mitarbeiter gesteuert und
ausländische Unternehmen, die durch gesetzliche Vorgaben Private verpflichtet werden müssen, erfolgt dies überwie-
gezwungen sind, die Nachrichtendienste ihres Herkunftsstaates gend in Form von Gesetzen, die auch veröffentlicht werden.
zu unterstützen. Um sich gegen diese Bedrohung zu wehren, ist
Gegenstand dieser Regelungen können zum Beispiel externe
es notwendig, die technologische und wirtschaftliche Abhän-
Interventionen, Sicherung der Herrschaft über den eigenen
gigkeit zu verringern und digitale Souveränität zu stärken. Das
digitalen Kommunikationsraum oder Pflichten zur Unter-
vorliegende Impulspapier untersucht, mit welchen Zielsetzun-
gen und Mitteln ausländische Nachrichtendienste − direkt oder stützung der Nachrichtendienste durch Gestaltung von In-
über in Deutschland operierende Unternehmen − auf die Cy- formationstechnik oder Sammlung von Daten sein.
bersicherheit in Deutschland Einfluss nehmen könnten. Hierzu
werden die jeweiligen Rechtsgrundlagen und rechtlichen Hand- 2 Gesetzliche Grundlagen in den USA
lungsmöglichkeiten analysiert, auf deren Grundlage die Geheim- Die Geheimdienste der USA und ihre gesetzlichen Grund-
dienste agieren. Den Nachrichtendiensten der USA, Russlands lagen sind sehr heterogen. Die zahlreichen Geheimdienste
und Chinas kommt mit ihren Zielsetzungen und Möglichkeiten des Landes kooperieren als US Intelligence Community (IC).
in der derzeitigen politischen Weltlage die größte Bedeutung Eine Gesamtaufsicht erfolgt durch den Director of National
zu. Diese drei Staaten unterhalten die drei weltweit größten Intelligence (DNI). Einzige unabhängige Geheimdienstorga-
nachrichtendienstlichen Infrastrukturen. Daher werden deren
nisation, die nicht einer übergeordneten Bundesbehörde un-
Rechtsgrundlagen für Auslandsaufklärung und Cyberspionage,
tersteht, ist die Central Intelligence Agency (CIA). Inlandsge-
soweit dies auch Deutschland betreffen kann, näher vorgestellt.
heimdienst ist das Federal Bureau of Investigation (FBI), das
Zu diesem Zweck werden für alle drei Staaten die gesetzlichen
Aufgaben und Befugnisse der Nachrichtendienste analysiert auch als dem Justizministerium unterstellte Bundespolizei
sowie ihre Möglichkeiten, Staatsangehörige und Unternehmen fungiert. Größter Auslandsgeheimdienst ist die National Se-
zu ihrer Unterstützung zu verpflichten. Dabei beschränkt sich curity Agency (NSA), die mit der elektronischen Aufklärung
die folgende Analyse auf die Rechtslage in den drei Staaten und betraut ist und den anderen Geheimdiensten zuarbeitet.
stellt keine Spekulationen an, wie die Nachrichtendienste ihre
gesetzlichen Aufgaben in der Praxis erfüllen und von ihren Be- 2.1 Gesetzliche Aufgaben
fugnissen Gebrauch machen. Ein wesentliches Fundament der geheimdienstlichen Tä-
tigkeit in den USA ist der Präsidialerlass „Executive Order
1 Nationale Gesetzgebung für Nachrichtendienste 12333“ vom 4. Dezember 1981, weitgehend neu gefasst
Das Völkerrecht kennt zwar allgemeine Verbote zur Gewalt- durch „Executive Order 13470“ vom 30. Juli 2008. Der Erlass
ausübung, zu Interventionen mit Zwangscharakter oder betrifft vor allem die Überwachung von Datenströmen au-
zu anderen Verletzungen der Souveränität eines anderen ßerhalb des Territoriums der USA (Data in Transit). Überge-
Staates. Völkerrechtlich ungeregelt ist jedoch die Spionage ordnetes Ziel des „United States Intelligence Effort“ („nach-
oder sonstige Informationssammlung. Sie ist damit völker- richtendienstliche Aktivitäten der USA“) ist es danach, den
rechtlich weder erlaubt noch verboten. Daher steht es den Präsidenten, den National Security Council und den Home-
nationalen Gesetzgebern frei, die Informationssammlung land Security Council mit notwendigen Informationen zur
und -verarbeitung durch die eigenen Nachrichtendienste Entscheidungsfindung auszustatten. Informationssamm-
zu regeln. Strategische und taktische Vorgaben erfolgen in lungen über „US-Persons“ (US-Bürger) haben nach einem
Impulspapier | November 2021 1Wissenschaftliche Arbeitsgruppe Nationaler Cyber-Sicherheitsrat
vom Attorney General (Generalstaatsanwalt) genehmigten 2.3 Indienstnahme von Unternehmen und Staatsangehörigen
Verfahren zu erfolgen. Ihnen gegenüber sind die „least intru- Das US-Recht ermöglicht eine umfassende Indienstnah-
sive collection techniques feasible“ („möglichst wenig in die me von US-Unternehmen, insbesondere von Anbietern von
Privatsphäre eingreifende Erhebungsmethoden“) einzuset- Kommunikationsdienstleistungen oder von „remote com-
zen. Effektive Restriktionen bezogen auf Non-US-Persons puting services“. Insbesondere der CLOUD Act zielt auf eine
(Nicht-US-Bürger) bestehen nicht. Die „Presidential Policy eindeutige Rechtsgrundlage für einen weltweiten Daten-
Directive 28“ (PPD-28) aus dem Jahr 2014 betrifft die Sig- zugriff. Er etabliert durch Vorschrift 18 U.S.C. § 2713 eine
nal Intelligence (Fernmelde- und elektronische Aufklärung). Pflicht der Provider, alle Inhalte elektronischer Kommunika-
Sie formuliert Ziele der „collection in bulk“ („Massensamm- tion auf Antrag zu erfassen und zu speichern sowie alle ge-
lung“), zu denen auch die Aufdeckung und Bekämpfung von speicherten Informationen zur Verfügung zu stellen, unab-
„cybersecurity threats“ („Cybersicherheitsbedrohungen“) hängig davon, wo sie aufbewahrt werden. Die Informationen
gehört. Ausgeschlossen wird eine Nutzung von Signal In- müssen sich lediglich auf einen „customer“ (Kunden) bezie-
telligence zu Zwecken der Wirtschaftsspionage. Diese Ein- hen und sich im Besitz, der Obhut oder unter der Kontrol-
schränkung bestand vor 2014 nicht. Interne Zielsetzungen le des Providers befinden. Zur Abmilderung von Konflikten
der NSA, die im Zuge der Snowden-Enthüllungen publik mit anderen Rechtsordnungen sieht der Vorschrift 18 U.S.C.
wurden, beschreiben unter anderem mit „owning the In- § 2523 sogenannte „executive agreements“ („Exekutivver-
ternet“ („Herrschaft über das Internet“) sehr ambitionierte träge“) mit anderen Staaten vor. Ein solches „Agreement“
Ziele geheimdienstlicher Tätigkeit mit signifikanten Implika- wurde bisher aber nur mit Großbritannien geschlossen. Ent-
tionen für den Bereich der Cybersicherheit. steht ein solcher Konflikt, kann der Provider eine gerichtli-
che Abwägungsentscheidung anstreben. Nach Vorschrift 18
2.2 Gesetzliche Befugnisse U.S.C. § 2709 kann das FBI zudem sogenannte „National Se-
Rechtliche Rahmenbedingungen der elektronischen Auf- curity Letter“ („Brief zur Nationalen Sicherheit“) ausstellen,
klärung wurden erstmals 1978 mit dem FISA Act (Foreign die US-Unternehmen und -Staatsangehörige zur Koopera-
Intelligence Surveillance Act) festgelegt. Größere Überarbei- tion mit Sicherheitsbehörden verpflichten. Über Erhalt und
tungen erfolgten durch den USA PATRIOT Act 2001 (Uniting Inhalt eines National Security Letter darf der Adressat ge-
and Strengthening America by Providing Appropriate Tools genüber Dritten keine Angaben machen.
Required to Intercept and Obstruct Terrorism Act), den Pro-
tection of America Act 2007, den FISA Amendments Act 3 Gesetzliche Grundlagen in Russland
2008, den USA FREEDOM Act 2015 (Uniting and Strengthe- Die wichtigsten Nachrichtendienste der Russischen Födera-
ning America by Fulfilling Rights and Ensuring Effective Dis- tion (RF) sind der Inlandsnachrichtendienst FSB (Federalnaja
cipline Over Monitoring Act), den CLOUD Act 2018 (Clarify- Slushba Besopasnosti), der Auslandsnachrichtendienst SWR
ing Lawful Overseas Use of Data Act) und weitere Gesetze. (Slushba Wneschnej Raswedki) und der Militärische Aus-
landsnachrichtendienst GRU (Glawnoje Raswedywatelnoje
FISA ermöglicht in Abschnitt 702 die Aufklärung der Kom- Uprawlenije).
munikation von Ausländern ohne richterliche Anordnung.
Vor allem die Vorschrift „50 U.S.C. § 1881a“ regelt „Procedu- 3.1 Gesetzliche Aufgaben
res for Targeting Certain Persons Outside the United States Seit 2014 sind eine Vielzahl von Gesetzen zum Tätigkeitsbe-
Other Than United States Persons” („Verfahren zur gezielten reich der Nachrichtendienste der RF ergangen, die auf die
Überwachung von Nicht-US-Bürgern außerhalb der Verei- umfassende Überwachung der Informationsgesellschaft ab-
nigten Staaten“) und ermöglicht den Erlass einer „order re- zielen.
quiring the production of any tangible things“ („Anordnung,
die die Produktion jeglicher greifbaren Dinge vorschreibt“). Die Aufgaben des FSB umfassen nach dem Föderalen Ge-
Mit dem Erlass des FISA erfolgte auch die Einrichtung des setz (FG) „Über den Bundessicherheitsdienst“ vom 3. April
Foreign Intelligence Surveillance Court (FISC), dem geheim- 1995 Nr. 40-FZ die Spionageabwehr, die Beobachtung op-
dienstliche Programme (wie zum Beispiel Planning tool for positioneller Gruppierungen sowie die Bekämpfung von Ex-
Resource Integration, Synchronization, and Management tremismus, Terrorismus und Organisierter Kriminalität. Zur
(PRISM) oder Upstream) und Maßnahmen zur Genehmi- Gewährleistung der Informationssicherheit hat der FSB auch
gung vorzulegen sind. Dieser tagt nicht öffentlich. Für US- die Aufgabe, die eingesetzte Informationstechnik in der RF
Ausländer besteht kein Rechtsschutz gegenüber US-Nach- einschließlich der Kryptografie so zu gestalten, dass er sei-
richtendiensten. nen Überwachungsauftrag erfüllen kann. Zudem hat der
Nachrichtendienst die Aufgabe, Wirtschafts-, Technologie-
Impulspapier | November 2021 2Wissenschaftliche Arbeitsgruppe Nationaler Cyber-Sicherheitsrat
und Militärspionage vom Boden der RF aus zu betreiben. In zur Überwindung von Zugriffskontrollen oder zur Erpres-
Einzelfällen führt der FSB Gegenspionage auch im Ausland sung genutzt werden können.
durch.
Allen Nachrichtendiensten der RF ist erlaubt, zur Tarnung
Nach dem FG „Über den Auslandsnachrichtendienst“ vom ihrer Aktivitäten Unternehmen, Forschungsorganisationen,
10. Januar 1996 Nr. 5-FZ ist der SWR für Spionage in den Bildungseinrichtungen und ähnliche Organisationen zu
Bereichen Politik, Wirtschaft, Wissenschaft und Techno- gründen und zu betreiben oder in bestehenden Institutionen
logie zuständig. Zu seinen Zielen gehören ausdrücklich die eigene Abteilungen zu bilden.
Unterstützung der wirtschaftlichen Entwicklung, des wis-
senschaftlichen und technologischen Fortschritts und der 3.3 Indienstnahme von Unternehmen und Staatsangehörigen
militärtechnischen Sicherheit. Weitere Aufgaben sind Ge- Nach Artikel 15 FG 1995 Nr. 40-FZ sind Unternehmen, Ins-
genspionage, elektronische Aufklärung sowie die Bekämp- titutionen und Organisationen unabhängig von ihrer Eigen-
fung von Proliferation und Terrorismus. tumsform verpflichtet, den FSB in seiner Aufgabenerfüllung
zu unterstützen. Zusätzlich sind natürliche und juristische
Die Aufgaben des GRU bestehen in der Beschaffung von In- Personen, die in der RF Postdienstleistungen, Telekommu-
formationen in den Bereichen Militär und Sicherheitspolitik. nikation und andere Kommunikationssysteme betreiben,
Sie sind in mehreren Gesetzen festgehalten, unter anderem verpflichtet, auf Verlangen des FSB zusätzliche Ausrüstung
im FG „Über die Verteidigung“ vom 31. Mai 1996 Nr. 61-FZ und Software in ihre Hardware einzubauen sowie andere Be-
und im FG „Über die Sicherheit“ vom 28. Dezember 2010 Nr. dingungen zu schaffen, die für die operative und technische
390-FZ. Zu den Zielen des GRU zählen auch die Förderung Tätigkeit des FSB erforderlich sind. Zu diesem Zwecke kön-
der wirtschaftlichen Entwicklung des Landes, des wissen- nen zudem Mitarbeiter des FSB in diese Stellen abgeordnet
schaftlichen und technologischen Fortschritts und der mili- werden.
tärischtechnischen Sicherheit der RF.
Dem SWR ist es nach Artikel 6 Abs. 2 FG 1996 Nr. 5-FZ ge-
3.2 Gesetzliche Befugnisse stattet, Informations- und Kommunikationssysteme sowie
Für Aktivitäten im Ausland ist vor allem der SWR zuständig, Sicherheitstechnik zu entwickeln, herzustellen und zu be-
aber auch der FSB und der GRU haben Kompetenzen, um treiben sowie zu lizenzieren und zu zertifizieren. Soweit es
in der Verfolgung ihrer Aufgaben im Ausland tätig zu wer- dem SWR gelingt, solche Geräte oder Systeme zu verbreiten,
den. Der SWR kann nach den gesetzlichen Grundlagen of- dürfte er auch auf diese zugreifen, Daten erheben und Funk-
fene und verdeckte Methoden und Mittel einsetzen, deren tionen manipulieren können.
konkreter Charakter durch die gegebenen Bedingungen be-
stimmt wird. Die nachrichtendienstlichen Tätigkeiten führen 4 Gesetzliche Grundlagen in China
entweder unabhängige Agenturen oder Mitarbeiter des SWR Die Volksrepublik China (VRC) unterhält mehrere Geheim-
durch, die in anderen Exekutivorganen der RF – wie etwa dienste, die in der Lage sind, Cyberspionage durchzuführen.
dem diplomatischen Dienst – arbeiten. Das Ministerium für Staatssicherheit (MSS) ist für die Aus-
landsaufklärung, die nichtmilitärische Auslandsspionage und
Befugnisse des FSB ergeben sich aus dem FG 1995 Nr. 40- die politische Sicherheit zuständig. Die ihm unterstehenden
FZ sowie unter anderem aus dem FG „Über operative Such- „Ämter für Staatssicherheit“ sind sowohl in China selbst als
aktivitäten“ 1995 Nr. 144-FZ. Sie ermöglichen dem FSB, die auch im Ausland aktiv. Auch sind mehrere Abteilungen der
technisch unterstützte Kommunikation in der RF vollkom- Volksbefreiungsarmee mit militärischen Aufklärungs- und
men zu kontrollieren. Telekommunikationsunternehmen Spionageabwehroperationen sowie Wirtschaftsspionage be-
sind verpflichtet, Metadaten für die Dauer von drei Jahren fasst. Bis 2014 war das chinesische System der Geheimpo-
und Inhaltsdaten für die Dauer von sechs Monaten zu spei- lizeien und Nachrichtendienste zum größten Teil gesetzlich
chern, Internet-Service-Provider für die Dauer von zwölf ungeregelt. Ihnen dienten allgemeine Ministerialanweisun-
beziehungsweise sechs Monaten. Die Unternehmen müs- gen zur Orientierung in der Praxis. Seit 2014 erließ die VRC
sen die Daten in eigenen Einrichtungen auf dem Gebiet der jedoch sukzessive ein Paket von Gesetzen zur nationalen
RF speichern und dem FSB zur Verfügung stellen. Sie sind Sicherheit, insbesondere zur Cybersicherheit. Diese Gesetze
außerdem zum Einbau technischer Mittel verpflichtet. Ver- zielen darauf ab, die rechtliche Grundlage für Chinas Sicher-
schlüsselungstechnik muss durch den FSB genehmigt wer- heitsaktivitäten zu stärken und chinesische und ausländische
den. Der FSB sammelt in großem Umfang biometrische, ge- Bürger, Unternehmen und Organisationen zur Zusammen-
nomische und biologische Daten – von Ausländern vor allem arbeit zu verpflichten.
im Rahmen von Grenzkontrollen –, die zur Identifizierung,
Impulspapier | November 2021 3Wissenschaftliche Arbeitsgruppe Nationaler Cyber-Sicherheitsrat
4.1 Gesetzliche Aufgaben gelten. Generell ist es in China nicht verboten, Daten außer-
Das Gesetz zur Spionageabwehr 2014 (CEL), das Gesetz halb des Staatsgebiets zu übertragen. Eine Datenlokalisie-
zur nationalen Sicherheit 2015 (NatS), das Gesetz zur Ter- rung gilt jedoch für die Betreiber von Kritischen Infrastruk-
rorismusbekämpfung 2015 (CTL), das Gesetz zur Cybersi- turen. Sie müssen persönliche Informationen und wichtige
cherheit 2016 (ergänzt 2018) (CSL), das Kryptografiegesetz Daten in China speichern. Dagegen sind Netzwerkbetreiber
2020 (CrypL), das Gesetz zur Sicherheit personenbezogener nur verpflichtet, eine Sicherheitsbewertung durchführen,
Informationen 2021 (PIPL) und das Gesetz zur Datensicher- wenn sie personenbezogene Daten außerhalb Chinas über-
heit 2021 (DSL) beschreiben die Aufgaben der Sicherheits- tragen. Wenn die Datenübertragung die nationale Sicherheit
behörden und Nachrichtendienste und die Pflichten von oder das öffentliche Interesse beeinträchtigen könnte, sol-
Organisationen, Unternehmen und Staatsangehörigen für len die Netzwerkbetreiber allerdings die Übertragung unter-
die Abwehr von Spionage und die Gewährleistung innerer lassen. Dies gilt ebenso, wenn die Datensicherheit während
Sicherheit. Das NatS gibt vor, dass die nationale Sicherheit der Datenübertragung gefährdet ist. Vorgaben zur Daten-
aufrechtzuerhalten und die demokratische Volksherrschaft lokalisierung in China gibt es in vielen bereichsspezifischen
und das sozialistische System mit chinesischen Merkmalen Regelungen wie zum Beispiel für Staatsgeheimnisse, für me-
unter der Führung der Kommunistischen Partei Chinas zu dizinische Daten, für Finanzdaten und Daten von Kreditaus-
schützen sind. kunfteien. Auch für Daten von Online-Taxi-Plattformen, von
Fahrrad-Verleihern und von Internet-Kartenanbietern gibt
Geheimdienstliche Aktivitäten im Ausland regelt vor allem es besondere Regelungen.
das Nationale Geheimdienstgesetz von 2017 (NIL). Danach
sollen die Nachrichtendienste nicht nur politische Ziele ver- 4.3 Indienstnahme von Unternehmen und Staatsangehörigen
folgen, sondern auch wirtschaftliche und soziale Interessen Fast alle Sicherheitsgesetze begründen rechtliche Pflichten
Chinas unterstützen. Sie sollen vor allem nachrichtendienst- für chinesische Staatsangehörige, Unternehmen und Orga-
liche Informationen zur Entscheidungsfindung für nationa- nisationen, in einigen Fällen auch für ausländische Akteure,
le Instanzen liefern. Sie haben aber auch die Aufgabe, eine die in China tätig sind, nachrichtendienstliche Aktivitäten zu
Informationsbasis aufzubereiten, die hilft, problematische unterstützen. Dabei müssen sie „alle Geheimnisse der staat-
Personen und Institutionen zu identifizieren sowie ihre Akti- lichen Geheimdienstarbeit, von denen sie Kenntnis haben“,
vitäten zu verhindern und zu bestrafen. wahren. Diese Klauseln legen nicht fest, dass nur chinesische
„Organisationen“ diesen Anforderungen unterliegen. Daher
4.2 Gesetzliche Befugnisse ist davon auszugehen, dass das NIL für alle Organisationen
Für diese Aufgaben können die Sicherheitsbehörden und in China gilt, unabhängig von den Eigentumsverhältnissen.
Nachrichtendienste auf alle notwendigen Befugnisse zu- Das Gesetz gilt weltweit für alle chinesischen Konzerne und
rückgreifen. Sie können zum Beispiel technische Ermitt- ihre Tochtergesellschaften und auch für sich im Ausland be-
lungsmaßnahmen anwenden und ihre Identität verschleiern. findliche Staatsangehörige.
Sie können Nachforschungen bei allen relevanten Institu-
tionen, Organisationen und Personen anstellen, alle Orte 5 Schlussfolgerungen für die Bedrohung der
betreten und alle relevanten Akten, Materialien oder Ge- Cybersicherheit
genstände lesen und sammeln. Sie können auch Kommuni- Für die Cybersicherheit in Deutschland ergeben sich allein
kationsausrüstungen, Transportmittel, Gebäude und andere schon aus der Analyse der gesetzlichen Regelungen in den
Einrichtungen beschlagnahmen. Das CTL ermächtigt, Anti- drei untersuchten Staaten wichtige Schlussfolgerungen:
Terror-Operationen auch im Ausland durchzuführen.
In allen drei Staaten sind einheimische Unternehmen und
Das CryptL regelt den Einsatz von Verschlüsselungstechno- Staatsangehörige verpflichtet, mit den Nachrichtendiens-
logien und -produkten in China und gibt der chinesischen ten weltweit zusammenzuarbeiten. Die Nachrichtendiens-
State Cryptography Administration (SCA) Zugriff auf alle te können außerdem eigene (Tarn-)Unternehmen gründen
verschlüsselten Daten. Artikel 18 CTL bestimmt, dass Inter- oder eigene Mitarbeitende in bestehende Unternehmen
net-Service-Provider den Anti-Terror-Behörden technische einschleusen. Diese Pflichten können auch für ausländi-
Schnittstellen, Entschlüsselung und andere technische Hilfe sche Töchter deutscher Organisationen gelten, die in den
und Unterstützung anbieten müssen. untersuchten Staaten tätig sind. Mit dieser Indienstnahme
erweitern die Nachrichtendienste ihre Reichweite und ihre
Sowohl das CSL als auch das PIPL und das DSL regeln, wann Aktionsmöglichkeiten erheblich. Sie wirken in Deutschland
Datenübertragungen aus China in Drittländer erfolgen dür- oder in der Kommunikation mit deutschen Stellen als „Tro-
fen und welche Anforderungen an die Datenlokalisierung janische Pferde“. Ihnen ist ihre Funktion für die nachrich-
Impulspapier | November 2021 4Wissenschaftliche Arbeitsgruppe Nationaler Cyber-Sicherheitsrat
tendienstliche Tätigkeit nicht anzusehen. Gerade dadurch beitsgruppe Nationaler Cybersicherheitsrat bereits in ihrem
können sie in besonderer Weise zu nachrichtendienstlichen Impulspapier „Technologische Souveränität: Voraussetzung
Erfolgen beitragen. für die Cybersicherheit“ vom Dezember 2019. Diese umfass-
ten unter anderem
In Russland und China beherrschen die Nachrichtendienste
den nationalen Kommunikationsraum beinahe vollständig. f die Bereitstellung sicherer Dateninfrastrukturen und die
In beiden Staaten müssen Daten im eigenen Land gespei- Zertifizierung kritischer Netzkomponenten,
chert werden, um jederzeit auf sie zugreifen zu können. Dort f die Entwicklung sicherer Hardwarealternativen, basie-
können die Nachrichtendienste den Kommunikationsraum rend auf Open-Source-Hardware,
jederzeit weitgehend abschotten und die Kommunikation f die Zertifizierung von KI-Systemen,
mit anderen Staaten unterbinden – mit starken Auswir- f eine gezielte Industriepolitik für sichere Infrastrukturen
kungen zum Beispiel auf erforderliche Datenübertragun- und alternative Produkte und Dienste,
gen (etwa beim Cloud-Computing). In den USA können die f eine transferorientierte Förderung von Forschungs- und
Nachrichtendienste von allen Providern Unterstützung ein- Entwicklungsanstrengungen,
fordern. f die Stärkung der Fachkräfteausbildung und
f geeignete rechtliche Rahmenbedingungen.
Schließlich haben die Nachrichtendienste in den drei unter-
suchten Staaten potenziell Zugriff auf alle dort gespeicher- Die Notwendigkeit, digitale Souveränität zu erlangen, hat
ten Daten. Dies gilt auch für alle die Daten, die Organisa- auch das Urteil des Europäischen Gerichtshofs vom 16. Juli
tionen aus diesen Staaten und ihren Tochterorganisationen 2020 (C‑311/18 – Schrems II) zur Unionsrechtswidrigkeit
anvertraut werden – insbesondere, wenn diese eine gewisse des Abkommens der Europäischen Union mit den USA „Pri-
Bedeutung für nachrichtendienstliche Zwecke haben, wie vacy Shield“ betont. Dieses verbietet die Übertragung perso-
zum Beispiel Wirtschafts-, Finanz-, Forschungs- und Ge- nenbezogener Daten in alle Drittstaaten, wenn nicht durch
sundheitsdaten. ausreichende Garantien ein Zugriff der Nachrichtendienste
ausgeschlossen werden kann. Da dies durch bilaterale Ab-
6 Empfohlene Cybersicherheitsmaßnahmen sprachen mit den Datenempfängern nicht möglich erscheint,
Zur Stärkung der Cybersicherheit Deutschlands und Europas kann dem Gebot nur dadurch entsprochen werden, dass
sind die üblichen Sicherheitsmaßnahmen zum Erkennen von
Angriffen und zu deren Abwehr durch ausländische Nach- f die Datenverarbeitung in der Europäischen Union
richtendienste sowie zur Begrenzung von möglichen Schä- erfolgt,
den zu ergreifen. Außerdem ist zu versuchen, durch inter- f die Daten technisch-organisatorisch vor dem Zugriff von
nationale Abkommen Cybersicherheit zu gewährleisten und Nachrichtendiensten geschützt sind (zum Beispiel durch
massenhafte Ausspähung zu verhindern. Zudem gilt es, auf Verschlüsselung und Treuhänder) oder
diplomatischem Weg bilateral mit den untersuchten Staaten f keine Datenverarbeitung durch Unternehmen erfolgt, die
Verbesserungen der gegenseitigen Sicherheit zu erreichen. den jeweiligen Nachrichtendiensten verpflichtet sind.
Darüber hinaus sei auf folgende Aspekte hingewiesen.
Dies ist realistisch nur dann möglich, wenn die technologi-
Gegenüber den Handlungsmöglichkeiten von US-Nachrich- sche Abhängigkeit von solchen Unternehmen reduziert wird
tendiensten erlangen vor dem dargestellten Hintergrund die und Alternativen aus der Europäischen Union unterstützt
Bemühungen in Deutschland und der Europäischen Union werden. Als ein Beispiel hierfür kann die Initiative Gaia-X zur
um digitale Souveränität besondere Bedeutung. Für dieses Vereinbarung von Standards dezentraler Cloud-Angebote
Thema hat sich Deutschland zum Beispiel in seiner Präsi- gesehen werden, die sich an europäischen Werten orientie-
dentschaft im Rat der Europäischen Union im Jahr 2020 ren. Darüber hinaus sollten die öffentlichen Stellen im Bund
besonders stark gemacht. In gewisser Weise muss die digi- und in den Ländern mit guten Beispielen vorangehen (zum
tale Souveränität auch mit Blick auf chinesische Nachrich- Beispiel Vergabeverfahren, eigene IT-Nutzung, Auftragsver-
tendienste zentrale Bestrebung sein. Digitale Souveränität arbeitungen) und ihre IT-Nutzung schrittweise auf diese Al-
ist nicht nur eine Frage der Wettbewerbsfähigkeit, der po- ternativen umstellen.
litischen Selbstbestimmung, der Innovationskraft und der
Sicherung der Rechtsstaatlichkeit, sondern sie ist auch zen- Unternehmen in der Europäischen Union sind gegenüber
tral zur Gewährleistung von Cybersicherheit. Vorschläge für Direktiven aus dem Ausland zur Übermittlung von per-
Maßnahmen hierzu unterbreitete die Wissenschaftliche Ar- sonenbezogenen Daten durch Art. 48 DSGVO geschützt.
Impulspapier | November 2021 5Wissenschaftliche Arbeitsgruppe Nationaler Cyber-Sicherheitsrat
Dieser Schutz schließt jedoch nicht aus, dass ausländische bereits in ihrem Impulspapier „Gefährdung demokratischer
Unternehmen in der Europäischen Union, die einer solchen Willensbildung durch Desinformation“ vom Dezember 2019.
Direktive nicht folgen, in ihrem Heimatstaat sanktioniert Diese umfassten neben dem verbesserten Netzwerkdurch-
werden. setzungsgesetz unter anderem
Die Europäische Kommission wird von Art. 50 DSGVO und f technische und organisatorische Maßnahmen zum
Art. 40 JI-RL (2016/680) aufgefordert, internationale Maß- Erkennen von Trollen, Social Bots und Microtargeting
nahmen zum Schutz personenbezogener Daten in Drittlän- sowie zum Unterbinden rechtswidriger Aktionen,
dern zu vereinbaren. Die beiden zentralen Kritikpunkte des f Kennzeichnungspflichten für den Einsatz von Social Bots
Europäischen Gerichtshofs an der Rechtslage in den USA und Microtargeting,
sind jedoch die unbestimmten und unverhältnismäßigen f weitere Forschungen, wie technisch – auch mit Künst-
Zugriffsrechte der Nachrichtendienste auf alle erreichbaren licher Intelligenz – Desinformationen, Manipulationen,
Daten und der Ausschluss eines adäquaten Rechtswegs von Deep Fakes, Trolle und Malicious Social Bots und ihre
US-Ausländern (EuGH C‑311/18 Rn. 165 ff.). Solange diese Verbreitungswege erkannt, gekennzeichnet, gesperrt
Rechtslage bestehen bleibt, wird auch ein dritter Versuch und gelöscht werden können,
der Europäischen Kommission zu einem Datenschutzab- f eine Pflicht der Betreiber von Social Networks – anony-
kommen mit den USA (nach Safe Harbor und Privacy Shield) misierte oder pseudonymisierte – Kommunikationsdaten
scheitern. Das Gleiche gilt auch für alle anderen Staaten, in aus ihren Netzwerken der Forschung zur Verfügung zu
denen die Datenschutzregelungen deutlich unter dem Ni- stellen,
veau der Europäischen Union liegen. f die Steigerung von Medienkompetenz, zu der auch die
Sensibilisierung gegenüber Desinformation und eine
Gegenüber russischen Nachrichtendiensten ist weniger die Vermittlung der Charakteristik journalistischer Qualitäts-
digitale Abhängigkeit ein Problem, sondern die Probleme standards gehören,
liegen vielmehr in der Beeinflussung der demokratischen f Hinweise für Bürgerinnen und Bürger, wie Desinformati-
Willensbildung durch Desinformation. Dies gilt mit Abstri- onen erkannt werden können und wie mit Desinforma-
chen auch gegenüber chinesischen Nachrichtendiensten. tionen umzugehen ist (nicht weiterverbreiten, Freunde
Vorschläge für Maßnahmen hiergegen unterbreitete die Wis- warnen, dem Betreiber des Social Networks melden,
senschaftliche Arbeitsgruppe Nationaler Cybersicherheitsrat Anzeige erstatten).
Wissenschaftliche Arbeitsgruppe Nationaler Cyber-Sicherheitsrat
Seit Oktober 2018 unterstützt die Wissenschaftliche Arbeitsgruppe den Nationalen Cyber-Sicherheitsrat. Sie berät aus Perspektive der
Forschung zu Entwicklungen und Herausforderungen im Hinblick auf eine sichere, vertrauenswürdige und nachhaltige Digitalisierung.
Mitglieder der Wissenschaftlichen Arbeitsgruppe sind: Thomas Caspers, Prof. Dr. Gabi Dreo Rodosek, Prof. Dr. Claudia Eckert, Prof. Dr. Jörn
Müller-Quade, Prof. Dr.-Ing. Christof Paar, Prof. Dr. Alexander Roßnagel (Hauptautor dieses Impulspapiers), Prof. Dr. Michael Waidner
Impulspapier | November 2021 6Sie können auch lesen
