Abwehr von Cyberangriffen: Experte hält neue BND-Befugnisse für verfassungswidrig

Darf der Bundesnachrichtendienst (BND) künftig das Internet überwachen, um Cyberangriffe abzuwehren? In dieser Frage sind sich Verfassungsrechtler uneins, wie eine Anhörung im Bundestag ergeben hat. Während der Karlsruher Jura-Professor Matthias Bäcker am Montag in Berlin verfassungsrechtliche Bedenken äußerte, hält Heinrich Amadeus Wolff von der Uni Bayreuth den "Einbezug des Cyber-Raums in die strategische Fernmeldekontrolle" für "angemessen". Der Berliner Jura-Professor Hartmut Aden sieht "gravierende Mängel", was die Sammlung, Auswertung und Übermittlung von Daten durch die Verfassungsschutzämter betrifft. Er empfiehlt, den Entwurf der Bundesregierung zur Verfassungsschutzreform grundlegend zu überarbeiten.

Mit dem Gesetz zur Verbesserung der Zusammenarbeit im Bereich des Verfassungsschutzes sollen unter anderem Defizite bei den Geheimdiensten beseitigt werden, die nach der Aufdeckung der Ermordung ausländischer Bürger durch das rechtsextreme Terrortrio NSU festgestellt worden waren. Zwar stehen die neuen Kompetenzen für den BND damit nicht im direkten Zusammenhang, jedoch soll dem Auslandsgeheimdienst gleichzeitig das Recht eingeräumt werden, personenbezogene Daten an den Verfassungsschutz und den Militärischen Abschirmdienst (MAD) weiterzuleiten.

Einschränkung zu unspezifisch

Konkret darf der BND in Zukunft die Kommunikation nach Informationen durchsuchen, um die Gefahr "des internationalen kriminellen, terroristischen oder staatlichen Angriffs mittels Schadprogrammen oder vergleichbaren schädlich wirkenden informationstechnischen Mitteln auf die Vertraulichkeit, Integrität oder Verfügbarkeit von IT-Systemen in Fällen von erheblicher Bedeutung mit Bezug zur Bundesrepublik Deutschland" zu erkennen und dieser zu begegnen.

Nach Ansicht Bäckers steht die geplante Regelung mit dem Fernmeldegeheimnis des Artikels 10 des Grundgesetzes nicht vollständig in Einklang. "Bedenklich ist sie vor allem insoweit, als sie auch Angriffe mit kriminellem Ziel erfassen soll", heißt es in der Stellungnahme. Das Bundesverfassungsgericht habe bereits 1999 in einer Entscheidung zum Artikel-10-Gesetz deutlich gemacht, "dass nicht jede Form internationaler organisierter Kriminalität hinreichend schwer wiegt, um strategische Telekommunikationsüberwachungen zu rechtfertigen". Die Einschränkung, dass es sich um Fälle "von erheblicher Bedeutung" handeln müsse, ändert daran nichts, "da sie zu unbestimmt und unspezifisch ausfällt".

DDoS-Attacken durch Überwachung verhindern?

Das sieht der Bayreuther Jura-Professor Wolff jedoch anders. Die Erweiterung der BND-Kompetenzen sei "ausgesprochen zu begrüßen", schreibt er in seiner Stellungnahme. Die Parallelität von "Bezug zur Bundesrepublik Deutschland" und "erhebliche Bedeutung" sowie die Parallelität von "international, kriminell und staatlich" dürften die betroffenen Vorgänge auf diejenigen beschränken, die nachrichtendienstlich relevant seien.

Der BND darf laut Artikel-10-Gesetz bis zu 20 Prozent des internationalen Fernmeldeverkehrs zwischen Deutschland und dem Ausland nach Stichworten durchsuchen. Statistiken zur Zahl der abgefragten Stichwörter und herausgefilterten E-Mails teilt der BND regelmäßig dem Parlamentarischen Kontrollgremium mit. Die Frage, ob und wie der 20-Prozent-Anteil eingehalten wird, bleibt dabei außen vor.

Wie der BND die strategische Fernmeldeaufklärung allerdings nutzen will, um Cyberangriffe abzuwehren, erscheint unklar. Will der Geheimdienst etwa die Kommunikation mit Virenscannern überwachen, um Angriffe auf bestimmte Einrichtungen zu erkennen? Oder bestimmte IP-Adressen kontrollieren, die schon einmal von Hackern benutzt wurden? Der Gesetzesbegründung zufolge soll der BND auf diese Weise auch die Gefahren von DDoS-Angriffen, Phishing oder der "Hardwaremanipulation von Netzwerkgeräten" erkennen. Die Wahrscheinlichkeit, dass sich Hacker in abgefischten E-Mails über solche Attacken absprechen, ist eher gering.

Kritik von eco und Voßhoff

Das geplante Gesetz erlaubt den Geheimdiensten zudem das Abhören der Telekommunikation bei Computerdelikten, die sich gegen die "innere oder äußere Sicherheit der Bundesrepublik Deutschland" richten. Diese Pläne werden von den Verfassungsexperten nicht beanstandet. Der IT-Branchenverband eco hatte hingegen die Ausweitung der Überwachungsbefugnisse generell kritisiert. "Die stetige Intensivierung der Überwachung im Internet sowie die Bestrebungen zur Etablierung neuer Maßnahmen sind für das Vertrauen der Gesellschaft in das Kommunikationsmedium Internet bedenklich", hieß es in einer Mitteilung.

Ursprünglich sollten die Befugnisse des Geheimdienstes zur Beschränkung des Fernmeldegeheimnisses offenbar noch weiter ausgedehnt werden. Die Bundesdatenschutzbeauftragte Andrea Voßhoff schrieb in ihrer Stellungnahme zum Entwurf laut netzpolitik.org: "Die geplanten Änderungen zum Artikel-10-Gesetz zu Angriffen auf IT-Systeme sind nach meiner Kritik in der Ressortberatung eingeschränkt worden." Ihre generelle Kritik an dem Entwurf durfte Voßhoff in der Anhörung vom Montag jedoch nicht anbringen. Das wollte sich die Unionsfraktion offenbar nicht zumuten.