CCCStuttgart

Cybersicherheitsagentur - Antwort auf unsere Stellungnahme
Landesregierung veröffentlicht ihre Haltung

Anfang November 2020 haben wir und über 20 weitere Vereine, Universitäten, Firmen und Organisationen zum Gesetzentwurf zur “Verbesserung der Cybersicherheit” eine Stellungnahme abgegeben.

Nun hat die Landesregierung die wesentlichen Ergebnisse der Anhörungen und ihre Haltung zu den Ausführungen veröffentlicht (ab S. 89).

Für alle, die nur die Haltung der Landesregierung zu unserer Stellungnahme interessiert, hier alle Punkte auf einen Blick:

CCCS: Um den unzweideutigen Auftrag („Verbesserung der Cybersicherheit“) ohne Interessenkonflikt folgen zu können, dürfe die Cybersicherheitsagentur nicht dem Innenministerium unterstellt werden, vielmehr solle sie einen unzweifelhaften Status als unabhängige Landesbehörde erhalten. Sollte die Cybersicherheitsagentur Baden-Württemberg dem Innenministerium unterstehen, könne diese ihren Auftrag nicht kompromisslos gerecht werden, weil demselben Ministerium unterstellten Behörden konträre Interessen verfolgen (z.B. Nutzung von Sicherheitslücken zur Quellen-TKÜ). Ein solche Unabhängigkeit habe sich beispielsweise beim LfDI deutlich positiv bemerkbar gemacht und das Vertrauen von Bürgern und Unternehmen in die Institution gestärkt.

Landesregierung: Das angeführte Beispiel der oder des Landesbeauftragten für den Datenschutz und die Informationsfreiheit zeigt, dass in einigen Fällen konträre Interessen wie der Datenschutz und die Informationsfreiheit in einer Behörde angemessen miteinander abgewogen werden können. Die Unabhängigkeit des Landesbeauftragten beruht auf der Vorgabe der Artikeln 51 ff. der Verordnung (EU) 2016/679. Die Unabhängigkeit der Mitglieder des Rechnungshofs beruht auf Artikel 83 Absatz 2 Satz 2 der Landesverfassung. Im Übrigen ist nach deutschem und baden-württembergischem Verfassungsrecht eine Unabhängigkeit von Behörden nur schwer mit dem Demokratieprinzip in Einklang zu bringen ist. „Verfassungsrechtlich wird der notwendige Zurechnungszusammenhang zwischen Volk und staatlicher Herrschaft vor allem durch die Wahl des Parlaments, durch die von ihm beschlossenen Gesetze als Maßstab der vollziehenden Gewalt, durch den parlamentarischen Einfluss auf die Politik der Regierung sowie durch die grundsätzliche Weisungsgebundenheit der Verwaltung gegenüber der Regierung hergestellt (vgl. BVerfGE 83, 60 <72>; 136, 194 <261 f. Rn. 168>; stRspr). Ein Amtsträger ist personell uneingeschränkt legitimiert, wenn er sein Amt im Wege einer Wahl durch das Volk oder das Parlament oder durch einen seinerseits personell legitimierten Amtsträger oder mit dessen Zustimmung erhalten hat. Sachlich-inhaltliche Legitimation wird durch die Bindung an das Gesetz sowie durch Aufsicht und Weisung übergeordneter staatlicher Stellen vermittelt“ (Bundesverfassungsgericht Urteil des Zweiten Senats vom 30. Juli 2019 2 BvR 1685/14 , - 2 BvR 2631/14 , Randnummer 129). „Eine Absenkung des demokratischen Legitimationsniveaus ist jedoch nicht unbegrenzt zulässig und bedarf zudem der Rechtfertigung“ (Bundesverfassungsgericht, ebenda, Randnummer 131). Ein vermeintlicher Interessenskonflikt zwischen mehreren der Aufsichtsbehörde unterstellten Behörden kann die Absenkung des demokratischen Legitimationsniveaus der Cybersicherheitsagentur durch Trennung von der Aufsicht durch das demokratisch legitimierte Innenministerium nicht rechtfertigen, vielmehr kann die gemeinsame Aufsichtsbehörde einen Interessenausgleich bewirken.

CCCS: Hier wird explizit empfohlen ein proaktives Monitoring der IT-Systeme im Zuständigkeitsbereich auf:

  1. Zeitnahes Einspielen von Sicherheits-Updates

Sofern noch kein Update zur Verfügung steht, die Lücke aber bereits öffentlich ist.

  1. Die proaktive Überwachung der Implementierung von wirksamen Mitigations-Strategien.

Landesregierung: Die Empfehlung wird bei dem Betrieb der Cybersicherheitsagentur berücksichtigt werden.

CCCS: Durch die Gründung der Cybersicherheitsagentur bestehe die Gefahr die, ohnehin schon unübersichtliche, staatliche IT-Sicherheitsstruktur noch weiter zu verkomplizieren. Der Gesetzgeber sollte die Verantwortlichkeiten und Zuständigkeiten der Cybersicherheitsagentur Baden-Württemberg klar, für alle Beteiligten verständlich definieren und gegen die anderen Behörden des Landes (z.B. ZAC BW, CERT BWL) und des Bundes (z.B. BSI) abgrenzen. Betroffenen Behörden und Unterneh-men müsse klar ersichtlich sein, welchen alleinigen Ansprechpartner diese jeweils haben und ein reibungsloser Informationsfluss zwischen allen Beteiligten muss zu jedem Zeitpunkt gewährleistet sein. Gerade bei zeitkritischen IT-Sicherheitsvorfällen unter massenhafter Ausnutzung von (ggf. bis dato unbekannten) Sicherheitslücken sei dies von entscheidender Bedeutung

Landesregierung: Die Meldepflichten sowie die ressortübergreifende Organisation im Bereich der Cyber- und Informationssicherheit soll durch Rechtsverordnung nach § 13 Nummer 3 beziehungsweise 5 geregelt werden.

CCCS: Im Sinne der Transparenz staatlichen Handelns sollten die dem LfDI und dem Innenausschuss vorgelegten Berichte zeitgleich der Öffentlichkeit zugänglich gemacht werden.

Landesregierung: Dem Transparenzgedanken stehen Sicherheitsinteressen gegenüber, weshalb die vergleichbaren Berichte des BSI auch nicht veröffentlicht werden. Aus den in den Berichten aufgeführten Daten könnten nämlich Rückschlüsse auf Abwehrmaßnahmen/-strategien gezogen werden.

CCCS: Die Cybersicherheitsagentur dürfe ausschließlich der Sicherheit von Computern und Netzen verpflichtet sein und Informationen über Sicherheitslücken ausschließlich zu deren Beseitigung anwenden. Bei Kenntnisnahme von öffentlich bisher unbekannten IT-Sicherheitslücken, seien diese unverzüglich an das BSI und den Hersteller zu melden. Die Sicherheitslücken sollten im Rahmen von sogenannten Coordinated/Responsible Disclosure-Verfahren behoben und veröffentlicht werden. Eine Geheimhaltung von Sicherheitslücken oder gar deren Weitergabe an andere staatliche Stellen (z.B. ZITiS), um diese ggf. gezielt auszunutzen, müsse ausgeschlossen sein.

Landesregierung: In Absatz 2 wird entsprechend § 7 Absatz 1 Satz 4 BSIG geregelt, dass der Kreis der zu warnenden Personen eingeschränkt werden kann. Dies erfolgt nach pflichtgemäßen Ermessen. Damit wird keine Befugnis der Weitergabe von Informationen an andere staatliche Stellen geregelt.

CCCS: Um die Vertraulichkeit der Sitzungen sicher zu stellen, sollte das von Komm.ONE bereitgestellte System die Kommunikation mittels Ende-zu-Ende-Verschlüsselung absichern. Die verwendete Technologie müsse dem Stand der Technik entsprechen und der Quellcode der verwendeten Software öffentlich zugänglich sein, denn nur so könne dessen Vertrauenswürdigkeit und Sicherheit überprüft werden.

Landesregierung: „Übertragung von Bild und Ton mittels geeigneter technischer Hilfsmittel“ setzt voraus, dass die eingesetzten technischen Hilfsmittel dem Stand der Technik entsprechen. Dementsprechend hat der Vorstand auch „sicherzustellen, dass die technischen Anforderungen und die datenschutzrechtlichen Bestimmungen für eine ordnungsgemäße Durchführung der Sitzung einschließlich Beratung und Beschlussfassung eingehalten werden“. Zu den technischen Anforderungen für eine ordnungsgemäße Durchführung der Sitzung gehören auch Sicherungsmaßnahmen zur Vertraulichkeit der Sitzung.