Bislang dürfen Polizeibehörden fast ausschließlich vorbeugend gegen Hackerangriffe aktiv werden. Dem BKA war ein aktives Eingreifen nur erlaubt, wenn es um die Abwehr von internationalem Terrorismus ging. Die Behörden sollten „das, was sie heute technisch können, auch rechtlich sicher anwenden können“, betonte Dobrindt.
BKA und Bundespolizei sollen laut Gesetzentwurf „klare Befugnisse“ bekommen, um „eine zukunftsfähige Cyberabwehr aufzubauen“. Sie sollen Datenverkehr umleiten oder blockieren, IT-Systeme stilllegen und in schweren Fällen Daten löschen oder verändern können. Die Bundespolizei würde diese Befugnisse „für alle ihre gefahrenabwehrrechtlichen Aufgaben“ bekommen, nicht jedoch für die Strafverfolgung.
Das BSI soll deutlich mehr Befugnisse zum Sammeln, Speichern und Analysieren von Daten erhalten. Dazu gehört die Suche nach Aktivitäten, die der Vorbereitung eines Angriffs dienen können. Telekommunikationsunternehmen und Digitalkonzerne sollen verpflichtet werden, „Informationen des BSI über konkrete Gefahren“ an ihre Nutzer weiterzugeben.
Der Innenexperte der SPD-Bundestagsfraktion, Sebastian Fiedler, äußerte Vorbehalte gegen Dobrindts Pläne und meldete Gesprächsbedarf an. „Ich persönlich bin kein Anhänger davon, möglichst viele Behörden mit solchen Kompetenzen auszustatten“, sagte Fiedler zu „Süddeutscher Zeitung“, WDR und NDR. Es müsse darum gehen, „Schnittstellen und unklare Kompetenzen gering zu halten und möglichst wenige Behörden herausragend gut auszustatten, damit sie im Ernstfall Cyberangriffe erfolgreich abwehren können“.
Der SPD-Politiker fügte hinzu: „Warum die Bundespolizei das neben dem BKA auch können sollte, muss im parlamentarischen Verfahren noch geklärt werden.“
Dobrindt verwies bei der Vorstellung des Gesetzes darauf, dass Deutschland weltweit eines der Hauptziele von Cyberangriffen sei. Staatliche Akteure nutzten derlei Attacken mit unterschiedlichen Zielen - „zur Sabotage, zur Spionage, zur Desinformation, zur Erpressung. Sie dienen aber auch dem Ziel der Destabilisierung unserer Gesellschaft“.
In Zukunft würden die Angreifer selbst ins Visier genommen, sagte der CSU-Politiker. „Wir können stören und wir können zerstören, was an Systemen, an Software, an Servern durch diesen Angreifer genutzt wird. Auch wenn sich diese Strukturen im Ausland befinden.“
Künftig könnten die Gefahren durch Cyberangriffe gestoppt und die Organisationen, die dahinterstehen, an weiteren Attacken gehindert werden. „Wir kennen heutzutage sehr genau diejenigen, die uns angreifen, die Strukturen dahinter“, sagte Dobrindt. „Wir wissen heute, wo die Server stehen, zu einem wesentlichen Teil außerhalb der Bundesrepublik Deutschland.“
Bei den Gegenmaßnahmen geht es nach den Worten des Ministers ausdrücklich nicht um sogenannte Hackbacks, also Hacker-Gegenangriffe als Vergeltungsschlag. „Das legitimieren wir nicht“, betonte Dobrindt. „Bei einem Hackback würde man sich gegen irgendetwas richten, was gar nicht mit der Angreiferstruktur zu tun hat.“ Statt um Racheakte gehe es um Gefahrenabwehr. „Das heißt, wir greifen die Bedrohung an, wir wenden uns gegen den Angreifer direkt, wir schalten seine Angriffsmöglichkeiten aus.“
Der Grünen-Sicherheitspolitiker Konstantin von Notz kritisierte, dass die konkreten Zuständigkeiten auch mit dem neuen Gesetz unklar blieben. „Welche Behörde zukünftig mit welchen Befugnissen was konkret machen soll, bleibt völlig offen“, sagte der Vize-Vorsitzende des Parlamentarischen Kontrollgremiums der „Rheinischen Post“. Auch die Frage der politischen Verantwortung bei Angriffen auf feindliche IT-Systeme müsse „zwingend und einwandfrei geklärt sein“.
