Der vor wenigen Tagen durch netzpolitik.org (Kopie) geleakte Referentenentwurf des Bundesinnenministeriums beschäftigt sich eingehend mit der Ausweitung und Harmonisierung der Kompetenzen der einzelnen Behörden bei dem verdeckten oder erlaubten Zugriff auf IT-Systeme. Dabei sollen laut Entwurf unter anderem dem Bundesverfassungsschutz sowie Bundesamt für Sicherheit in der Informationstechnik (BSI) erweiterte Befugnisse eingeräumt werden:
Der Verfassungsschutz soll nicht nur Geräte von Gefährdern hacken dürfen, sondern auch IT-Systeme, die Informationen von Gefährdern verarbeiten. Das gilt auch, wenn andere Personen als die Zielpersonen „unvermeidlich“ mitbetroffen sind. Das könnte Anbieter von Internet-Diensten treffen, die nicht mit dem Geheimdienst kooperieren oder davon nichts erfahren sollen. (Q: netzpolitik.org)
Das BSI soll befugt werden, in fremde IT-Systeme einzudringen, um Patches zu installieren oder Schadsoftware zu entfernen. Dies sei insbesondere zur effektiven Bekämpfung von Botnetzen notwendig. Das BSI soll auch aktiv nach solchen unsicheren Geräten suchen dürfen und sich beispielsweise mit unsicheren Passwörtern wie „0000“ oder „admin“ anmelden dürfen. (Golem.de / Kopie)
Mit Blick auf den Ausbau der offensiven Hacking-Fähigkeiten der Bundeswehr, die Bereitstellung dieser Kapazitäten für NATO-Einsätze und die geplante permanente Lagebild-Aufklärung in dieser Domäne sind die geplanten Änderungen der Kompetenzen des Bundesnachrichtendienstes BND vor besonderer Brisanz. Dieser soll zum einen auch im Inland IT-Systemen nach eigener Entscheidung hacken und ausspähen dürfen , sofern es, nach eigener Einschätzung um „Erkenntnisse von außen- und sicherheitspolitischer Bedeutung“ geht. Zum anderen sollen diese Dienste nach Planungen des BMI künftig auch durch Behörden, die zur Fernmeldeüberwachung oder der Online-Durchsuchung befugt sind, beim BND in Auftrag geben können, der dann die erfassten Daten zum einen selbst auswerten kann und der beauftragenden Behörde in Rohform bereitstellt:
(1) Der Bundesnachrichtendienst darf auf Ersuchen einer inländischen Behörde, welche die Befugnis zur Fernmeldeaufklärung hat, zu deren entsprechender Aufgabenerfüllung Informationen einschließlich personenbezogener Daten mit technischen Mitteln der Fernmeldeaufklärung verarbeiten. Hiervon erfasst wird insbesondere die Erhebung der Daten und deren automatisierte Übermittlung an die ersuchende Behörde, einschließlich der Daten, die unter den Voraussetzungen des § 12 Absatz 1 BNDG erhoben wurden. § 24 findet insoweit keine Anwendung.
(2) Die Zulässigkeit der Datenverarbeitung nach Absatz 1 richtet sich nach dem für die ersuchende Behörde geltenden Recht, die Durchführung durch den Bundesnachrichtendienst nach § 6 Absatz 1 Satz 2, § 12 Absatz 2. Die ersuchende Behörde trägt gegenüber dem Bundesnachrichtendienst die Verantwortung für die Rechtmäßigkeit der durchzuführenden Maßnahme. Der Bundesnachrichtendienst ist für die Durchführung verantwortlich. Die Einzelheiten sind in einer Verwaltungsvereinbarung zu regeln.
(3) Der Bundesnachrichtendienst darf die nach Absatz 1 erhobenen Daten gemäß den für ihn geltenden Vorschriften für eigene Zwecke weiterverarbeiten, soweit ihre Erhebung zu diesen Zwecken auch nach den Vorschriften des Abschnitts 2 zulässig gewesen wäre.
Eine solche Aufgaben- und Befugniserweiterung dürfte insbesondere auch der Bundeswehr zu Gute kommen, die im Rahmen der neuen Cyber-Kapazitäten für strategische Planungen einen hohen Bedarf an sensiblen IT-Aufklärungsinformationen über fremde IT-Systemen hat, diese jedoch in Friedenszeiten selbst offiziell nicht erheben darf. Auf der anderen Seite würde mit einem solchermaßen befugten BND eine Hacking-Behörde geschaffen werden, deren parlamentarische und rechtsstaatliche Kontrolle bereits jetzt kompliziert und kaum transparent ist.