Bei der IT-Sicherheit zeigt sich im Koalitionsvertrag, dass die unterschiedlichen Vorstellungen der drei Koalitionäre nicht immer ganz unter einen Hut gebracht werden können. Zwar wird versucht, die Kompromisse aus den Verhandlungsgruppen in den Vordergrund zu stellen, doch an mehreren Stellen schimmern die Unterschiede dennoch durch und die genaue Zielsetzung wird etwas undeutlich.

Einfacher Zugang versus Authentifizierung

So wird zum Beispiel ein Staat angestrebt, der "mit einer unkomplizierten, schnellen und digitalen Verwaltung das Leben der Menschen einfacher macht." Behörden und staatliche Stellen sollen effektiver und transparenter werden. Doch einfacherer, offenerer Zugang und große Transparenz gerade bei Behörden bergen auch die Gefahr des Datenmissbrauchs. Daran scheiterten bisher viele Versuche, Verwaltungsakte digitaler und bürgernäher zu gestalten - denn zuvor muss zweifelsfrei und möglichst fälschungssicher geklärt werden, wer was anfragt oder beantragt.

Schwachstellen-Management bei der Softwareprogrammierung

Den Koalitionären ist das offenbar bewusst, weshalb sie "ein Recht auf Verschlüsselung, ein wirksames Schwachstellenmanagement, mit dem Ziel Sicherheitslücken zu schließen, und die Vorgaben `security-by-design/default`" einführen wollen. Letzteres bedeutet, dass schon bei der Programmierung der Software Sicherheit ein essentieller Bestandteil des Arbeitsprozesses sein muss. Zugleich soll der Staat verpflichtet werden, "die Möglichkeit echter verschlüsselter Kommunikation" anzubieten.

Daten sind nicht gleich Daten

Doch der geplante Umgang mit Daten ist nicht eindeutig: Unter der Überschrift "Nutzung von Daten und Datenrecht" heißt es zum Beispiel: "Wir streben einen besseren Zugang zu Daten an, insbesondere um Start-ups sowie KMU, neue innovative Geschäftsmodelle und soziale Innovationen in der Digitalisierung zu ermöglichen." Aber Daten sind nicht gleich Daten und hier wird nicht zwischen beispielsweise frei zugänglich und persönlich unterschieden.

Staatlicher Zugriff auf Daten von Unternehmen

Zugleich will sich der Staat offenbar eine Tür zu den Daten von Unternehmen öffnen. Dabei ist es aus Sicherheitsaspekten zumindest fragwürdig, wenn im Koalitionsvertrag steht: "Für Gebietskörperschaften schaffen wir zu fairen und wettbewerbskonformen Bedingungen Zugang zu Daten von Unternehmen, insofern dies zur Erbringung ihrer Aufgaben der Daseinsvorsorge erforderlich ist." Sollte das umgesetzt werden, könnte der Gemeinderat einer Gemeinde möglicherweise auf die Zukunftsplanungen eines ortsansässigen Unternehmens zugreifen, weil er beispielweise den Bau einer Straße beschließen will.

Unklare Haftungsfrage bei Software-Sicherheitslücken

Bei Schwachstellen in der Softwareprodukten steht der Vorsatz im Koalitionspapier: "Hersteller haften für Schäden, die fahrlässig durch IT-Sicherheitslücken in ihren Produkten verursacht werden". Hier stellt sich zunächst die Frage, was "fahrlässig" meint, wo doch schon bei der Programmierung auf security-by-design gesetzt werden soll. Zugleich läuft das der Zusicherung der Koalitionäre auf "digitale Souveränität" etwas entgegen. Denn diese soll unter anderem durch "das Setzen auf offene Standards, Open Source und europäische Ökosysteme" gewährleistet werden. Einen Verantwortlichen für eine Sicherheitslücke in einer Open Source Software haftbar zu machen, dürfte dabei nicht ganz so einfach werden – zudem nachgewiesen werden müsste, dass fahrlässig gehandelt wurde.

BSI soll gestärkt werden

Als staatliche Instanz unter anderem für solche Nachforschungen, soll das Bundesamt für Sicherheit in der Informationstechnik, kurz BSI, fungieren und gestärkt werden. Dort sollen "alle staatlichen Stellen, ihnen bekannte Sicherheitslücken" melden. Zudem sollen diese Stellen verpflichtet werden, "sich regelmäßig einer externen Überprüfung ihrer IT-Systeme zu unterziehen".

Keine Hackbacks und keine Biometrische Erkennung

Glasklar ist dabei die Ablehnung von Hackbacks "als Mittel der Cyberabwehr", was vor allem Geheimdienste und der Verfassungsschutz immer wieder gefordert hatten. Hackback bezeichnet die Möglichkeit, gestohlene Daten auch über die Landesgrenzen hinaus zu verfolgen und zu zerstören oder die Rechner von Cyberkriminellen mit eigener Schadsoftware zu infizieren und so beispielsweise zu kennzeichnen. Auch die Ablehnung von – vor allem von der Polizei geforderten - Sicherheitstechnologien wie die "Biometrische Erkennung im öffentlichen Raum sowie automatisierten staatlichen Scoring Systemen durch KI" will die Koalition "europarechtlich ausschließen".

Vertrauenswürdig oder nicht

Schwammig wird der Koalitionsvertrag dagegen wieder bei einem Punkt, der eigentlich selbstverständlich sein sollte: "Nicht-vertrauenswürdige Unternehmen werden beim Ausbau kritischer Infrastrukturen nicht beteiligt." Nicht die Tatsache an sich, sondern die Erwähnung im Koalitionsvertrag und die spätere Beurteilung lassen die Gegensätze der drei Koalitionäre durchscheinen. Denn die Frage wird irgendwann ganz konkret sein: Ist zum Beispiel der chinesische Konzern Huawei so vertrauenswürdig, dass er am 5G-Ausbau beteiligt werden sollte, oder nicht.