Bundesinnenminister Hans-Peter Friedrich: "Wir brauchen härtere Auflagen für die sozialen Netzwerke"

Herr Friedrich, was machen Sie eigentlich so im Netz?

Ich schaue mir täglich mindestens einmal an, was auf Facebook und auf Google+ los ist, sowohl auf meinen Seiten, als auch auf anderen, um zu sehen, welche Themen gerade diskutiert werden. Twitter habe ich mal versucht, aber wenn man da nicht dran bleibt, hat es keinen großen Sinn. Insgesamt würde ich sagen, informiere ich mich sehr viel im Netz, agiere aber nicht häufig selbst.

Dürfen Ihre Kinder einen Account haben?
Die haben natürlich längst alle einen und jetzt, wo Sie es sagen: Die haben mich auch gar nicht um Erlaubnis gefragt! Für junge Leute ist das eine tolle Möglichkeit, mit Freunden in Kontakt zu bleiben, auch über weite Entfernungen, weil das Leben ja internationaler wird. Kritischer wird es bei intimen Geschichten. Man muss immer davon ausgehen: Was einmal im Netz ist, wird dort auch bleiben.
Eine Altersgrenze brauchen wir also nicht?

Die Kommunikation auf Facebook ist wie jede Kommunikation erst einmal positiv. Aber man muss die Aktivitäten der eigenen Kinder im Netz genauso im Blick haben, wie man auf ihren Fernsehkonsum achten sollte. Es ist für Eltern doch wichtig zu wissen, was die Kinder machen. Von einer starren Altersgrenze halte ich nicht viel. Wenn man aber bemerkt, dass das eigene Kind das Leben nur noch über das Netz wahrnimmt, dann würde ich eingreifen.

Dafür wollen Sie auf dem Feld der Cybersicherheit kritischer Infrastrukturen stärker eingreifen. Wie wahrscheinlich ist ein Angriff auf das Berliner Stromnetz?

Die Zahl der Angriffe auf Behördenseiten und Unternehmen steigt stetig. Pro Tag gibt es mindestens fünf gezielte Angriffe auf die Netze des Bundes. Auch Betreiber kritischer Infrastrukturen aus Deutschland wurden bereits angegriffen. Ich bin mir daher sicher, dass es weiterhin Versuche geben wird, unsere kritische Infrastruktur, also etwa Stromnetze, Telekommunikationssysteme, Banken und das Gesundheitswesen, anzugreifen und zu sabotieren.

Von welcher Seite?

Mit hundertprozentiger Sicherheit kann man das nie sagen. Hinter Angriffen auf deutsche Unternehmen können sich sowohl Staaten als auch kriminelle Organisationen verbergen. Deshalb bin ich vorsichtig mit Schuldzuweisungen. Entscheidend ist deshalb, dass wir unsere Infrastruktur widerstandsfähig machen.

Derzeit ist sie das nicht?

Wir sind insgesamt in Deutschland schon recht gut aufgestellt. Aber es gibt in den unterschiedlichen Branchen sehr unterschiedliche Standards. Dort, wo es bereits gesetzliche Vorschriften gibt, ist das Schutzniveau hoch, zum Beispiel im Banken- und Börsenbereich. In anderen Bereichen gibt es noch sehr große Lücken. Wir brauchen jedoch ein Mindestschutzniveau für alle kritischen Infrastrukturen. Diese Mindeststandards sollte der Staat aber nicht vorgeben, sondern durch jede Branche selbst erarbeitet werden. Es gibt leider immer noch viele Unternehmen, die den Ernst der Lage nicht begriffen haben.

Wie hilft denn da die von Ihnen verlange Meldepflicht, wonach Unternehmen Hackerangriffe melden müssen?

Nach wie vor besteht auf Seiten der Wirtschaft große Zurückhaltung bei der Meldung von erheblichen Vorfällen. Da hilft ein Gesetz, das eingehalten werden muss. Es geht mir doch gerade um ein schnelles Zusammenwirken von Staat und Unternehmen. Auf Bundesebene haben wir ein Cyberabwehrzentrum, bei dem alle Angriffe auf Behördenrechner registriert und Gegenmaßnahmen erarbeitet werden. Eine solche zentrale Stelle brauchen wir auch für Angriffe auf die kritische Infrastruktur. Je mehr wir wissen, umso schneller und besser können wir die Betroffenen beim Schutz ihrer Einrichtungen unterstützen. Auf europäischer Ebene wird zurzeit eine vergleichbare Regulierung geplant. Wir brauchen das IT-Sicherheitsgesetz auch, um mit einer klaren deutschen Position in die Verhandlungen zu gehen. Deshalb hoffe ich, dass der Gesetzentwurf bald im Kabinett verabschiedet wird.

Die meisten erfolgreichen Angriffe sind allerdings „Zero-Day-Exploits“, also Angriffe, bei denen bislang völlig unbekannte Sicherheitslücken in Software genutzt werden. Was hilft da eine Meldepflicht? Wenn ein Unternehmen den Angriff bemerkt, ist es schon zu spät und den gleichen Angriff wird es in der Regel nicht noch einmal geben.
Wir haben täglich tausende Angriffe. Teilweise finden diese auch über längere Zeiträume hinweg statt. Außerdem müssen sie erst einmal herausfinden, ob es ein skalpellartiger Angriff mit konkretem Ziel ist oder ein Rundumschlag. Um das zu wissen, brauchen sie Informationen. Es geht außerdem um Schadensbegrenzung.

Gibt es den selbstgemachten Trojaner? "Wir arbeiten daran"

Die USA haben die Cyberabwehr zu einem Bestandteil ihrer Außenpolitik erklärt. Muss man das Thema offener ansprechen, beispielsweise im Umgang mit China.

Wir müssen den Dialog suchen - mit den Amerikanern, mit den Russen, mit den Chinesen, wer auch immer betroffen ist. Es gibt sicher gewisse Grenzen der Zusammenarbeit. Wenn wir in Deutschland von Sicherheit sprechen, meinen wir Datensicherheit. Es gibt aber auch Länder, die davor sicher sein wollen, dass bestimmte politische Inhalte verbreitet werden. Das sind unterschiedliche Sichtweisen, die die Zusammenarbeit erschweren. Wir können aber gemeinsame Verfahrens- und Verhaltensweisen vereinbaren. Wenn wir bei Sabotageangriffen feststellen, dass der Angriff von einem Server aus dem Land X kommt, sollten diese Länder uns bei weiteren Ermittlungen helfen.

Arbeiten wir auch auf Augenhöhe mit den USA zusammen? Mit Ihrem Gesetzentwurf planen Sie, 120 zusätzliche Stellen am Bundesamt für Sicherheit in der Informationstechnik (BSI) zu schaffen. Das Pentagon hat gerade beschlossen, 4 000 zusätzliche IT-Spezialisten zur Cyberabwehr einzustellen.
Wir haben das BSI in den letzten Jahren auch personell kontinuierlich gestärkt. Außerdem haben wir in unserem Gesamtsystem eine Menge IT-Spezialisten, die ja vom BSI nur zusammengeführt werden. Es gibt viel Kompetenz in den einzelnen Behörden.

Ist der Eindruck falsch, dass die Behörden bei der Cybersicherheit viel stärker abhängig sind von privaten Unternehmen als umgekehrt, weil die das größere Know-how haben? Ist der Bund noch Herr über seine eigene Sicherheitspolitik?

Das ist ein wichtiger Punkt. Der Staat muss die Kontrolle behalten, wenn es um die innere Sicherheit geht oder um Daten. Ganz verzichten können wir aber nicht auf die Kooperation mit privaten Unternehmen. Die Einschaltung von Privaten beginnt ja schon bei der Infrastruktur, bei der Entwicklung und beim Bau der Netzkomponenten, von Hardware, und setzt sich bei der Software fort. Das kann keine staatliche Aufgabe sein. Entscheidend ist aber, dass wir am Ende so viel Kompetenz haben, um die staatliche Kontrolle aufrecht zu erhalten. Das war ja auch der Vorwurf, der uns beim Einsatz staatlicher Quellen-TKÜ-Software für Ermittlungszwecke gemacht wurde. Uns wurde vorgeworfen, die Kontrolle über die Software nicht zu haben, weil wir den Quellcode nicht kannten. Deswegen wollen wir diese Software jetzt selbst entwickeln. Dann sind wir auch die Herren über den Quellcode.
Und gibt es den selbstgemachten Trojaner schon?

Wir arbeiten daran. Wichtig ist, dass wir uns mit den Ländern unter Beteiligung des BSI und auch des Datenschutzbeauftragten auf eine Leistungsbeschreibung geeinigt haben, in der festgelegt ist, was die Software kann und darf und wo die Grenzen sind. Nach dieser Leistungsbeschreibung arbeiten jetzt unsere Entwickler. In der Zwischenzeit müssen wir Software von der Stange nutzen, die aber natürlich ebenfalls die Vorgaben der Leistungsbeschreibung erfüllen muss.
Noch sind also die Programme der Firma Digitask im Einsatz, die damals so umstritten waren?

Nein, diese Software wird nicht mehr eingesetzt.

Bei aller Gefahr, unterschätzen wir nicht die Innovationskraft des Netzes?

Wir neigen in Deutschland dazu, in erster Linie Gefahren und Risiken zu diskutieren. Man muss aber immer berücksichtigen, was das Netz und die Digitalisierung an Wohlstandsgewinn weltweit und vor allem auch bei uns gebracht hat. Und wir sind noch lange nicht am Ende. Wir müssen deshalb die Gesetze immer so schneidern, dass sie nicht innovative Entwicklungen verhindern. Auf der anderen Seite müssen sie einen Rahmen vorgeben und, wo nötig, Regeln schaffen.

"Kommunikation ist Sache der Bürger. Da will ich mich nicht einmischen"

Die Enquete-Kommission im Bundestag hat unter anderem ein Internetministerium vorgeschlagen. Eine gute Idee?

Ich glaube, dass in einer längerfristigen Perspektive zwei Themen für die Ausgestaltung der Digitalisierung beherrschend sein werden: Das eine ist das Thema Sicherheit, das andere das Thema Datenschutz. Beides sind Themen des Bundesinnenministeriums, deshalb ist die Verantwortung für das Netz bei uns schon richtig angesiedelt. Wir brauchen kein zusätzliches Ministerium.

Das Thema Bürgerbeteiligung haben Sie nicht genannt.

Was Bürgerbeteiligung an staatlichen Prozessen angeht, da spielt sich viel im kommunalen Bereich ab. Das fördern und ermuntern wir. Und mein eigenes Haus ist hier ja Vorreiter – denken Sie nur an die Online- Konsultationen zum Bürgerportalgesetz oder zu den 14 netzpolitischen Thesen. Ansonsten gilt: Kommunikation ist Sache der Bürger. Da will ich mich gar nicht einmischen, es sei denn, es wird strafrechtlich relevant. Wir haben die Meinungsfreiheit, wir haben die Kunstfreiheit, wir haben die Pressefreiheit - die gelten auch im Netz und müssen als Grundrechte geschützt werden.

Der Datenschutz ist ein gutes Stichwort. Das Innenministerium will Facebook und andere soziale Netzwerke seit längerem zu einer Selbstverpflichtung bewegen. So richtig weit gekommen sind Sie noch nicht?

Wir haben mit Facebook im Herbst 2011 vereinbart, dass sie sich selbst verpflichten zu mehr Datenschutz. Da ist schon einiges passiert, aber das reicht noch nicht. Deshalb habe ich an Facebook und die anderen sozialen Netzwerke appelliert, jetzt möglichst rasch vorwärts zu machen.

Welche Sanktionen drohen denn Facebook?

Wir haben momentan keine Sanktionsmöglichkeiten, da die Anwendbarkeit nationalen Datenschutzrechts gegenüber internationalen Unternehmen eingeschränkt ist. Bessere Handlungsmöglichkeiten wollen wir ja über die Datenschutzgrundverordnung auf europäischer Ebene schaffen. Wir haben die Chance, den Googles und Facebooks dieser Welt zu sagen, hier sind 500 Millionen Menschen, und wenn ihr wollt, dass diese Menschen eure Kunden bleiben, dann müsst ihr unsere europäischen Vorschriften beachten. Deshalb bin ich auch dafür, möglichst schnell die europäische Datenschutzverordnung durchzubringen. Für die sozialen Netzwerke brauchen wir strenge Auflagen, um Profilbildung zu verhindern, die weit über das hinausgehen, was dem User bewusst ist. Denn wir müssen unterscheiden, wo wir feste Gesetze brauchen und wo man Freiheiten lassen sollte.

Wo geht Ihnen die Verordnung zu weit?

Ein wichtiger Punkt für mich ist, dass wir für die kleinen und mittelständischen Unternehmen die Datenschutzbürokratie nicht übertreiben dürfen. Gleichzeitig müssen wir aber den Googles und Facebooks dieser Welt harte Auflagen machen.

Gibt es einen zeitlichen Horizont?

Im Frühsommer 2014 wird das europäische Parlament gewählt. Das heißt, 2013 müsste alles abgeschlossen sein. Ich bin mir aber nicht sicher, ob wir das schaffen. Allein im Rat wurden insgesamt 800 Änderungsvorschläge durch die Mitgliedstaaten gemacht. Auch das Europäische Parlament diskutiert derzeit umfangreiche Änderungsvorschläge. Wir wollen die Reform des Datenschutzes zügig voranbringen, aber wir sind nicht bereit, auf notwendige Korrekturen zu verzichten.

Warum gibt es kein deutsches Silicon Valley, kein deutsches Facebook?

Wir haben doch in Deutschland hochinnovative Unternehmen – zum Beispiel in Berlin-Mitte oder Ottobrunn! Es gibt aber einige, die sich beim Marktzutritt schwer tun, auch weil das bei uns schwieriger ist als in anderen Ländern. Wenn wir die Hürden zu hoch ansetzen, gehen die kreativen Leute in andere Länder. Wir müssen da versuchen, ein bisschen lockerer zu werden.

Hans-Peter Friedrich ist Bundesinnenminister. Das Gespräch mit ihm führten Anna Sauerbrey und Christian Tretbar.