Bundesregierung einigt sich auf umstrittene Maßnahmen gegen Cyberangriffe

Berlin – Die Bundesregierung hat sich auf einen Gesetzentwurf geeinigt, der Polizei und Bundeskriminalamt (BKA) mehr Rechte bei der Bekämpfung von Cyberangriffen einräumen soll. Die Kassenärztliche Bundesvereinigung (KBV) warnt, dass dadurch das ärztliche Zeugnisverweigerungsrecht unterlaufen werden könnte.

Es handele sich um einen „Meilenstein der Sicherheitsarchitektur in Deutschland“, erklärte Bundesinnenminister Alexander Dobrindt (CSU) heute in Berlin. Angriffe auf Einrichtungen in Wirtschaft, Industrie, Mittelstand, staatliche Behörden und Wissenschaft würden zunehmend professionell und seien Teil der hybriden Kriegsführung.

Insbesondere Gesundheitseinrichtungen seien ein attraktives Ziel für solche Angriffe, warnt das Bundesamt für Sicherheit in der Informationstechnik (BSI) bereits seit Jahren. Erst in der vergangenen Woche waren bei einem Angriff auf einen externen Abrechnungsdienstleister erneut Daten zehntausender Patientinnen und Patienten von mehreren Universitätskliniken entwendet worden.

Deutsche Behörden würden nach Inkrafttreten des Gesetzes stärker gegen solche Cyberangriffe vorgehen können als in der Vergangenheit, versprach Dobrindt nun. „Wir schlagen zurück, wir schalten die Bedrohung aus, wenn wir angegriffen werden“, sagte er. „Zukünftig werden wir den Angreifer ins Visier nehmen, seine Server, seine Software, seine Strategie.“

Ziel sei, BKA, Bundespolizei und BSI in die Situation zu versetzen, dass sie das, was sie heute technisch können, auch rechtlich sicher anwenden dürfen. Ihnen soll beispielsweise ermöglicht werden, in IT-Systeme einzudringen, um sie zu manipulieren oder stillzulegen, Datenverkehr umzuleiten sowie Daten zu verändern und zu löschen.

Das solle auch möglich sein, wenn sich die angreifenden Systeme im Ausland befinden. Das legitimiere jedoch keine Vergeltungsschläge, sogenannte Hackbacks, beteuerte Dobrindt. Hackbacks seien ungerichtete Racheakte, die nun geplanten Maßnahmen richteten sich hingegen konkret gegen Server, von denen eine Gefahr ausgehe.

Kritik an dem Gesetzentwurf äußerte neben mehreren zivilgesellschaftlichen Verbänden unter anderem die KBV. Verdeckte Abwehrmaßnahmen, bei denen Daten erhoben und umgeleitet werden, könnten auch Gesundheitsdaten betreffen, die von Vertragsärztinnen und -ärzten sowie Vertragspsychotherapeutinnen und -psychotherapeuten verarbeitet werden, schreibt sie in ihrer Stellungnahme zum Gesetzentwurf.

Diese Daten seien jedoch durch die Datenschutz-Grundverordnung (DSGVO) und im Arzt-Patient-Verhältnis zusätzlich durch die ärztliche Schweigepflicht besonders geschützt, was auch das Bundesverfassungsgericht (BVerfG) explizit bestätigt habe.

Nach einem BVerfG-Urteil aus dem Jahr 2016 sei deshalb ein Paragraf in das Bundeskriminalamtgesetz (BKAG) eingeführt worden, der den Schutz zeugnisverweigerungsberechtigter Personen sicherstellt. Mit den nun geplanten Maßnahmen werde aber genau dieser Schutz unterlaufen.

lau