Aktive Cyberabwehr: EICAR und CII nehmen Stellung zum neuen Entwurf für ein Gesetz zur Stärkung der Cybersicherheit

Die Bedrohungslage im Cyberraum hat sich qualitativ und quantitativ verschärft. Die Schaffung gesetzlicher Grundlagen für eine aktive Cyberabwehr ist daher im Grundsatz nicht nur vertretbar, sondern sachlich notwendig, um die staatliche Handlungsfähigkeit und technische Resilienz sicherzustellen.

Der vorliegende Referentenentwurf weist jedoch in seiner derzeitigen Fassung erhebliche rechtsstaatliche Defizite auf. Mehr staatliche Handlungsfähigkeit im digitalen Raum darf nicht zulasten der Rechtsstaatlichkeit gehen. Besonders kritisch bewerten wir die technische Unbestimmtheit zentraler Regelungen, die ungelöste Attribuierungsproblematik sowie den fehlenden rechtlichen Rahmen für den Umgang mit Sicherheitslücken (Zero-Day-Exploits).

Ein Gesetz, das die Sicherheit erhöhen soll, muss sich an höchsten rechtsstaatlichen Maßstäben messen lassen. Es bedarf dringend einer Nachbesserung, unter anderem durch die Einführung eines strukturierten Prozesses zum Umgang mit Schwachstellen (Vulnerability Equities Process), klarer technischer Mindeststandards und robuster Kontrollmechanismen, um die digitale Souveränität und die Grundrechte unbeteiligter Dritter zu wahren.