Zero-Day-Meldepflicht fürs BSI: Prof. Kipker warnt vor Vertrauensbruch

Mit dem vom Bundesinnenministerium vorgelegten, rund 700 Seiten starken Reformentwurf zeichnet sich nach Einschätzung von CII-Research Director Prof. Dr. Dennis-Kenji Kipker ein besorgniserregender Kurswechsel in der digitalen Sicherheitspolitik ab. Nachrichtendienste sollen künftig früher im Gefahrenvorfeld tätig werden dürfen, der grundrechtliche Kernbereichsschutz wird eingeschränkt, und selbst unbeteiligte Dritte können stärker in staatliche Aufklärungsmaßnahmen einbezogen werden. In dieses Bild fügt sich die geplante Kooperationspflicht des Bundesamtes für Sicherheit in der Informationstechnik (BSI) gegenüber dem Bundesnachrichtendienst (BND) ein: Inländische öffentliche Stellen sollen dem BND künftig Informationen einschließlich personenbezogener Daten übermitteln dürfen, sobald tatsächliche Anhaltspunkte für eine Erforderlichkeit zur Auslandsaufklärung vorliegen. Für das BSI ist dabei sogar ausdrücklich eine Verpflichtung vorgesehen.
Besonders kritisch bewertet Prof. Kipker die Begründung des Entwurfs, die erst einige Hundert Seiten später offenlegt, worum es dem BMI eigentlich geht: Die Zeitspanne zwischen interner Bearbeitung einer Schwachstelle, Meldung an Hersteller und Bereitstellung eines Patches soll künftig genutzt werden, um Zero-Days für nachrichtendienstliche Zwecke auszunutzen, im Entwurf nur nüchtern als Schwachstellen „in Wert bringen“ umschrieben. Damit gerät das BSI in einen fundamentalen Widerspruch zu seinem gesetzlichen Auftrag als zentrale Stelle für Informationssicherheit auf nationaler Ebene, denn es soll Informationen über Lücken weiterreichen, deren zügige Schließung eigentlich seine Kernaufgabe wäre. Der Reformentwurf beraubt somit das BSI seiner Glaubwürdigkeit und zerstört seine Vertrauensfunktion als Mittler zwischen Staat und Zivilgesellschaft.
Prof. Kipker warnt deshalb vor den praktischen Folgen für Cybersicherheit in Deutschland: Sicherheitsforschende, Betreiber:innen kritischer Infrastrukturen und NIS2-Verpflichtete könnten sich künftig zweimal überlegen, ob sie entdeckte Schwachstellen noch mit dem BSI teilen, solange unklar bleibt, ob eine gemeldete Lücke rasch geschlossen oder stattdessen für nachrichtendienstliche Operationen offengehalten wird. Damit stehe am Ende nicht mehr, sondern weniger Cybersicherheit für Deutschland auf dem Spiel. Prof. Kipkers Appel: Der Gesetzgeber sollte diesen Konstruktionsfehler im Reformentwurf unbedingt korrigieren, um einen dauerhaften Rückschritt für Cybersicherheit und digitale Souveränität in Deutschland zu vermeiden.





