Die Sanktionsmöglichkeiten gegenüber internationalen Unternehmen sind eingeschränkt Foto: picture-alliance/ dpa

Das Interview im Wortlaut:

Tagesspiegel (TSP): Herr Friedrich, was machen Sie im Netz?

Hans-Peter Friedrich: Ich schaue mir täglich mindestens einmal an, was auf Facebook und auf Google+ los ist, sowohl auf meinen Seiten als auch auf anderen, um zu sehen, welche Themen gerade diskutiert werden. Twitter habe ich mal versucht, aber wenn man da nicht dranbleibt, hat es keinen großen Sinn. Insgesamt würde ich sagen, informiere ich mich sehr viel im Netz, agiere aber nicht häufig selbst.

TSP: Bei der Cybersicherheit bedeutender Infrastrukturen wollen Sie eingreifen. Wie wahrscheinlich ist ein Angriff auf das Stromnetz?

Friedrich: Die Zahl der Angriffe auf Behördenseiten und Unternehmen steigt stetig. Pro Tag gibt es mindestens fünf gezielte Angriffe auf die Netze des Bundes. Auch Betreiber kritischer Infrastrukturen aus Deutschland wurden bereits angegriffen. Ich bin mir sicher, dass es weiter Versuche geben wird, unsere kritische Infrastruktur, also etwa Stromnetze, Telekommunikationssysteme, Banken und das Gesundheitswesen, anzugreifen und zu sabotieren.

TSP: Von welcher Seite?

Friedrich: Mit hundertprozentiger Sicherheit kann man das nie sagen. Hinter Angriffen auf deutsche Unternehmen können sich sowohl Staaten als auch kriminelle Organisationen verbergen. Deshalb bin ich vorsichtig mit Schuldzuweisungen. Entscheidend ist, dass wir unsere Infrastruktur Widerstands fähig machen.

TSP: Derzeit ist sie das nicht?

Friedrich: Wir sind insgesamt in Deutschland schon recht gut aufgestellt. Aber es gibt in den unterschiedlichen Branchen sehr unterschiedliche Standards. Dort, wo es bereits gesetzliche Vorschriften gibt, ist das Schutzniveau hoch, zum Beispiel im Banken- und Börsenbereich. In anderen Bereichen gibt es noch sehr große Lücken.

Wir brauchen ein Mindestschutzniveau für alle kritischen Infrastrukturen. Diese Mindeststandards sollte der Staat aber nicht vorgeben, sondern jede Branche sollte sie selbst erarbeiten. Es gibt leider immer noch viele Unternehmen, die den Ernst der Lage nicht begriffen haben.

TSP: Wie hilft da die von Ihnen verlangte Meldepflicht von Hackerangriffen?

Friedrich: Nach wie vor besteht auf Seiten der Wirtschaft große Zurückhaltung bei der Meldung von erheblichen Vorfällen. Da hilft ein Gesetz, das eingehalten werden muss. Es geht mir gerade um ein schnelles Zusammenwirken von Staat und Unternehmen.

Auf Bundesebene haben wir ein Cyberabwehrzentrum, bei dem alle Angriffe auf Behördenrechner registriert und Gegenmaßnahmen erarbeitet werden. Eine solche zentrale Stelle brauchen wir auch für Angriffe auf die kritische Infrastruktur. Je mehr wir wissen, umso schneller und besser können wir die Betroffenen beim Schutz ihrer Einrichtungen unterstützen.

Auf europäischer Ebene wird zurzeit eine vergleichbare Regulierung geplant. Wir brauchen das IT-Sicherheitsgesetz auch, um mit einer klaren deutschen Position in die Verhandlungen zu gehen. Deshalb hoffe ich, dass der Gesetzentwurf bald im Kabinett verabschiedet wird.

TSP: Die USA haben die Cyberabwehr zu einem Bestandteil ihrer Außenpolitik erklärt. Muss man das Thema offener ansprechen?

Friedrich: Wir müssen den Dialog suchen - mit den Amerikanern, mit den Russen, mit den Chinesen, wer auch immer betroffen ist. Es gibt sicher gewisse Grenzen der Zusammenarbeit. Wenn wir in Deutschland von Sicherheit sprechen, meinen wir Datensicherheit. Es gibt aber auch Länder, die davor sicher sein wollen, dass bestimmte politische Inhalte verbreitet werden. Das sind unterschiedliche Sichtweisen, die die Zusammenarbeit erschweren. Wir können aber gemeinsame Verfahrens und Verhaltensweisen vereinbaren. Wenn wir bei Sabotageangriffen feststellen, dass der Angriff von einem Server aus dem Land X kommt, sollten diese Länder uns bei den Ermittlungen helfen.

TSP: Bei aller Gefahr, unterschätzen wir nicht die Innovationskraft des Netzes?

Friedrich: Wir neigen dazu, in erster Linie Gefahren und Risiken zu diskutieren. Man muss immer berücksichtigen, was das Netz und die Digitalisierung an Wohlstandsgewinn weltweit und auch bei uns gebracht hat. Und wir sind noch lange nicht am Ende. Wir müssen die Gesetze so schneidern, dass sie nicht innovative Entwicklungen verhindern. Auf der anderen Seite müssen sie einen Rahmen vorgeben und, wo nötig, Regeln schaffen. Wenn wir die Hürden zu hoch ansetzen, gehen die Kreativen in andere Länder. Wir müssen versuchen, ein bisschen lockerer zu werden.

TSP: Beim freiwilligen Datenschutz auf Facebook ist bisher aber nicht viel passiert.

Friedrich: Wir haben mit Facebook im Herbst 2011 vereinbart, dass sie sich selbst verpflichten zu mehr Datenschutz. Da ist einiges passiert, aber das reicht noch nicht. Deshalb habe ich an Facebook und die anderen sozialen Netzwerke appelliert, jetzt möglichst rasch vorwärts zu machen.

TSP: Welche Sanktionen drohen denn?

Friedrich: Wir haben momentan keine Sanktionsmöglichkeiten, da die Anwendbarkeit nationalen Datenschutzrechts gegenüber internationalen Unternehmen eingeschränkt ist. Bessere Handlungsmöglichkeiten wollen wir ja über die Datenschutzgrundverordnung auf europäischer Ebene schaffen. Wir haben die Chance, den Googles und Facebooks dieser Welt zu sagen, hier sind 500 Millionen Menschen, und wenn ihr wollt, dass diese Menschen eure Kunden bleiben, dann müsst ihr unsere europäischen Vorschriften beachten.

Deshalb bin ich dafür, möglichst schnell die europäische Datenschutzverordnung durchzubringen. Für soziale Netzwerke brauchen wir strenge Auflagen, um Profilbildungen zu verhindern, die weit über das hinausgehen, was dem User bewusst ist. Wir müssen unterscheiden, wo wir feste Gesetze brauchen und wo man Freiheiten lassen sollte.

TSP: Wo geht Ihnen die Verordnung zu weit?

Friedrich: Ein wichtiger Punkt ist, dass wir für die kleinen und mittelständischen Unternehmen die Datenschutzbürokratie nicht übertreiben dürfen. Gleichzeitig müssen wir aber den Googles und Facebooks dieser Welt harte Auflagen machen.

TSP: Gibt es einen zeitlichen Horizont?

Friedrich: Im Frühsommer 2014 wird das europäische Parlament gewählt. Das heißt, 2013 müsste alles abgeschlossen sein. Ich bin mir aber nicht sicher, ob wir das schaffen. Allein im Rat wurden insgesamt 800 Änderungsvorschläge durch die Mitgliedstaaten gemacht. Auch das Europäische Parlament diskutiert derzeit umfangreiche Änderungsvorschläge. Wir wollen die Reform des Datenschutzes zügig voranbringen, aber wir sind nicht bereit, auf notwendige Korrekturen zu verzichten.

Das Gespräch führten Anna Sauerbrey und Christian Tretbar für den Tagesspiegel.