Der mediale Aufruhr war groß, als im Juni 2024 – inmitten des Europa-Wahlkampfs – ein Cyberangriff auf die IT-Systeme der CDU bekannt wurde. Cyberkriminellen war es gelungen, über eine Sicherheitslücke in die Systeme des Opfers zu gelangen und dort 14 Tage unbemerkt zu agieren. Daraufhin musste die CDU große Teile ihrer IT-Infrastruktur vom Netz nehmen, Friedrich Merz nannte es den schwersten Cyberangriff auf eine Partei in Deutschland, auch der Verfassungsschutz wurde tätig. Letztlich musste die datenschutzrechtliche Benachrichtigung der betroffenen Personen erfolgen.
Bereits im Vorjahr ist es zum Cyberangriff auf die E-Mail-Postfächer des SPD-Parteivorstands gekommen. Diesen Angriff ordnete die Bundesregierung im Mai 2024 einer Einheit des russischen Militärgeheimdienstes GRU zu, deren Bezeichnung „APT28“ (APT = Advanced Persistant Threats) gerade für hochkomplexe Angriffe steht.
Ein Fall für die NIS-2-Richtlinie?
Solche Ereignisse wecken schnell den Ruf nach dem Gesetzgeber, gerade in Zeiten, in denen die Demokratie besonders vor schädlichen Einflüssen aus dem In- und Ausland geschützt werden muss. In diesem Zusammenhang fiel nun vermehrt der Begriff der europäischen NIS-2-Richtlinie, die die IT-Sicherheit von für die Gesellschaft besonders relevanten Diensten schützen will. Sie muss bis Oktober 2024 umgesetzt sein, aufgrund der zu erwartenden Verspätung des Gesetzgebers wäre eine Erweiterung aktuell noch möglich. Politische Parteien sind von ihr nicht erfasst, in Sachnähe werden nur Einrichtungen der öffentlichen Verwaltung von Zentralregierungen und auf regionaler Ebene erwähnt, wo etwa die Thematik um die Cyberangriffe auf den Bundestag zu verorten ist. Sonst lauten die Sektoren unter anderem Energie, Gesundheit, Verkehr, Bankwesen oder Abwasser.
Letztlich passen die politischen Parteien nicht in den Regelungskomplex der NIS-2-Richtlinie, allein der Ruf nach dem Gesetzgeber führt nicht zu mehr Cybersicherheit. Dies ist für die durch die aktuellen Angriffe sichtbar gewordenen Gefahren auch nicht erforderlich. Denn die Parteien unterliegen alle den Verpflichtungen der DS-GVO, wozu auch der Schutz der Datensicherheit zählt. Die technischen und organisatorischen Maßnahmen müssen gerade bei den politischen Parteien besonders scharf sein, da es sich bei den Mitgliederinformationen um sehr sensible Daten handelt, die offenkundig von großem Interesse für Cyberkriminelle mit staatlicher Unterstützung sind.
Zunächst müsste daher geprüft werden, ob die Parteien die DS-GVO ausreichend umsetzen und so ihre Cybersicherheit gewährleisten. Die DS-GVO leidet im Hinblick auf die Förderung von Compliance auch nicht an der Schwäche, dass keine Geldbußen verhängt werden können, wie etwa bei Behörden. Ein Umsetzungsdruck besteht also auch aus finanziellen Gründen.
Letztlich sollten politische Parteien ihre Cybersicherheit schon aus Eigenantrieb erhöhen, denn mit solchen Datenlecks sinkt ihre Reputation enorm. So verschwimmt zumindest für Teile der Bevölkerung die Grenze zwischen politischer Partei und Tätigkeit in Form der Legislative schnell, was den – letztlich unsauberen – Vorwurf erwecken könnte, „die Parteien“ machten der Wirtschaft strenge Vorgaben für ihre IT-Sicherheit, zeigten sich selbst aber nicht gefahrenbewusst. Letztlich sind die Parteien auch auf die Anzahl und Mitarbeit ihrer Mitglieder angewiesen, ein zu laxer Umgang mit sensiblen Informationen kann zu Mitgliederverlusten und verringerter Parteiarbeit führen.
Der Ruf nach dem Gesetzgeber scheint vorschnell. Vielmehr ist es die Aufgabe des Staates, die politischen Parteien stets über die aktuelle Gefährdungslage in Kenntnis zu setzen und mit Hilfsangeboten, etwa durch das Know-how des Bundesamts für Sicherheit in der Informationstechnik, zu unterstützen. So stärkt man sie bei der Umsetzung der bereits bestehenden Vorgaben.
Dieser Inhalt ist zuerst in der NJW erschienen. Sie möchten die NJW kostenlos testen? Jetzt vier Wochen gratis testen inkl. Online-Modul NJWDirekt.
