Änderungsentwurf zum BSI-Errichtungsgesetz im Volltext

Der bisher nicht öffentliche Referentenentwurf für das Änderungsgesetz zum BSI-Errichtungsgesetz ist uns gerade zugespielt worden. Im September hatten wir bereits auf eine Sendung im Deutschlandradio verwiesen, in dem auf eine geplante Befugnis des BSI hingewiesen wurde,

sich Zugang zu Gebäuden, Einrichtungen und informationstechnischen Systemen [zu] verschaffen, die für den Betrieb der betroffenen Informationstechnik von Bedeutung sind und die Steuerung solcher Einrichtungen [zu] übernehmen, wenn dies zur Abwehr einer dringenden Gefahr für die Kommunikationstechnik des Bundes erforderlich ist.

Heise hatte im Dezember dann den Referentenentwurf vorliegen und ihn ganz gut zusammengefasst. Von der Befugnis, Gebäude zu betreten oder ganze IT-Systeme zu übernehmen, war da allerdings schon nicht mehr die Rede. Dennoch gibt es einige unter Umständen heikle neue Befugnisse:

  • die Speicherung und Verarbeitung von Telekommunikationsdaten zu Sicherheitszwecken sowie deren Weitergabe an Polizei, Strafverfolgungsbehörden und „sonstige öffentliche Stellen“,
  • die Unterstützung des BND durch das BSI,
  • die Befugnis des BSI, für Behörden verpflichtende IT-Sicherheitsstandards zu erlassen,
  • die neue Rolle des BSI als Zertifizierungsstelle für IT-Sicherheit.

Nun liegt also der Entwurf im Volltext vor, und ihr könnt euch selber ein Bild machen. Zum Vergleich hier die derzeit gültige Fassung des „Gesetzes über die Errichtung des Bundesamtes für Sicherheit in der Informationstechnik“ (BSI-Gesetz).

7 Ergänzungen

  1. Heikle neue Befugnisse?
    Was ist daran neu, dass das BSI Zertifizierungsstelle für IT-Sicherheit (ITSEC, CC) ist? Das ist es schon seit Jahren. Und was ist daran heikel?
    Und was ist daran heikel, dass das BSI verpflichtende IT-Sicherheitsstandards für Behörden erlassen soll? Als Empfehlungen tut dies das BSI ebenfalls schon seit Jahren. Da diese Empfehlungen aber auch schon seit Jahren von den Behörden wie Gesetze behandelt werden, ist es nur ein logischer Schritt, diese Empfehlungen jetzt verplichtend zu machen. Also wirklich neu ist dies ebenfalls nicht.
    In den zwei anderen Punkten stimme ich allerdings zu. Weniger weil die Zusammenarbeit neu wäre, sondern weil es u. U. heikel ist.

  2. Das Betreten von Gebäuden bezieht sich dem Gesetz nach ausschließlich auf bundeseigene Gebäude/Behörden. Das ist in meinen Augen eigentlich unproblematisch. Ein Firmen-Admin hat ja auch Zugang zu allen Rechnern in der Firma…

    Die Speicherung personenbezogener Daten dürfte sich m.E. auf Log-Files von Webseiten des Bundes beziehen – z.B.

    Interessanter ist da hingegen der neue § 3 Abs.1 Nr.13 c) zu den Aufgaben zählt:
    „Unterstützung des BND bei der Wahrnehmung seiner gesetzlichen Aufgaben“.
    Das klingt fast so, wie wenn der BND Hilfe bei der Programmierung des Bundes-Trojaners braucht, diese vom BSI bekommen kann.
    Laut dem Folgesatz wird dies aber eigentlich ausgeschlossen:
    „Die Unterstützung darf nur gewährt werden, soweit sie erforderlich ist, um Tätigkeiten zu verhindern oder zu erforschen, die gegen die Sicherheit in der Informationstechnik gerichtet sind oder unter Nutzung der Informationstechnik erfolgen. 3Die Unterstützungsersuchen sind durch das Bundesamt aktenkundig zu machen,“

    Möglich dass die Verfasser ersteres beabsichtigt hatten und dabei dieses übersehen haben. Wundert mich bei den schlampigen Gesetzen dieser BR nicht.

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.