IT-Sicherheitsgesetz im Kabinett beschlossen – Die kritischen Punkte zusammengefasst

Nicht wie im Bild: Die Bürger werden weiterhin bei den meisten Vorfällen im Dunkeln gelassen – via bsi-fuer-buerger.de

Heute wurde im Kabinett das IT-Sicherheitsgesetz beschlossen. Beim Bundesinnenministerium war zuvor nur ein Gesetzesentwurf aus dem August verfügbar, wir haben Anfang November den aktuellsten uns vorliegenden Entwurf veröffentlicht. Ein Vergleich der beiden Versionen findet sich bei dem IT-Sicherheitsbeauftragten der Max-Planck-Gesellschaft Rainer Gerling.

Es gibt viele Punkte im IT-Sicherheitsgesetz, die problematisch sind. Die wesentlichen, die sich auch in der heute verabschiedeten Version finden, sind hier noch einmal zusammengefasst:

  • Das BSI bekommt die Aufgabe, Sicherheitslücken zu sammeln und auszuwerten [§8b], muss sie aber nicht zwingend veröffentlichen — zumindest nicht gegenüber der breiten Bevölkerung.
  • Es gibt eine Meldepflicht für Sicherheitsvorfälle bei Unternehmen, aber keine konsequente. Standardfall sind anonyme Meldungen [§8b(4)], bei denen die Information der Betroffenen nicht sichergestellt ist, nicht einmal das BSI erfährt den Namen des betroffenen Unternehmens. Darüberhinaus greift jegliche Meldepflicht erst bei der Bereitstellung „Kritischer Infrastrukturen“, also Wasser, Energie, Telekommunikation [§8c].
  • Namentliche Meldung muss erst ab dem Ausfall kritischer Infrastruktur erfolgen, nicht bei einem Angriff oder Schaden im Allgemeinen. Also dann, wenn großflächig das Licht ausgeht und sowieso jeder mitbekommen würde, dass etwas nicht in Ordnung ist. Das bedeutet auch, dass beispielsweise ein massenhafter Datenabfluss aus einem Energieunternehmen gar nicht von Regelungen des IT-Sicherheitsgesetzes betroffen wäre, da der Betrieb dennoch funktioniert. Aus Ministeriumskreisen hieß es, die Unternehmen hätten diese Vereinbarung „sehr goutiert.“
  • Was letztlich ein „kritischer Vorfall“ und eine „erhebliche Störung“ sind, die zu einer anonymen Meldung verpflichten, wird diskutiert werden müssen. Angeblich sollen das Betreiber und BSI zusammen festlegen, da die Betreiber am besten wüssten, welches ihre kritischen Betriebsprozesse seien.
  • Durch anonyme Meldungen entsteht auch kein öffentlicher Druck für die Unternehmen, ihre Sicherheitsvorkehrungen zu verbessern, Sanktionen sind ebenso nicht vorgesehen. Hier hofft man darauf, dass bereits andere gesetzliche Regelungen greifen und die Branchen selbst derartige Regelungen treffen. Branchen könnten eigene Standards erarbeiten und vom BSI anerkennen lassen.
  • In Zukunft soll das BKA für sogenannte „Hackertools“ und deren Verfolgung zuständig sein und mehr Kompetenzen im Bereich Internetstraftaten bekommen. Damit würde vor der Erforschung und Veröffentlichung von Sicherheitslücken und Exploits weiter abgeschreckt [Artikel 7].
  • BKA, BBK und Verfassungsschutz sollen neben dem BSI mehr Mittel Kompetenzen bekommen, vor allem bei Eingriffen in Systeme des Bundes und kritische Infrastrukturen [Artikel 7].

Was verspricht man sich von einem IT-Sicherheitsgesetz, dass nur wenig konkrete Konsequenzen haben wird und dem man den Druck der Industrie, so wenig wie möglich zur Verantwortung gezogen werden zu können, überdeutlich anmerkt?

Die Antwort: Ein „verbessertes Bild zur IT-Sicherheitslage“ in Deutschland. Der Gesetzentwurf der Bundesregierung spricht davon, dass bei 2000 Betreibern kritischer Infrastruktur vermutlich maximal sieben Meldungen pro Betreiber und Jahr anfallen. Bekommt man so also mehr Meldungen über IT-Sicherheitsvorfälle als in den vergangenen Jahren, hat das nebenbei den Effekt, dass man in Lageberichten noch besser die Gefahren aus dem Internet beschwören kann, um Maßnahmen zu dessen Überwachung und Regulierung zu rechtfertigen.

Einen Teilerfolg in der abgestimmten Entwurfsversion gibt es jedoch zu verzeichnen, um nicht alles schwarz zu malen. Die Speicherberechtigung von Telemedienanbietern, Nutzerdaten bis zu sechs Monate lang zu protokollieren, um Fehler zu erkennen und zu beheben, ist aus der jetzigen Gesetzesfassung gestrichen worden [Artikel 4]. Wir hatten zuvor darüber berichtet, dass es in den Ressorts Diskussionen dazu gab, ob das eine neue Form von Vorratsdatenspeicherung sein könnte. Unseren Informationen zufolge verschwand die Berechtigung wieder, da man sich innerhalb der Bundesregierung nicht einigen konnte. Ganz vom Tisch sei das Thema aber noch nicht, die Industrie mache großen Druck in diese Richtung — natürlich nur, um sich besser präventiv vor Angriffen schützen zu können…

Unserer Einschätzung nach greift das IT-Sicherheitsgesetz an vielen Stellen zu kurz. Vor allem was die Meldepflichten, aber auch was die überhaupt betroffenen Unternehmen angeht. Ob das Gesetz also nicht nur eine Simulation von IT-Sicherheit generieren wird, werden wir beobachten. Zunächst aber einmal die Pressekonferenz von Innenminister de Maizière verfolgen, der das Gesetz der Öffentlichkeit präsentieren will, zusammen mit einem Lagebericht zur IT-Sicherheit in Deutschland, der durch BSI-Präsident Michael Hange präsentiert werden wird.

3 Ergänzungen

  1. Es ist aber auch nicht klar, ob ein besseres IT-Sicherheitsgesetz etwas an der Situation ändern kann. Firmen stellen sich auf den Standpunkt, dass Sicherheitslücken ihrer Produkte sowieso kein Einfallstor darstellen, weil sie niemand kennt. Man sei kein Massenhersteller. Das man an internationale, große Firmen ausliefert, wird einfach ignoriert. Es wird auch ignoriert, dass diese Sicherheitslücken individueller Lösungen immer bekannten Mustern folgen. Hacker wissen, wie man die ausnutzt. Die selben Firmen setzen dann auf Dongels zum (zweifelhaftem) „Schutz“ ihres „geistigen Eigentums“. Schere im Kopf?

    Dazu kommt, dass etwa ein Windows-Treiber einer PCI-Karte, USB, Firewire einfach kaum abgesichert werden kann. Über diese Schnittstellen lässt sich an Windows vorbei der gesamte Speicher des Rechners auslesen oder manipulieren. Daran ändert auch die Treiberzertifizierung gar nichts. Die wiegt einen Anwender nur in falsche Sicherheit.

    Was da noch helfen kann ist Transparenz. Das würde Hersteller bis hin zu MS zwingen, sich endlich einmal Gedanken zu machen. Momentan ist es billiger, nicht nachzudenken.

  2. Hin und wieder taucht in den Meldungen auf, dass auch der BND Kompetenzen und Personal- sowie Sachmittel im Zusammenhang mit dem neuen IT-Sicherheitsgesetz erhalten soll (vgl. z. B. http://www.heise.de/newsticker/meldung/IT-Sicherheitsgesetz-Kritik-an-Aufruestung-Warnung-vor-nationalem-Alleingang-2499554.html) . Ebenso die BfDI. Der Gesetzentwurf gibt dazu aber nichts her. Worauf beruhen diese Aussagen?

    Wenn es stimmt, dass auch BND und BfV Zuständigkeiten samt Personal und Geld im Zusammenhang mit dem IT-Sicherheitsgesetz erhalten sollen, dann finde ich das vor allem anderen kritikwürdig, weil damit ausgerechnet die vermutlich am wenigsten vertrauenswürdigen Behörden für unseren Schutz im Internet sorgen sollen. Mit dem BND sogar eine Behörde, die nachweislich Geld für Zero-Day-Exploits ausgibt, um sie dann zu nutzen statt uns davor zu warnen.

  3. da macht es dann auch wieder Sinn das entdeckte Sicherheitslücken nicht veröffentlicht werden müssen, kann der BND natürlich gebrauchen……..

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.