Im gestrigen FAZ-Beitrag hat unser Innenminister de Maizière nicht nur kundgetan, dass ihm unsere Agenda-Leaks gegen den Strich gingen, sondern er hat ebenso das geplante IT-Sicherheitsgesetz angesprochen, dessen Entwurf mit Stand von gestern man auf den Seiten des Innenministeriums herunterladen kann. Es ist außerdem ein Ausblick auf die Digitale Agenda der Bundesregierung, die morgen vorgestellt werden wird.
In dem Entwurf zur Digitalen Agenda heißt es:
Wir verbessern die IT-Sicherheit durch den Ausbau von Partnerschaften mit Betreibern kritischer Infrastrukturen und durch gesetzliche Vorgaben zu Mindestsicherheitsstandards und eine Meldepflicht für erhebliche IT-Sicherheitsvorfälle im Rahmen eines IT-Sicherheitsgesetzes.
De Maiziére spricht in seinem Gastbeitrag davon, die „IT-Systeme und digitalen Infrastrukturen Deutschlands sollen die sichersten weltweit werden“. Um das zu erreichen, werden im IT-Sicherheitsgesetz diverse Maßnahmen vorgeschlagen. Unter anderem, weg vom Prinzip der Freiwilligkeit bei der Sicherung der IT-Infrastruktur in Unternehmen zu gehen, hin zu stärkeren „ordnungspolitischen Eingriffen“, um Unterschiede zwischen den Branchen zu verringern. Auch für die IT-Systeme des Bundes solle es verbindliche Vorgaben geben. Eine freiwillige Basis reiche nicht mehr aus, stattdessen fordert der Minister eine Anschnallpflicht im Digitalen – „Sicherheitsgurte für die IT der kritischen Infrastrukturen“.
Nicht der erste Versuch von Regelungen für IT-Sicherheit
Auf EU-Ebene steht ein mittlerweile im Parlament bestätigter Entwurf für eine Richtlinie zur Netz- und Informationssicherheit (NIS) seit Längerem im Raum und bereits Ex-Innenminister Friedrich hatte in der letzten Legislaturperiode einen Anlauf für das IT-Sicherheitsgesetz gewagt. Er präsentierte 2013 seinen Entwurf, der von vielen Stimmen kritisiert wurde, unter anderem vom ehemaligen Datenschutzbeauftragten Peter Schaar, der eine Vorratsdatenspeicherung durch die Hintertür unter Rechtfertigung durch den Cyber-Abwehrkampf fürchtete und den Aktionismus ohne abgestimmte Strategie bei der Abwehr von Gefahren aus dem Internet anmahnte. Doch nicht nur Datenschützer, vor allem auch Stimmen aus der Wirtschaft zeigten sich unzufrieden. BITKOM beispielsweise nannte „Überregulierung und Überschneidung von Kompetenzen“ als aus deren Sicht Schwachpunkte des Vorschlags. Besonders die Meldepflicht wurde kontrovers diskutiert. Letztlich hat die Industrielobby derart massiven Druck auf das Wirtschaftsministerium ausgeübt, dass eine Verabschiedung des Gesetzes von diesem blockiert wurde.
Lobbydruck durch Wirtschaft war erfolgreich
Diesmal soll die Wirtschaft nicht wieder dazwischenfunken, dafür zeigt man schon im Vorfeld massives Entgegenkommen. Es sind Erleichterungen in Form anonymer Meldemöglichkeiten bei noch nicht erfolgtem „gefährlichen Ausfall oder einer Beeinträchtigung der kritischen Infrastruktur“ – wie auch immer das definiert wird – vorgesehen, damit Firmen keine Imageschäden mehr fürchten müssen. Außerdem fallen die zu meldenden Angaben minimal aus. Lediglich die „technischen Rahmenbedingungen, insbesondere der eingesetzten und betroffenen Informationstechnik“ und die Branche müssen ans BSI übermittelt werden. Sinnvoll wäre aber außerdem eine Angabe zu der Schwere von Schäden und der Menge der Betroffenen.
An diesem Punkt haben die Industrielobbyisten ganze Arbeit geleistet. De Maizière ist darauf bedacht, sie von ihrem Vorteil bei der Sache zu überzeugen. Informationen seien die Währung der heutigen Zeit, der Staat zahle als Gegenleistung für die Meldepflicht „bar zurück“, da alle Unternehmen von Informationen profitierten, die vom BSI gesammelt wurden und sich somit selbst besser schützen können.
Dabei bleibt aber außer Acht, dass die anonyme Meldepflicht Schlupflöcher lässt, sich der Verantwortung zu entziehen. Denn wenn ein Sicherheitsproblem durch ausschließliche Meldung an eine Behörde keinen öffentlichen Druck für das Unternehmen erzeugt, sondern nur eine anonyme Nachricht erfordert, ist die Motivation gering, proaktiv für genügend Sicherheit zu sorgen. Denn im Zweifel kann man sparen und nimmt Sicherheitslücken im Glauben, es werde schon alles gut gehen, in Kauf.
Die eigentlichen Betroffenen werden im Unklaren gelassen
Die eigentlich Betroffenen – die Verbraucher – erfahren bei einer anonymen Meldemöglichkeit nichts, daran krankten bereits der vorige Entwurf des Gesetzes sowie die geplante EU-Richtlinie. Mit einer bloßen Benachrichtigung von Behörden kann die „besondere Verantwortung für das Gemeinwohl“, von dem im Entwurf die Rede ist, nicht durchgesetzt werden. Diejenigen, die qua Gesetzentwurf zukünftig Verbraucher informieren müssten, sind Telekommunikationsanbieter. Dafür sollen ihnen im Gegenzug Bestands- und Verkehrsdaten seiner Kunden zum „Erkennen, Eingrenzen oder Beseitigen von Störungen“ zur Verfügung stehen. Wer hier eine Hintertür-Vorratsdatenspeicherung wittert, liegt richtig. Außerdem fragt man sich, warum nur die Telekommunikationsanbieter in die Benachrichtigungspflicht genommen werden? Warum nicht alle, die personenbezogene und -beziehbare Daten speichern, Onlineshops beispielsweise?
Es gibt noch weitere Appetit-Häppchen für die Wirtschaftsvertreter. De Maizière betont, wie wichtig ihm die Beteiligung von Unternehmen trotz zunehmender Außenregulierung sei und wie er sie einbeziehen will:
Betreiber Kritischer Infrastrukturen und ihre Branchenverbände können branchenspezifische Sicherheitsstandards vorschlagen.
Daraus ergebe sich durch die Vorreiterrolle Deutschlands ebenso eine Stärkung der Wirtschaft, Exportchancen für Sicherheitsunternehmen würden verbessert. Tatsächlich bietet sich aber ein offenes Tor für die Bestrebungen, möglichst wirtschaftliche, sprich minimale, Anforderungen zu formulieren und tatsächliche Sicherheit und vor allem Datenschutz zu schwächen. Der gesamte Entwurf ist durch die Lobbyarbeit der IT-Branche beim letzten Versuch verwässert worden.
Mehr Geld und Kompetenzen für BKA, BSI, BBK und Verfassungsschutz
Neben IT-Sicherheit bei Unternehmen soll eine Ausweitung der Kompetenzen des BKA auf dem Gebiet der „Cybercrime-Bekämpfung“ Abhilfe schaffen. „Cyberdelikte“ fielen dann nicht mehr unter die Zuständigkeit der einzelnen Bundesländer sondern würden zentral dem BKA zugeordnet. Dafür gebe es extra Gelder, auch für BSI, den Bundesverfassungsschutz und das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK). Insgesamt sollen etwa 270 neue Stellen entstehen. Dafür seien 20 Millionen Euro eingeplant, was in Widerspruch zu den von anderer Stelle bekanntgegebenen Sparmaßnahmen beim BSI steht. Das IT-Sicherheitsgesetz enthält übrigens auch eine Änderung des BSI-Gesetzes, das die Forderungen der SPD nach Unabhängigkeit der Behörde vom Innenministerium hinfällig macht:
Der Bund unterhält ein Bundesamt für Sicherheit in der Informationstechnik als nationale Informationssicherheitsbehörde. Es untersteht als Bundesoberbehörde dem Bundesministerium des Innern.
Fazit
Der Journalist Thorsten Kleinz kommentiert einen Aspekt des Entwurfs treffend:
Das Problem: Das IT-Sicherheitsgesetz definiert das Internet selbst als Problem. Würde man so eine Problembeschreibung beginnen, die sich um Verkehr oder das Energienetz dreht? „Der Straßenverkehr durchdringt Staat, Wirtschaft und Gesellschaft in immer größerem Maße.“ Oder: „Quer durch alle Branchen ist heute schon mehr als die Hälfte aller Unternehmen in Deutschland von Elektrizität abhängig.“
Das Internet ist immer noch Neuland und aus Angst vor diesem setzt man stets auf mehr Durchregulierung, Kontrolle und Sicherheit, man militarisiert das Internet. Freiheit und Datenschutz bleiben dabei auf der Strecke. Von Datenminimierung beispielsweise ist keine Rede. Dabei könnte die dabei helfen, die Schäden von Datenlecks einzudämmen. Denn wenn sensible persönliche Daten gar nicht erst erhoben oder zeitnah gelöscht werden werden, soweit sie nicht dringend nötig sind, können sie auch nicht in die falschen Hände geraten. Doch der Einfluss der IT-Industrie zählt mehr als der Schutz der Bevölkerung. Nach den NSA-Skandalen ist der Schutz vor Wirtschaftsspionage vor den Schutz der Normalnutzer gerückt.
Der Entwurf wurde heute in die Ressortabstimmung der beteiligten Ministerien gegeben. Dem soll eine Debatte „mit den beteiligten Kreisen aus Wirtschaft und Gesellschaft“ folgen. Danach bleiben die Unternehmen zwei Jahre Zeit, beschlossene Standards umzusetzen. Wir finden, das ist die falsche Reihenfolge. Die Bevölkerung vor vollendete Tatsachen zu stellen, um ihnen dann die Illusion von Mitsprache zu geben, reicht nicht. Wir würden uns deshalb freuen, wenn ihr uns mitteilt, wie ihr den Entwurf einschätzt und wo ihr die kritischen Punkte sehr. Verweise auf andere aufschlussreiche Analysen dürft ihr auch gern in den Kommentaren posten.
IT-Sicherheit ist ein riesiges Problem sowohl für Privatpersonen als auch für Wirtschaft und Industrie. Ich finde es gut, dass der Wirtschafts-/Industrie-Teil davon nun angegangen wird. Dafür verdient die Bundesregierung durchaus auch Lob.
Man könnte z.B. die Ansicht publik machen, dass IT-Sicherheit für Telekommunikationsfirmen, Strom- und Wasserversorger, Verkehrsbetriebe, Banken und Krankenhäuser nur erreicht werden kann, wenn dort konsequent auf quelloffene Software gesetzt wird und somit einen Teil der nun frei werdenden Gelder für deren (Weiter)Entwicklung abzweigen. Dann würden Steuergelder endlich mal für etwas nachhaltiges und sinnvolles eingesetzt, von dem wir alle etwas haben.
Auch die Informationspflicht bei „Cyber-Angriffen“ ist doch prinzipiell eine gute Idee (auch wenn die Umsetzung zu verwässert ist).
Unseren Kampf für mehr Datenschutz und Privatsphäre müssen wir parallel an anderer Stelle weiter kämpfen. Ich finde, man sollte öffentlich betonen, dass eben jene Hälfte der Antwort auf die Snowden-Enthüllungen noch fehlt. Aber das ist doch kein Grund, die Lösungsansätze für die andere Hälfte des Problems abzulehnen.
Bleibt zu hoffen, dass sich dieses IT-Sicherheitsgesetz nicht nur auf unerlaubte/unerwünschte Eingriffe von außen in die Netze deutscher Unternehmen beschränkt, sondern diesen relevanten deutschen Unternehmen auch klare Vorgaben macht, welche Software sie unter welchen Rahmenbedingungen selbst einführen dürfen. Da ist nach meinem Kenntnisstand die Gefahr viel größer. Die Entscheider schauen eher auf die monetären Aspekte, technisches know-how geht ihnen in der Regel ab, erst recht was potenzielle Risiken dieser Software betrifft. Man holt sich ins Haus, was günstig ist, Herkunft und Ausspährisiko spielen keine Rolle.
Die NIS Richtlinie wurde ja dahin gehend vergurkt vom Parlament, dass der digitale Bereich nunmehr ausgeschlossen wurde, was auch ok ist, weil es ohnehin nur für Placebo-Aktivitäten gedacht war.
Ich kann nurn hoffen, dass Deutschland selbst diesen Fehler im nationalen Rahmen nicht macht und die Notwerndigkeit zum Wirtschaftsschutz im digitalen Raum konsequenter umsetzt.
Der Bericht zum IT-Sicherheitsgesetz ist schwach, wirklich schwach. Habt ihr das ganze gelesen? Die anonyme Meldung ist nur für minderschwere, noch nicht erfolgte oder abgewehrte Angriffe vorgesehen. In allen Fällen, in denen es zu einem tatsächlichem Schaden gekommen ist, sind die Berichte nicht anonym einzureichen.
Die Öffentlichkeit wird vom BSI in den Fällen informiert, in denen es die öffentliche Sicherheit erfordert. Die betroffenen Unternehmen müssen ihre Kunden informieren, wenn deren Daten oder IT-Systeme kompromittiert werden.
Anders als in der NIS Directive sind Internet-Dienste übrigens nicht per se raus. Der Anwendungsbereich der Gesetzesänderungen, mithin also die Ausdefinierung der „kritischen Infrastrukturen“, lässt durchaus die Einbeziehung von reinen Internetdiensten zu.
Das alles hätte man lesen können, steht alles in der Begründung des Referentenentwurfs. Dass sich aus den wohlfeilen, weil nicht mit den wirtschaftlichen Konsequenzen auseinandersetzenden Rängen vermeintlicher Bürgerrechtler Kritik regt, weil das Meldewesen nicht komplett transparent und öffentlich gestaltet wird, ist eine offensichtliche und berechtigte Reaktion. Das es auch andere – berechtigte – Interessen gibt, dass fällt vielen aber schwer zu verstehen.