Heute im Bundestag Verabschiedung des IT-Sicherheitsgesetzes – ein Überblick

Geplante Cybersicherheitsstrategie für Deutschland – noch will sich die Regierung nicht äußern.

Ab 9 Uhr wird es heute eine Debatte über das IT-Sicherheitsgesetz im Bundestag geben, danach geht es in die Abstimmung. Gleichzeitig zur Abstimmung steht auch ein Entschließungsantrag der Grünen, die fordern, dass das IT-Sicherheitsgesetz in seiner jetzigen Form zurückgezogen und verbessert werden soll. Wir haben den Gesetzgebungsprozess intensiv begleitet und fassen vor der Entscheidung, deren Ausgang wenig Raum für Überraschungen lässt, die Kritikpunkte an der aktuellen Gesetzesfassung zusammen.

Das Gesetz sieht eine anonyme Meldepflicht für IT-Sicherheitsvorfälle in Kritischen Infrastrukturen vor. Ob das genügt, um Unternehmen zur Investition in IT-Sicherheit zu bewegen, ist fraglich, da kein öffentlicher Druck entsteht. Namentlich muss nur gemeldet werden, „wenn sowieso das Licht ausgeht“, es also zu sehr schweren Beeinträchtigungen oder dem Ausfall von kritischen Systemen kommt. Ob eine vorgesehene nachträgliche Meldepflicht ausreichend ist, wenn Angreifer sich normalerweise nicht darauf beschränken, Infrastrukturen nacheinander anzugreifen, sondern dies in der Regel parallel erfolgt, wird ebenso angezweifelt. Damit verbunden wird auch befürchtet, dass die Information der Öffentlichkeit mangelhaft bleibt, wenn das BSI nur in Form von Lagebildern und nicht in Form von standardmäßiger Benachrichtigung Betroffener über die Sicherheitsvorfälle aufklärt.

Ein weiterer, viel bemängelter Punkt sind die unklaren Begriffsdefinitionen, die unter anderem dazu führen, dass Unternehmen nicht wissen würden, ob sie selbst zur betroffenen kritischen Infrastruktur gehören. Auch die Festlegung auf einen „Stand der Technik“ gibt keine klaren Leitlinien, eine Konkretisierung des Begriffes ist jedoch im Rahmen eines Gesetzes schwer umzusetzen. Laut Bundesregierung sind kritische Infrastrukturen jene, die für das Gemeinwohl unerlässlich sind. Das sind zum Beispiel Wasser, Energie, Telekommunikation. Es wird geschätzt, dass etwa 2.000 Unternehmen unter „kritisch“ fallen. Aber woran festgemacht wird, ob ein Stadtwerk groß genug ist, um als solches zu gelten, bleibt im Dunkeln.

Die Begrenzung des Gesetzes auf kritische Infrastrukturen ist dabei ein Kritikpunkt an sich. Denn eigentlich, sollte man meinen, ist IT-Sicherheit für alle ein maßgeblicher Faktor. Denn wenn eine Vielzahl an Unternehmen, die vielleicht für sich genommen nicht kritisch wären, von einem Angriff betroffen ist, kann das in der Masse einen ebenso kritischen Vorfall darstellen wie beispielsweise ein Angriff auf einen einzelnen großen Energieversorger. Ganz abgesehen von öffentlicher Verwaltung und anderen Bundes- und Ländereinrichtungen.

Ebenso wichtig für die IT-Sicherheit sind diejenigen, die Komponenten für IT-Systeme liefern, auf deren Basis die Betreiber arbeiten müssen. Existieren beispielsweise Sicherheitslücken in verwendeter Hard- oder Software, hat ein Betreiber eines Unternehmens wenig Handhabe, das ITSG hilft ihm dabei nicht. Ein Änderungsantrag der Großen Koalition hat diesen Punkt jedoch aufgegriffen und will auch die Hersteller und Zulieferer mit in die Verantwortung nehmen.

Ein anderes, viel angesprochenes Thema sind die Speicherbefugnisse für Telemedien- und Telekommunikationsanbieter bezüglich Verkehrsdaten nach §100 TKG, die zur Angriffserkennung gewährt werden sollen, ebenso wie die Möglichkeiten der Bestandsdatenabfrage zur Störungserkennung. Hier wird Tür und Tor für eine Verkehrsdatenspeicherung geöffnet. Momentan steht uns die durch Vorratsdatenspeicherung zwar sowieso bevor, aber kein Grund, Verfassungswidrigkeiten noch mit anderen Gesetzen zu untermauern.

Was die Wirksamkeit des Gesetzes darüberhinaus behindern könnte, sind die mangelnden Sanktionierungsbefugnisse. Denn gibt es keinen wirtschaftlichen Anreiz, Sanktionen zu vermeiden, da schlichtweg keine vorgesehen sind, ist es fraglich, ob Unternehmen mitunter intensive Investitionen in IT-Sicherheit tätigen werden. Deshalb sieht der letzte Änderungsantrag der Regierungskoalition nun doch – nachdem man immer wieder betonte, die Sanktionierung den Branchen überlassen zu wollen – Bußgelder in Höhe von maximal 50.000 bzw. 100.000 Euro vor, wenn es zu Verstößen kommt.

Mit dem IT-Sicherheitsgesetz soll die Rolle des BSI gestärkt werden, und es soll mehr Befugnisse bekommen. Ob das eine gute Idee ist, ist umstritten. Der Chaos Computer Club zweifelt in seiner Stellungnahme dessen Eignung an:

Spätestens seit bekanntwurde, daß das BSI seit Jahren an entscheidender Position staatliche Schadsoftware mitentwickelt, genießt das Amt kein Vertrauen mehr. Der CCC erneuert daher seine Forderung, das BSI endlich zu einer vom Innenministerium unabhängigen Bundesbehörde mit klarem Sicherheitsauftrag zu machen, die bei Staatstrojaner-Plänen oder anderen Maßnahmen, die zur Senkung der IT-Sicherheit beitragen, nicht mehr zuarbeiten darf.

Was noch dazu fehlt, ist eine hiebfeste Einschränkung der Zweckbindung in Bezug auf persönliche Daten, die vom BSI verarbeitet und weitergegeben werden.

Neben dem BSI sollen auch das Bundeskriminalamt, das Bundesamt für Verfassungsschutz, der Bundesnachrichtendienst und andere gestärkt werden. Mehr Stellen, mehr Budget, Zuständigkeiten für „Cyberkriminalität“ machen den Bock zum Gärtner.

Ob eine Verabschiedung des IT-Sicherheitsgesetzes zum aktuellen Zeitpunkt überhaupt sinnvoll ist, wurde aufgrund der aktuell debattierten NIS-Richtlinie an mehreren Stellen angezweifelt. Die NIS-Richtlinie stellt quasi das europäische Äquivalent des ITSG und damit Mindeststandards dar. Bei Widersprüchen müsste das ITSG nachgeregelt werden, manche sehen das ITSG jedoch als mögliche Vorlage für die europäische Regelung.

Und nun? Dass das IT-Sicherheitsgesetz kommt, ist mehr als wahrscheinlich. IT-Sicherheit wird dadurch nicht erhöht, sondern simuliert. Die Grünen haben in ihrem Entschließungsantrag Forderungen aufgestellt, um das Gesetz zu verbessern. Neben der Berücksichtigung der oben genannten Kritik wäre das beispielsweise auch die Förderung von Open-Source-Produkten und Verschlüsselung, gründliche Auditierung von Software, hohe Datenschutzstandards sowie Schutz von Whistleblowern, die auf Sicherheitsprobleme aufmerksam machen. Bis es in der Regierung zu solch einer Einsicht kommt, werden wohl aber noch ein paar „Cyberattacken“ auf öffentliche und sicherheitskritische Stellen ins Land gehen.

2 Ergänzungen

  1. Na klar wird das Gesetz verabschiedet, gibt es doch gerade so einen schönen IT-Angriff auf die Institution, die das verabschieden soll, und natürlich waren es die Russen 8-)

    Golf von Tonking 8-)

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.