IT-Sicherheitsgesetz wird bald verabschiedet – Große Koalition hat noch Änderungswünsche

Geplante Cybersicherheitsstrategie für Deutschland – noch will sich die Regierung nicht äußern.

Fast parallel zur Vorratsdatenspeicherung geht das IT-Sicherheitsgesetz seinen Weg durchs Parlament. Und das mit wesentlich weniger Medienaufmerksamkeit. Schon am Freitag, dem 12.6., soll es in zweiter und dritter Lesung den Bundestag passieren.

Im Vergleich zur letzten uns bekannten Version gab es noch einige Änderungen, wie heise.de mit Verweis auf einen Änderungsantrag der Großen Koalition berichtete. Der Änderungsantrag liegt uns vor, weshalb wir ihn hier veröffentlichen. Es folgen die wichtigsten Änderungen im Überblick.

Das Bundesamt für Informationssicherheit (BSI) soll Zugriff auf Protokolldaten in Bundesbehörden bekommen, ein „Einvernehmen“ für diesen Vorgang muss es nur bei Bundesgerichten geben. Aus der Begründung:

Derzeit erfüllt das BSI sein bestehendes Mandat zur zentralen Abwehr und Detektion von Angriffen durch ein zentrales Monitoring der behördenübergreifenden Regierungsnetze. Um neue Bedrohungen zuverlässig detektieren und abwehren zu können, muss dieses Monitoring ausgebaut werden. Hierfür benötigt das BSI auch Protokolldaten aus der internen IT der Behörden.

Das liest sich wie eine Reaktion auf den jüngst in den Medien präsenten Bundestagshack. Es ist unklar, wie lange diese Daten protokolliert werden sollen.

Eine positive Änderung ist die Einführung von Bußgeldern für den Fall, dass ein Betreiber einer „Kritischen Infrastruktur“ vorgeschriebene Sicherheitsvorkehrungen „nicht, nicht richtig, nicht vollständig oder nicht rechtzeitig trifft.“ Handelt man einer Anweisung zuwider, werden Bußgelder in Höhe von bis zu 100.000 Euro fällig. In den übrigen Fällen kann sich die Strafzahlung auf bis zu 50.000 Euro belaufen. Was jedoch ausgenommen wird:

[D]er Verstoß des Betreibers einer Kritischen Infrastruktur gegen die Pflicht zur Meldung erheblicher Störungen im Sinne von § 8a Absatz 4 des BSI-Gesetzes [ist] dabei nur dann bußgeldbewehrt, wenn die betreffende Störung tatsächlich zu einem Ausfall oder einer Beeinträchtigung der Funktionsfähigkeit der Kritischen Infrastruktur geführt hat.

Das öffnet den Betreibern Tür und Tor, Sicherheitspannen weiterhin zu verschweigen, wenn nicht sowieso das Licht ausgeht und jeder von dem Problem erfährt.

An anderer Stelle wird die bindende Wirkung von Mindeststandards des BSI gestärkt, was in diesem Zusammenhang sicher sinnvoll ist. Sie sollen zu „allgemeinen Verwaltungsvorschriften“ gemacht werden können, wenn sich das Innenministerium und der IT-Rat darauf verständigen. Hier wird aber auch ein ganz anderer Punkt deutlich. Das BSI als Bundesbehörde ist immer noch direkt vom Innenministerium abhängig und auf dessen Kooperation angewiesen.

Weiterhin wurde die Kritik einiger Sachverständiger in der letzten Experten-Anhörung zum IT-Sicherheitsgesetz aufgegriffen. Es wurde vermehrt angesprochen, dass die Betreiber der Kritischen Infrastruktur Sicherheitslücken nicht selbstständig beheben können, wenn die eigentlichen Hard- und Softwareanbieter untätig bleiben. Daher kann das BSI nun „vom Hersteller der betroffenen informationstechnischen Produkte und Systeme die Mitwirkung an der Beseitigung oder Vermeidung einer Störung nach Absatz 4 verlangen.“

Einige Kritik wurde leider weiter ignoriert. Das Melden von Sicherheitsvorfällen kann immer noch anonym geschehen, insofern kein Ausfall oder eine Beeinträchtigung der Funktionsfähigkeit eingetreten ist. Außerdem sind die oftmals schwammigen Formulierungen erhalten geblieben, wie „Stand der Technik“ und „erheblicher Vorfall.“

Unangetastet sind auch die Speicherbefugnisse für Telemedien- und Telekommunikationsanbieter bezüglich Verkehrsdaten nach §100 TKG, die zur Angriffserkennung gewährt werden sollen. Hier wäre eine Konkretisierung und Beschränkung der Befugnisse dringend erforderlich, um nicht eine Vorratsdatenspeicherung für Telemedien- und Telekommunikationsanbieter durch die Hintertür einzuführen. Naja, es scheint, als hätte man bald sowieso eine Vorratsdatenspeicherung durch die Vordertür, die es loszuwerden gilt.

Was noch interessant ist: Es wurde eingefügt, dass das Gesetz vier Jahre nach Inkrafttreten „unter Einbeziehung eines wissenschaftlichen Sachverständigen, der im Einvernehmen mit dem Deutschen Bundestag bestellt wird“ zu evaluieren. Wir sind gespannt, was dabei rauskommt. Wir tippen ja darauf, dass sich die IT-Sicherheit durch das Gesetz nicht erhöhen wird, auch mit den Änderungen.

1 Ergänzungen

  1. … angesichts aktueller Meldungen geht das ja runter wie Öl …:
    „Es wurde vermehrt angesprochen, dass die Betreiber der Kritischen Infrastruktur Sicherheitslücken nicht selbstständig beheben können, …“
    (warte mal, welches Betriebssystem nutzen die alle noch mal…)

Dieser Artikel ist älter als ein Jahr, daher sind die Ergänzungen geschlossen.