Der Radio-Journalist Peter Welchering hat gestern beim Digitalgipfel der Bundesregierung unserer Wirtschaftsministerin und damit ein-Drittel-Internetministerin Brigitte Zypries eine Frage zu Meldepflichten im Rahmen der IT-Sicherheitsdebatte gestellt – und als Antwort erhalten, dass sie die Debatte gar nicht kennt und auch nicht zuständig ist.
Das IT-Sicherheitsgesetz wurde vor zwei Jahren beschlossen. Damals haben Wirtschaftslobbys erfolgreich verhindert, dass zu scharfe Meldepflichten eingeführt werden. Erst vor wenigen Wochen hat der Deutsche Bundestag das IT-Sicherheitsgesetz reformiert und an die NIS-Richtlinie der EU angepasst. Auch da ging es um Meldepflichten.
Hier ist ein Transkript der Fragen und Antworten:
https://twitter.com/welchering/status/874960260737499141
Und hier haben wir ein kurzes Transkript:
Peter Welchering:
Die Meldepflicht für Sicherheitslücken fordern ja gerade Sicherheitsforscher, weil die sagen: „Nur dann kann (sic!) die ja letztlich geschlossen werden.“ Wenn sie beispielsweise einer vertraulichen Stelle gemeldet wird, die sich dann etwa mit dem entsprechenden Hersteller ins Benehmen setzt und den auffordert: „Schließt das mal, sonst machen wir das öffentlich.“Brigitte Zypries:
hm, hm [zuckt mit den Schultern]. Die Debatte kenne ich nicht.Peter Welchering:
Das habe ich befürchtet, danke.Brigitte Zypries:
Na ja, es ist auch nicht mein Job, um ehrlich zu sein. Das ist Sache des Bundesinnenministers, fragen Sie den mal.
Die alte Zypries kennt sich schon aus, die hatte nur keine Lust oder einen Maulkorb um.
https://de.wikipedia.org/wiki/Brigitte_Zypries#B.C3.BCrgerrechte.2C_Innere_Sicherheit_und_Datenschutz
In dem Wikipedia-Artikel steht kein Hinweis auf Meldepflichten bei IT-Sicherheitsproblemen. So what? Aber es steht klar drin, dass sie sich stets mannhaft zur Wehr gesetzt hat gegen Übermaß vom rechten Rand.
Im IT-Sicherheitsgesetz ist festgelegt, dass Schwachstellen beim BSI gemeldet werden müssen. Das BSI kann nach §8b des IT-Sicherheitsgesetzes:
„(6) Soweit erforderlich kann das Bundesamt vom Hersteller der betroffenen informationstechnischen Produkte und Systeme die Mitwirkung an der Beseitigung oder Vermeidung einer Störung nach Absatz 4 verlangen.“
https://www.bgbl.de/xaver/bgbl/text.xav?SID=&tf=xaver.component.Text_0&tocf=&qmf=&hlf=xaver.component.Hitlist_0&bk=bgbl&start=%2F%2F*%5B%40node_id%3D%27175315%27%5D&skin=pdf&tlevel=-2&nohist=1
Zypries hat 2015 klar zum IT-Sicherheitsgesetz Position bezogen.
http://www.egovernment-computing.de/mehr-schutz-fuer-die-behoerden-it-a-494217/
Dass Welchering jetzt so tut, als wenn das noch debattiert werden muss und ungeregelt sein muss, ist in der Tat nicht das Problem von Zypries. Ich würde auch die Achelsn zucken, wen kalre rechtliche Regelungen nach Jahren noch angezweifelt werden und so getan wird, sie müssten noch getroffen werden.
Man könnte auch darüber philosophieren, dass die meisten Menschen von den IT-Gipfeln seit 11 Jahren nichts erwarten, aber Welchering dorthin eilt, um einen vermeintlichen Scoop zu landen. Geht das nur mir so, dass Welcherings Filmchen auf Twitter ohne Ton ist?
Viel Lärm um nichts. Much Ado About Nothing. Um es mit Shakespeare zu sagen.
Mann kann ja Frau Zypries kritisieren oder KRITISieren, tue ich ja auch gerne :-) Aber dann sollte es Substanz haben. ;-)
Sorgt jetzt der Link auf das Bundesgesetzblatt für eine Verhinderung der Freischaltung? :-) OMG.
Vielleicht wollte man prüfen, ob der Link sinnvoll ist. Änderungsvorschriften von irgendwann sagen u.U. wenig über den heutigen Stand von Gesetzen aus.
Ja dann prüf doch.
Ich sehe es eher als Problem dieser Digitalen Agenda und ihrer Verteilung innerhalb der Bundesregierung, wenn 1/3 Internetministerin nicht weiß, um welche netzpolitisch relevante Debatte es sich handelt.
Die Meldepflicht und die Heranziehung der Hersteller ist im Gesetz 2015 verankert worden. Stand doch auch hier au Netzpolitik:
„Ebenso wichtig für die IT-Sicherheit sind diejenigen, die Komponenten für IT-Systeme liefern, auf deren Basis die Betreiber arbeiten müssen. Existieren beispielsweise Sicherheitslücken in verwendeter Hard- oder Software, hat ein Betreiber eines Unternehmens wenig Handhabe, das ITSG hilft ihm dabei nicht. Ein Änderungsantrag der Großen Koalition hat diesen Punkt jedoch aufgegriffen und will auch die Hersteller und Zulieferer mit in die Verantwortung nehmen.“
Was für eine aktuelle Debatte soll sie denn kennen, in der das gefordert wird, was damals im Gesetz verankert wurde? Das angebliche Problem wird in der Frage von Welchering nicht deutlich und die Schlüsse sind dann absurd.
Sie kann es noch! „Browser, was sind jetzt nochmal Browser?“
http://m.spiegel.de/netzwelt/web/web-tipp-zum-wochenende-browser-was-sind-jetzt-nochmal-browser-a-491415.html