Überwachung

Digitale Agenda des Innenministeriums bleibt bei IT-Sicherheit vage

Das Innenministerium betont erneut die Priorität der IT-Sicherheit. Für das IT-Sicherheitsgesetz 2.0 soll es bereits einen Entwurf geben, in der neuen Digitalen Agenda bleibt die Behörde jedoch dazu unkonkret. Erste Hinweise gibt diese aber.

Horst Seehofer. Montage: netzpolitik.org CC-BY-SA 2.0 Giorgio Montersino

In der „Digitalen Agenda“ des Bundesinnenministeriums legt Horst Seehofers Behörde ihre Prioritäten für die kommenden Monate fest. Die Nummer 1 des vergangene Woche veröffentlichten Papiers: „Sicherheit im Netz auf höchstem Niveau“. Mit „mehr Schutz, mehr Sicherheit und mehr Information“ möchte man sich besser gegen die Bedrohung duch Cyberangriffe wappnen, die das Minsisterium als „unvermindert hoch“ einstuft. Ein zentraler Schritt für mehr Sicherheit soll das „IT-Sicherheitsgesetz 2.0“ sein, das Seehofer bereits vergangenes Jahr angekündigt hatte. Laut seinen Berichten im Bundestagsausschuss Digitale Agenda wird es bald in die Ressortabstimmung gehen.

Mit dem Gesetz soll das Bundesamt für Sicherheit in der Informationstechnik (BSI) als „tragende Säule der Cybersicherheitsarchitektur in Deutschland“ gestärkt werden. Bereits in diesem Jahr seien 350 zusätzliche Stellen für die Behörde geschaffen worden, dem sollen erweiterte Befugnisse folgen.

Besserer Schutz der IT-Systeme

Das BMI will das BSI in die Lage versetzen, Angriffe auf Regierungssysteme besser entdecken und abwehren zu können. Bereits jetzt ist das BSI für den Schutz der IT-Systeme des Bundes zuständig. In seinem jährlichen Lagebericht sprach es von 28.000 E-Mails mit Schadprogrammen, die monatlich in der Bundesverwaltung eintreffen würden. Im Zuge des Bundestagshacks 2015 unterstützte das BSI auch das Parlament dabei, die Kontrolle über dessen Systeme zurückzubekommen. Trotzdem dringen manche der Angreifer durch die Schutzsysteme, etwa ein erfolgreicher Angriff auf das Auswärtige Amt im Jahr 2018.

Laut der Digitalen Agenda soll das BSI Daten aus den Regierungsnetzen länger als bisher aufheben dürfen. Laut dem aktuellen BSI-Gesetz darf die Behörde personenbezogene Daten solange gespeichert werden, „wie sie für die Erfüllung der Aufgaben des BSI tatsächlich notwendig sind“. In Verdachtsfällen dürfen Daten drei Monate lang gespeichert bleiben, wann immer möglich in pseudonymisierter Form.

Das könnte sich mit einer Novellierung des IT-Sicherheitsgesetzes nun ändern. Denn Daten sollen länger gespeichert und „vermehrt auch unpseudonymisiert“ verwendet werden dürfen. Wie genau die Speicherfristen oder die Verabeitung aussehen soll, ist in der Digitalen Agenda noch nicht definiert.

Ausbau der Meldepflichten für Unternehmen

Zur Verbesserung der IT-Sicherheit soll auch die Privatwirtschaft verstärkt in die Pflicht genommen werden. Das Innenministerium plant die Meldepflicht für Unternehmen auszuweiten, die von Cyberangriffen betroffen sind: „Weitere Teile der Wirtschaft“ sollen zukünftig „gravierende Cybervorfälle“ an die Behörde melden müssen.

Bisher fallen Betreiber von Kritischen Infrastrukturen unter die Meldepflicht, das sind beispielsweise Energieversorger oder Arzneimittelhersteller. Solange es nicht zu einer ernsten Störung der Infrastruktur kommt, kann die Meldung anonym erfolgen. Damit würde nur gemeldet werden, wenn sowieso schon das Licht ausgehe, lautet die Kritik. Ob sich das nun mit der Novellierung des Gesetzes ändert, bleibt bis zur Veröffentlichung des entsprechenden Gesetzesentwurfes abzuwarten. Auch welche Bereiche neu von der Meldepflicht betroffen sind, ist nicht abschließend definiert. Explizit nennt das Innenministerium aber Hard- und Softwarehersteller, die „Kernkomponenten“ für Kritische Infrastrukturen zuliefern.

Diese Unternehmen sollen außerdem dazu verpflichtet werden, vor dem Einsatz ihrer Technik eine „Vertrauenswürdigkeitserklärung“ gegenüber den Betreiber:innen abzugeben und „Mindeststandards“ einzuhalten. Zudem soll ein neues IT-Sicherheitskennzeichen „einheitliche Mindestanforderungen insbesondere für internetfähige Geräte festgelegt“ werden, die für Verbraucher:innen transparent dargestellt werden sollen. Dies könnte beispielsweise zu Vorschriften bei der Durchführung von Updates bei Smartphones führen, um mobile Endgeräte sicherer zu machen. Wie genau dies gestaltet werden soll, ist bisher offen. Wahrscheinlich werden sich solche Vorschriften an Vorgaben aus der EU orientieren, die eine Update-Pflicht für Hersteller einführen will.

Doch nicht nur Eingriffsbefugnisse und Meldepflichten sollen wachsen. Das BSI soll auch seine Aufgabe als Internet-Verbraucherschutzzentrale besser ausfüllen. Längst ist die Behörde aus Bonn Ansprechpartnerin für IT-Fragen und betreibt dafür unter anderem die Website bsi-fuer-buerger.de, um die Bevölkerung und Unternehmen über Internet, Technik und verwandte Themen zu informieren. Laut dem Papier soll das BSI Bürger:innen und Kleinunternehmen intensiver für Fragen der IT-Sicherheit sensibilisieren.

„Verschärfung des Cyber-Strafrechts“

Genauso möchte das Innenministerium so genannte Cyber-Kriminalität besser verfolgen können. Dafür sei eine „angemessene Anpassung und Verschärfung des Cyber-Strafrechts“ geplant, um gegen Betreiber krimineller Infrastrukturen im Internet vorgehen zu können. Auch sollen Provider zum „Löschen, Melden und zur Information bei Cybercrime-Vorfällen“ verplichtet werden.

Ein dazu passendes Gesetz brachte der Bundesrat bereits auf den Weg. Es soll einen neuen Straftatbestand gegen Betreiber sogenannter „Darknet-Märkte“ einführen. Durch weitreichende Formulierungen im Gesetzestext könnten aber noch viele andere Dienste betroffen und gefährdet sein.

Neben IT-Sicherheit nennt die Digitale Agenda die Modernisierung der Verwaltung, eGovernance sowie Maßnahmen zur Unterstützung der Zivilgesellschaft als Prioritäten im digitalen Zeitalter. Eine Datenethikkommission soll außerdem ethische Leitlinien zum Schutz von Individuum und Gesellschaft, aber auch zur Sicherung des Wohlstands entwickeln.

0 Ergänzungen

Wir freuen uns auf Deine Anmerkungen, Fragen, Korrekturen und inhaltlichen Ergänzungen zum Artikel. Unsere Regeln zur Veröffentlichung von Ergänzungen findest Du unter netzpolitik.org/kommentare. Deine E-Mail-Adresse wird nicht veröffentlicht.