Das Bundesministerium des Innern, für Bau und Heimat (BMI) hat einen dritten Entwurf des IT-Sicherheitsgesetzes 2.0 vorgelegt, das seit April 2019 immer wieder aufgeschoben wird. Wir fassen an dieser Stelle einige Berichte zu dem Vorhaben zusammen. Den gesamten Referentenentwurf findet ihr hier [PDF].
Mit dem Gesetz soll die IT-Sicherheit in Deutschland verbessert und strikter kontrolliert werden. Zu diesem Zweck soll das Gesetz die Aufsichtsfunktion des Bundesamts für Sicherheit in der Informationstechnik (BSI) über digitale Systeme erweitern. Neben kritischen Infrastrukturen mit wichtiger öffentlicher Bedeutung sind damit auch viele Unternehmen in der Privatwirtschaft und der Verbraucher:innenmarkt betroffen.
Dennis-Kenji Kipker hat auf intrapol.org einige der wichtigsten Änderungen zum vorhergehenden Entwurf zusammengefasst. Zum Beispiel rückt nun Verbraucher:innenschutz stärker als bisher in den Verantwortungsbereich des BMI. Das BMI darf bestimmte technische Komponenten verbieten und der sogenannte Hackerparagraph ist erhalten geblieben. Außerdem sind knapp 800 neue Stellen für das BSI vorgesehen.
Wie Kipker zusammenfasst, beinhaltet das 92-seitige Dokument Eingriffe oder Änderungen in verschiedenste Gesetze, darunter das Telekommunikationsgesetz, das Telemediengesetz und das Gesetz über die Elektrizitäts- und Gasversorgung. Das Hauptaugenmerk liegt aber im Gesetz über das Bundesamt für Sicherheit in der Informationstechnik. Der Entwurf geht nun in die Ressortabstimmung, Kipker vermutet eine Verabschiedung frühestens im Frühjahr 2021.
Eine kurze Historie
Das Vorgängergesetz wurde vor inzwischen fünf Jahren verabschiedet. Der vorliegende Entwurf soll das bestehende Gesetz erweitern und Unschärfen nachbessern.
Wir haben den ersten Entwurf im April 2019 auf netzpolitik.org veröffentlicht, der im Anschluss sowohl von Aktivist:innen und Opposition als auch im Bundestag heftig kritisiert wurde. Zwar waren durchaus sinnvolle Initiativen vorgesehen, wie Informationspflichten und Verbraucher:innenschutz. Der Entwurf sieht aber auch bis heute vor, dass das Bundesamt für Sicherheit in der Informationstechnik fortan auch aktiv im Netz nach Sicherheitslücken sucht.
Teil des ersten IT-Sicherheitsgesetzes war eigentlich auch eine Evaluierung. Diese hat nach aktuellen Informationen bis heute aber nicht stattgefunden. Die Entscheidung, auch den zweiten Entwurf des IT-Sicherheitsgesetzes 2.0 vorzulegen, ohne in großem Maß auf Evaluierung oder Evidenz zu bauen, hatte Sven Herpig von der Stiftung Neue Verantwortung im Juli auf netzpolitik.org als vertane Chance kommentiert. Die Einschleppung der Diskussion um die 5G-Infrastruktur habe das Gesetz zu einer „rechtlichen Austragungsstätte für andere Politikfelder“ gemacht.
Baldige Verabschiedung
Miriam Schröder sieht in einem Artikel für Tagesspiegel Background [€] eine Möglichkeit, dass das neue IT-Sicherheitsgesetz sogar noch im Dezember verabschiedet wird, wenn das Außen- und das Innenministerium ihren Streit um die 5G-Infrastruktur beilegen können. Es ist umstritten, ob ausländische Hersteller wie Huawei künftig beim Ausbau deutscher Mobilfunknetze ausgeschlossen werden können.
„Das SPD-geführte AA sowie Teile der CDU warben für den Ausschluss, Kanzleramt und BMWi sowie die Industrie, die den 5-G-Ausbau längst mit Beteiligung von Huawei begonnen hat, waren dagegen“, heißt es bei Schröder. Das Auswärtige Amt ist demzufolge unzufrieden, weil das Gesetz ihm kein Vetorecht einräumen würde, um bestimmte Huawei-Komponenten im 5G-Netz zu verbieten. Ein Jour Fixe zwischen den Ministerien soll zeitnah eine Lösung finden.
Außerdem bricht Schröder einige der 799 neuen Stellen herunter, die für das BSI eingeplant sind. Darunter 163 Stellen, die für den Verbraucher:innenschutz geplant sind. Weitere 41 sind für „Mobile Incident Response Teams“ eingeplant: „Diese sollen betroffene Behörden der Bundesverwaltung sowie andere Verfassungsorgane, Länder oder die Betreiber Kritischer Infrastrukturen bei der Bewältigung von Sicherheitsvorfällen unterstützen.“ Allein für „Standardisierung und die Sicherstellung der Qualität der Sicherheitskonzepte“ werden zudem 119 weitere Stellen gebraucht, die sich auch um die Aufsicht und Verwaltung des 5G-Ausbaus kümmern sollen.
Fokus auf 5G-Ausbau
Auch Stefan Krempl konzentriert sich für heise.de vor allem auf die Zulassung neuer Komponenten für den Ausbau der Kommunikationsinfrastruktur. Kritische Netzwerkkomponenten unterliegen alle einer Zertifizierungspflicht durch das BSI, dafür sieht der Gesetzestext ein komplexes Zulassungsverfahren vor. Netzbetreiber müssten garantieren können, dass technische Komponenten vertrauenswürdig sind:
Diese Garantieaussage erstreckt sich dem Plan nach auf die gesamte Lieferkette des Herstellers. Aus ihr muss hervorgehen, ob und wie der Produzent „hinreichend sicherstellen kann, dass die kritische Komponente über keine technischen Eigenschaften verfügt, die geeignet sind“, missbräuchlich auf „die Sicherheit, Integrität, Verfügbarkeit oder Funktionsfähigkeit der kritischen Infrastruktur einwirken zu können“. Insbesondere müssten „Sabotage, Spionage oder Terrorismus“ ausgeschlossen werden. Im Klartext: Hintertüren darf es keine geben.
Ein zentraler Bestandteil des Gesetzesentwurfs rutscht regelmäßig ans Ende der Berichterstattung: Mit dem IT-Sicherheitsgesetz 2.0 soll das BSI pro-aktive Befugnisse bekommen, öffentlich zugängliche Internetdienste und Geräte zu hacken – um Sicherheitslücken aufzudecken. An diesem Vorhaben ändert der überarbeitete Gesetzentwurf wenig.
Wie Andre Meister bei uns kommentierte, wird damit die deutsche IT-Sicherheitspolitik grundlegend neu ausgerichtet. Das BSI soll demnach im Netz nach offenen Ports suchen und Standard-Passwörter ausprobieren, also Hacks betreiben, die eigentlich eine Straftat sind. Mit Schadsoftware infizierte Geräte dürfen sogar vom BSI verändert werden. Eine ausreichende Einschränkung dieser Befugnis gibt es dabei nicht.
BSI / ausprobieren…
Und Inkenntnissetzung und Schadensersatz bei wiederum diesen Dingen?
Was soll mit so einem Passwort dann geschehen, vielleicht noch eine Rechteausweitung, oops Lungenmaschine kaputt…
So stelle ich mir das mit Hackback vor, wenn allerlei Behörden dafür authorisiert werden.
Die Idee ist natürlich, z.B. KAK-Server (Kommand AND Konkqueer Server) in die Luft zu jagen, den Scheißspammer kaltzumachen, oder den Kinderpornoserver für eigene Zwecke zu instrumentalisieren, usw. usf.
Das Ergebnis kann halt die lahmgelegte Klinik sein. Daher dürfen meiner Meinung nicht einfach nur „Experten“ oder „ausgebildete Fachkräfte“ solches durchführen. Stattdessen müsste es eigentlich eine konzentrierte hochfähige Behörde für den Scheiß geben – doch da kommt das Problem der Föhrung und Fachinversiöhn zum tragen:
– Föhrung (Behördung) wird sagen wollen, was zu geschehen habe, ohne Widerworte erdulden zu müssen.
– Die fachliche Kompetenz ist aber in der speziellen Behörde bzw. Einheit konzentriert, und sollte durch dumme Weisung nicht die Seiten wechseln können (die Sache mit der Realität).
Meiner Meinung nach ist das nur lösbar, indem man der zentralen Behörde bzw. Einheit auch die Kompetenz und Abteilungen hinzugibt, Überprüfung der Rechtmäßigkeit, des Zugriffschutzes, Entwicklungen dafür und Verfassungskonformitätsprüfung usw. usf. als unabhängige nicht leicht von einer Regierung zu besetzende Behörde durchzuführen, bei gleichzeitiger parlamentarischer Kontrolle. Hier darf also keine Weisungsbindung bestehen, bzw. nur in einem engen Rahmen: d.h. z.B. sich mit einem Wunsch beschäftigen zu müssen, weitere Aspekte fachlich beleuchten zu müssen, natürlich mit Resourcenmanagement (kein DOS von der Regierung möglich). Das Ergebnis bleibt aber fachlich und sachlich fundiert, sowie geprüft. Da ist kein Platz für Parteipolitik o.ä., wohl aber für Digitalisierungshilfe bei der Anbindung von anderen Behörden.
Das wäre so die Richtung mit „Checks and Balances done right +/- how to?“…