Expert:innen verlangen eine Notbremsung beim IT-Sicherheitsgesetz 2.0. Das Bundesministerium des Innern, für Bau und Heimat (BMI) hat am 2. Dezember den mittlerweile dritten Entwurf des Gesetzes veröffentlicht, zwei Wochen bevor es im Kabinett beschlossen werden soll. Nicht ausreichend Zeit, um „erhebliche Mängel“ zu adressieren, heißt es vom unabhängigen Interessensverband AG KRITIS.
Seit fast zwei Jahren arbeitet das BMI an dem Gesetz, das die nationale IT-Sicherheit verbessern und EU-Regulierungen in die deutsche Legislatur übertragen soll. Besonderes Augenmerk liegt dabei auf der Kontrolle und Absicherung kritischer Infrastrukturen. Bisherige Entwürfe wurden heftig kritisiert. Vom sogenannten „Hackerparagrafen“ bis zu umstrittenen Zertifikatsregelungen sind viele der größten Streitpunkte auch im aktuellen Entwurf erhalten geblieben.
Es sei keine klare Linie oder Strategie zu erkennen, kritisiert die AG KRITIS in einer ersten Stellungnahme. „Vielmehr scheint es sich um eine bunte Mischung – teilweise sachfremder – Wünsche seitens einzelner Behörden zu handeln.“
Huawei-Regelung
In der Vergangenheit lag der Fokus der Berichterstattung immer wieder auf dem Paragrafen zu „vertrauenswürdigen Herstellern“ von technischen Bauteilen. Dieser räumt dem BMI das Recht ein, den Einsatz bestimmter kritischer Komponenten zu unterbinden, wenn diese bestimmte Nachweise der Vertrauenswürdigkeit nicht erbringen können – beispielsweise beim Ausbau des 5-G-Netzes. Der genaue Zweck bleibt laut der AG KRITIS aber unklar. In der Praxis wird dahinter schon lange anderweitige Einflussnahme vermutet: „Eigentlich müsste man diesen Abschnitt ‚Lex Huawei‘ nennen, da offensichtlich ist, dass es hier um die juristische Möglichkeit des Ausschlusses bestimmter Hersteller geht.“
Dr. Dennis-Kenji Kipker, Rechtswissenschaftler an der Universität Bremen, verlangt gar, die vorliegende Regelung ersatzlos zu streichen. Er befürchtet, dass es Herstellern nur sehr schwer möglich sein wird, die Anforderungen tatsächlich zu erfüllen. Dadurch könnten insbesondere deutsche Hersteller benachteiligt werden. Weiter heißt es: „Durch den Regelungsvorschlag der Garantieerklärung wird die bisher vielfach fruchtlose politische Debatte um ‚digitale Souveränität‘ mit konkreten, aber nicht wirklich zu erfüllenden Pflichten in ein Gesetz verlagert. Damit ist niemandem ein Gefallen getan.“
BSI soll zur Hackerbehörde werden
Immer wieder wurde der „Hackerparagraf“ kritisiert, der dem Bundesamt für Sicherheit (BSI) und Informationstechnik umfassende neue Rechte einräumen und die deutsche IT-Sicherheitspolitik grundlegend neu ausrichten würde. Auch diese Passagen sind dem Entwurf enthalten geblieben. Das BSI kann demnach ohne Vorankündigung aktiv nach öffentlich bekannten Sicherheitslücken in IT-Systemen suchen, wodurch sich laut Kipker Schäden an diesen nicht ausschließen lassen.
Laut dem Entwurf soll das BSI weiters Diensteanbieter anordnen dürfen, dass sie „zur Abwehr konkreter erheblicher Gefahren“ „technische Befehle zur Bereinigung von einem konkret benannten Schadprogramm“ an betroffene Systeme verteilen. Sie sollen damit etwa aus der Ferne Sicherheitslücken schließen oder Schadsoftware außer Kraft setzen. Die AG KRITIS sieht darin „einen Eingriff in die Integrität informationstechnischer Systeme“:
Somit handelt es sich auch um einen Eingriff in das IT- Grundrecht, an den das BVerfG hohe Anforderungen stellt. Diese Anforderungen können hier nicht erfüllt werden. Darüber hinaus wird dieser Grundrechtseingriff in das IT-Grundrecht nicht einmal durch die Exekutive durchgeführt, sondern privaten Unternehmen auferlegt – so funktioniert das Gewaltmonopol nicht. Wir gehen davon aus, dass derartige Regelungen nicht verfassungskonform sein können und daher nicht wirksam werden dürfen.
Fehlende Evaluation, Bußgelder und Zertifikat im Alleingang
Wie bereits zuvor wird an dem Entwurf bemängelt, dass offenkundig keine Evaluation des 2015 verabschiedeten Vorgängergesetzes in den Prozess mifteinbezogen wurde – oder überhaupt erfolgt ist. Insgesamt fehlt es den Kritiker:innen an vielen Stellen an Nachvollziehbarkeit und Transparenz.
In Aussicht gestellte Bußgeldregelungen kopieren die der DSGVO, was den Anschein erweckt, man hätte sich hier keine Mühe gemacht, eigene Überlegungen anzustellen. „Dies drängt die Frage auf: Sind Kritische Infrastrukturen genauso wichtig wie das Recht auf informationelle Selbstbestimmung und der Datenschutz der Bürger, oder sind Kritische Infrastrukturen wichtiger?“, heißt es in der Stellungnahme der AG KRITIS.
Zudem wurde ein deutsches IT-Sicherheitskennzeichen ins Leben gerufen, das ein ebenfalls im Gesetz vorgesehenes EU-Kennzeichen unterwandert und für eine verwirrende Dopplung sorgt. Dr. Dennis-Kenji Kipker:
Durch derlei nationale Alleingänge wird der Wirkkraft europäischer Bestimmungen geschadet, es werden Mehraufwände für Unternehmen geschaffen, und der Verbraucher sieht sich einer immer größer werdenden Zahl an Gütesiegeln ausgesetzt, womit das einzelne Siegel an Wert verliert.
Die Kritiker:innen fordern einen Aufschub des Gesetzgebungsverfahrens und eine Einbindung von Organisationen, die sich mit digitaler Sicherheitspolitik beschäftigen. Sie beklagen die im Angesicht der zweijährigen, zähen Vorgeschichte besonders kurze Frist, um sich in den Prozess zu involvieren. Laut aktuellen Informationen soll das Gesetz am 16. Dezember in der letzten Kabinettssitzung des Jahres beschlossen werden.
Das nennt man Endzeit, nicht Endspurt.