Im gestrigen FAZ-Beitrag hat unser Innenminister de Maizière nicht nur kundgetan, dass ihm unsere Agenda-Leaks gegen den Strich gingen, sondern er hat ebenso das geplante IT-Sicherheitsgesetz angesprochen, dessen Entwurf mit Stand von gestern man auf den Seiten des Innenministeriums herunterladen kann. Es ist außerdem ein Ausblick auf die Digitale Agenda der Bundesregierung, die morgen vorgestellt werden wird.

In dem Entwurf zur Digitalen Agenda heißt es:

Wir verbessern die IT-Sicherheit durch den Ausbau von Partnerschaften mit Betreibern kritischer Infrastrukturen und durch gesetzliche Vorgaben zu Mindestsicherheitsstandards und eine Meldepflicht für erhebliche IT-Sicherheitsvorfälle im Rahmen eines IT-Sicherheitsgesetzes.

De Maiziére spricht in seinem Gastbeitrag davon, die „IT-Systeme und digitalen Infrastrukturen Deutschlands sollen die sichersten weltweit werden“. Um das zu erreichen, werden im IT-Sicherheitsgesetz diverse Maßnahmen vorgeschlagen. Unter anderem, weg vom Prinzip der Freiwilligkeit bei der Sicherung der IT-Infrastruktur in Unternehmen zu gehen, hin zu stärkeren „ordnungspolitischen Eingriffen“, um Unterschiede zwischen den Branchen zu verringern. Auch für die IT-Systeme des Bundes solle es verbindliche Vorgaben geben. Eine freiwillige Basis reiche nicht mehr aus, stattdessen fordert der Minister eine Anschnallpflicht im Digitalen – „Sicherheitsgurte für die IT der kritischen Infrastrukturen“.

Nicht der erste Versuch von Regelungen für IT-Sicherheit

Auf EU-Ebene steht ein mittlerweile im Parlament bestätigter Entwurf für eine Richtlinie zur Netz- und Informationssicherheit (NIS) seit Längerem im Raum und bereits Ex-Innenminister Friedrich hatte in der letzten Legislaturperiode einen Anlauf für das IT-Sicherheitsgesetz gewagt. Er präsentierte 2013 seinen Entwurf, der von vielen Stimmen kritisiert wurde, unter anderem vom ehemaligen Datenschutzbeauftragten Peter Schaar, der eine Vorratsdatenspeicherung durch die Hintertür unter Rechtfertigung durch den Cyber-Abwehrkampf fürchtete und den Aktionismus ohne abgestimmte Strategie bei der Abwehr von Gefahren aus dem Internet anmahnte. Doch nicht nur Datenschützer, vor allem auch Stimmen aus der Wirtschaft zeigten sich unzufrieden. BITKOM beispielsweise nannte „Überregulierung und Überschneidung von Kompetenzen“ als aus deren Sicht Schwachpunkte des Vorschlags. Besonders die Meldepflicht wurde kontrovers diskutiert. Letztlich hat die Industrielobby derart massiven Druck auf das Wirtschaftsministerium ausgeübt, dass eine Verabschiedung des Gesetzes von diesem blockiert wurde.

Lobbydruck durch Wirtschaft war erfolgreich

Diesmal soll die Wirtschaft nicht wieder dazwischenfunken, dafür zeigt man schon im Vorfeld massives Entgegenkommen. Es sind Erleichterungen in Form anonymer Meldemöglichkeiten bei noch nicht erfolgtem „gefährlichen Ausfall oder einer Beeinträchtigung der kritischen Infrastruktur“ – wie auch immer das definiert wird – vorgesehen, damit Firmen keine Imageschäden mehr fürchten müssen. Außerdem fallen die zu meldenden Angaben minimal aus. Lediglich die „technischen Rahmenbedingungen, insbesondere der eingesetzten und betroffenen Informationstechnik“ und die Branche müssen ans BSI übermittelt werden. Sinnvoll wäre aber außerdem eine Angabe zu der Schwere von Schäden und der Menge der Betroffenen.

An diesem Punkt haben die Industrielobbyisten ganze Arbeit geleistet. De Maizière ist darauf bedacht, sie von ihrem Vorteil bei der Sache zu überzeugen. Informationen seien die Währung der heutigen Zeit, der Staat zahle als Gegenleistung für die Meldepflicht „bar zurück“, da alle Unternehmen von Informationen profitierten, die vom BSI gesammelt wurden und sich somit selbst besser schützen können.

Dabei bleibt aber außer Acht, dass die anonyme Meldepflicht Schlupflöcher lässt, sich der Verantwortung zu entziehen. Denn wenn ein Sicherheitsproblem durch ausschließliche Meldung an eine Behörde keinen öffentlichen Druck für das Unternehmen erzeugt, sondern nur eine anonyme Nachricht erfordert, ist die Motivation gering, proaktiv für genügend Sicherheit zu sorgen. Denn im Zweifel kann man sparen und nimmt Sicherheitslücken im Glauben, es werde schon alles gut gehen, in Kauf.

Die eigentlichen Betroffenen werden im Unklaren gelassen

Die eigentlich Betroffenen – die Verbraucher – erfahren bei einer anonymen Meldemöglichkeit nichts, daran krankten bereits der vorige Entwurf des Gesetzes sowie die geplante EU-Richtlinie. Mit einer bloßen Benachrichtigung von Behörden kann die „besondere Verantwortung für das Gemeinwohl“, von dem im Entwurf die Rede ist, nicht durchgesetzt werden. Diejenigen, die qua Gesetzentwurf zukünftig Verbraucher informieren müssten, sind Telekommunikationsanbieter. Dafür sollen ihnen im Gegenzug Bestands- und Verkehrsdaten seiner Kunden zum „Erkennen, Eingrenzen oder Beseitigen von Störungen“ zur Verfügung stehen. Wer hier eine Hintertür-Vorratsdatenspeicherung wittert, liegt richtig. Außerdem fragt man sich, warum nur die Telekommunikationsanbieter in die Benachrichtigungspflicht genommen werden? Warum nicht alle, die personenbezogene und ‑beziehbare Daten speichern, Onlineshops beispielsweise?

Es gibt noch weitere Appetit-Häppchen für die Wirtschaftsvertreter. De Maizière betont, wie wichtig ihm die Beteiligung von Unternehmen trotz zunehmender Außenregulierung sei und wie er sie einbeziehen will:

Betreiber Kritischer Infrastrukturen und ihre Branchenverbände können branchenspezifische Sicherheitsstandards vorschlagen.

Daraus ergebe sich durch die Vorreiterrolle Deutschlands ebenso eine Stärkung der Wirtschaft, Exportchancen für Sicherheitsunternehmen würden verbessert. Tatsächlich bietet sich aber ein offenes Tor für die Bestrebungen, möglichst wirtschaftliche, sprich minimale, Anforderungen zu formulieren und tatsächliche Sicherheit und vor allem Datenschutz zu schwächen. Der gesamte Entwurf ist durch die Lobbyarbeit der IT-Branche beim letzten Versuch verwässert worden.

Mehr Geld und Kompetenzen für BKA, BSI, BBK und Verfassungsschutz

Neben IT-Sicherheit bei Unternehmen soll eine Ausweitung der Kompetenzen des BKA auf dem Gebiet der „Cybercrime-Bekämpfung“ Abhilfe schaffen. „Cyberdelikte“ fielen dann nicht mehr unter die Zuständigkeit der einzelnen Bundesländer sondern würden zentral dem BKA zugeordnet. Dafür gebe es extra Gelder, auch für BSI, den Bundesverfassungsschutz und das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK). Insgesamt sollen etwa 270 neue Stellen entstehen. Dafür seien 20 Millionen Euro eingeplant, was in Widerspruch zu den von anderer Stelle bekanntgegebenen Sparmaßnahmen beim BSI steht. Das IT-Sicherheitsgesetz enthält übrigens auch eine Änderung des BSI-Gesetzes, das die Forderungen der SPD nach Unabhängigkeit der Behörde vom Innenministerium hinfällig macht:

Der Bund unterhält ein Bundesamt für Sicherheit in der Informationstechnik als nationale Informationssicherheitsbehörde. Es untersteht als Bundesoberbehörde dem Bundesministerium des Innern.

Fazit

Der Journalist Thorsten Kleinz kommentiert einen Aspekt des Entwurfs treffend:

Das Problem: Das IT-Sicherheitsgesetz definiert das Internet selbst als Problem. Würde man so eine Problembeschreibung beginnen, die sich um Verkehr oder das Energienetz dreht? „Der Straßenverkehr durchdringt Staat, Wirtschaft und Gesellschaft in immer größerem Maße.“ Oder: „Quer durch alle Branchen ist heute schon mehr als die Hälfte aller Unternehmen in Deutschland von Elektrizität abhängig.“

Das Internet ist immer noch Neuland und aus Angst vor diesem setzt man stets auf mehr Durchregulierung, Kontrolle und Sicherheit, man militarisiert das Internet. Freiheit und Datenschutz bleiben dabei auf der Strecke. Von Datenminimierung beispielsweise ist keine Rede. Dabei könnte die dabei helfen, die Schäden von Datenlecks einzudämmen. Denn wenn sensible persönliche Daten gar nicht erst erhoben oder zeitnah gelöscht werden werden, soweit sie nicht dringend nötig sind, können sie auch nicht in die falschen Hände geraten. Doch der Einfluss der IT-Industrie zählt mehr als der Schutz der Bevölkerung. Nach den NSA-Skandalen ist der Schutz vor Wirtschaftsspionage vor den Schutz der Normalnutzer gerückt.

Der Entwurf wurde heute in die Ressortabstimmung der beteiligten Ministerien gegeben. Dem soll eine Debatte „mit den beteiligten Kreisen aus Wirtschaft und Gesellschaft“ folgen. Danach bleiben die Unternehmen zwei Jahre Zeit, beschlossene Standards umzusetzen. Wir finden, das ist die falsche Reihenfolge. Die Bevölkerung vor vollendete Tatsachen zu stellen, um ihnen dann die Illusion von Mitsprache zu geben, reicht nicht. Wir würden uns deshalb freuen, wenn ihr uns mitteilt, wie ihr den Entwurf einschätzt und wo ihr die kritischen Punkte sehr. Verweise auf andere aufschlussreiche Analysen dürft ihr auch gern in den Kommentaren posten.