Bundesrat lässt IT-Sicherheitsgesetz 2.0 zähneknirschend passieren

Mit Protest aufgrund der unzureichenden Einbeziehung der Länder hat der Bundesrat den Ausbau des BSI zur Hackerbehörde und eine Huawei-Regel befürwortet.

In Pocket speichern vorlesen Druckansicht 44 Kommentare lesen

(Bild: Tommy Lee Walker / Shutterstock.com)

Lesezeit: 4 Min.
Inhaltsverzeichnis

Der Bundesrat hat am Freitag die seit Jahren umstrittene Reform des IT-Sicherheitsgesetzes gebilligt. Damit kann das Bundesamt für Sicherheit in der Informationstechnik (BSI) zu einer mächtigen Cyberbehörde mit Hackerbefugnissen aufgerüstet werden. Der Innenausschuss hatte zwar empfohlen, den Vermittlungsausschuss mit dem Bundestag einzuberufen. Er sah die Länder nicht hinreichend in die Bemühungen zum Stärken der Sicherheit von IT-Systemen eingebunden. Im Plenum fand sich dafür aber keine Mehrheit.

Zustimmungspflichtig war die Länderkammer nicht. Über ein Vermittlungsverfahren hätte sie das Vorhaben aber verzögern und möglicherweise vor den nahenden Bundestagswahlen noch zu Fall bringen können. Mit dem Plazet des Bundesrats ist nun aber der Weg frei dafür, dass das vom Bundestag vor zwei Wochen beschlossene Gesetz mit der Unterschrift des Bundespräsidenten zum ganz überwiegenden Teil am Tag nach der Verkündung im Bundesgesetzblatt in Kraft treten kann.

In einer Entschließung üben die Länder deutliche Kritik daran, dass der Bund ihrem Appell nach einer stärkeren Kooperation im gesamten Bundesgebiet nicht nachgekommen ist. Sie vermissen etwa eine Unterrichtungspflicht über schwere Cybersicherheitsvorfälle. Der Bundesrat fordert die Bundesregierung daher auf, eine normative Grundlage zu schaffen, um die nach Landesrecht zuständigen Stellen unverzüglich mit relevanten Informationen zu versorgen. Nur so könnten diese rasch Gefahrenabwehrmaßnahmen ergreifen.

Das BSI soll mit dem Gesetz dank 799 neuer Stellen, die mit 74,24 Millionen Euro Personalkosten zu Buche schlagen, ein wesentlicher Akteur im Kampf gegen Botnetze, vernachlässigte Geräte im Internet der Dinge und Verbreiter von Schadsoftware werden. Es wird befugt, Sicherheitslücken an den Schnittstellen von IT-Systemen zu öffentlichen Telekommunikationsnetzen mithilfe von Portscans zu detektieren. Ferner soll es Systeme und Verfahren zur Analyse von Schadprogrammen und Angriffsmethoden wie Honeypots und Sinkholes einsetzen dürfen.

Zur Abwehr konkreter erheblicher Gefahren für die IT-Sicherheit kann das BSI gegenüber einem Anbieter von Telekommunikationsdiensten mit mehr als 100.000 Kunden anordnen, dass dieser "technische Befehle zur Bereinigung von einem konkret benannten Schadprogramm" an betroffene IT-Systeme verteilt. Die Behörde soll dabei technisch und organisatorisch sicherstellen, dass rechtswidrige Eingriffe in das Computer-Grundrecht unterbleiben.

"Protokolldaten" einschließlich personenbeziehbarer Nutzerinformationen wie IP-Adressen, die bei der Online-Kommunikation zwischen Bürgern und Verwaltungseinrichtungen des Bundes anfallen, darf das BSI künftig 12 bis 18 Monate lang speichern und auswerten. Dazu kommen interne "Protokollierungsdaten" aus den Behörden, also Aufzeichnungen über die IT-Nutzungsform. Zum Schutz von Betroffenen und für Benachrichtigungen wird das Amt ermächtigt, bei Anbietern von Telekommunikationsdiensten Bestandsdatenauskünfte einzuholen. Insgesamt soll es so weit verbreitete Trojaner wie Emotet sowie komplexe, oft von Geheimdiensten ausgehende Angriffe besser erkennen können.

Mit der Novelle verknüpft ist eine "Huawei-Klausel", die die Hürde für den Ausschluss einzelner Ausrüster vom Netzausbau etwa für 5G aber recht hoch legt. Die Bundesregierung soll damit den Einsatz "kritischer Komponenten" bei "voraussichtlichen Beeinträchtigungen der öffentlichen Sicherheit und Ordnung" untersagen können. Für solche Bestandteile kommt eine Zertifizierungspflicht, Hersteller müssen eine Garantieerklärung abgeben.

Einen Bann kann das Bundesinnenministerium verhängen. Es muss sich dazu aber "ins Benehmen" setzen mit den jeweils betroffenen Ressorts wie dem Bundeswirtschaftsministerium und dem Auswärtigen Amt. Ins parallel reformierte Telekommunikationsgesetz hat der Gesetzgeber eine Zertifizierungspflicht für kritische Komponenten in Netzen eingefügt, wenn ein erhöhtes Gefährdungspotenzial besteht. Die für Betreiber kritischer Infrastrukturen (Kritis) geltenden Pflichten, Sicherheitspannen zu melden und Mindestschutzstandards einzuhalten, werden auf Unternehmen ausgedehnt, die von besonderem öffentlichem Interesse sind.

Der Wirtschaftsausschuss des Bundesrats hatte auch bedauert, dass die Modalitäten des Gesetzgebungsverfahrens mit einer teils eintägigen Frist zur Stellungnahme die gebotene Beteiligung "erheblich erschwert" hätten. Verbände und andere Interessenvertreter aus der Zivilgesellschaft kritisierten diesen Verstoß gegen demokratische Gepflogenheiten ebenfalls wiederholt scharf.

Bundesinnenminister Horst Seehofer (CSU) sprach angesichts der Entscheidung der Länder von einem "guten Tag für die Cybersicherheit in Deutschland". Experten hatten bei einer Anhörung dagegen kaum ein gutes Wort für die Initiative gefunden. Sie beanstandeten etwa, dass das BSI Sicherheitslücken offen lassen dürfe und so zum "Handlanger der Sicherheitsbehörden" werde.

(bme)