IT-Sicherheitsgesetz: Kritik an "AufrĂĽstung", Warnung vor "nationalem Alleingang"
Die IT-Wirtschaft reagiert positiv auf den Regierungsentwurf für ein Gesetz zum verstärkten Kampf gegen Cyberangriffe reagiert, Provider warnen aber vor einem Flickenteppich an Regelungen in der EU. Kritik gibt es an der Cyber-Aufrüstung von BND und BKA.
Der Hightech-Verband Bitkom hat den am Mittwoch von Bundeskabinett beschlossenen Entwurf für ein IT-Sicherheitsgesetz größtenteils begrüßt. Positiv wertet die Branchenorganisation vor allem, dass Betreiber kritischer Infrastrukturen und andere Unternehmen Meldungen schwerwiegender Sicherheitsvorfälle weitgehend in anonymisierter Form an das Bundesamt für Sicherheit in der Informationstechnik (BSI) übermitteln können. Dies vermeide Rufschädigungen und steigere die Kooperationsbereitschaft.
Unklarheiten
Bei der Umsetzung des Vorhabens gibt es laut Bitkom aber noch viele Ungewissheiten. So rechne die Bundesregierung etwa damit, dass nicht mehr als 2000 Betreiber kritischer Infrastrukturen unter das Gesetz fallen. Konkret werde dies aber erst im Rahmen einer Verordnung festgelegt, sodass bis dahin Planungs- und Rechtsunsicherheit bestehe. Dies gelte auch in der Frage, welche Sicherheitsdebakel als relevant und so als meldepflichtig einzustufen seien.
Allein auf die Betreiber kritischer Infrastrukturen kommt nach Schätzungen des Bundeskabinetts pro Jahr ein Aufwand von 9,24 Millionen Euro zu, um die neuen Auflagen zu erfüllen. Insgesamt rechnet der Bitkom mit Ausgaben in Höhe von bis zu 1,1 Milliarden Euro pro Jahr, die auf die ganze Wirtschaft zukommen. Den Bedarf für rund 420 neue Stellen in Behörden wie dem BSI, dem Bundeskriminalamt (BKA), der Bundesnetzagentur oder dem Verfassungsschutz beziffert die Regierung zusammen mit Sachkosten auf rund 40 Millionen Euro jährlich.
Flickenteppich
Der Verband der deutschen Internetwirtschaft eco sieht nach wie vor offene Fragen beim Zusammenspiel mit der geplanten EU-Richtlinie zur Netzwerk- und Informationssicherheit. Berlin sei in der Pflicht, Widersprüche mit den europäischen Vorgaben zu vermeiden. Ein "Vorpreschen" begünstige einen Flickenteppich nationaler Regeln. Löblich sei, dass das Kabinett die umstrittene Pflicht zum Speichern von Nutzerdaten für Anbieter von Telemediendiensten zum Beseitigen von Störungen nun doch gestrichen habe. Betreiber von Web-Unternehmungen wie Online-Shops müssen diese dem Entwurf zufolge "nach dem Stand der Technik" absichern.
"Ernüchtert" nahm die Gewerkschaft der Polizei (GdP) die Tatsache auf, dass der Entwurf keine Vorratsdatenspeicherung mehr verlangt. So biete die Initiative für die Strafverfolger "praktisch kaum eine Handhabe, bei schweren und schwersten Straftaten zur schnelleren Ermittlung der Täter auf gespeicherte Verbindungsdaten zurückgreifen zu können", beklagte die Vereinigung. Sie appellierte an die Politik, die Polizei "mit zeitgemäßer Technik, bestmöglicher Ausbildung und ausreichendem Personal im Kampf gegen die Cyberkriminalität zu stärken".
BKA und BND an die Cyberfront
Mit dem Vorhaben möchte das Kabinett die BKA-Zuständigkeit auf alle "Hackerparagraphen" ausdehnen. Bisher wird das Ausspähen, Abfangen oder Verändern von Daten in der Regel von den Landeskriminalämtern verfolgt, wobei die Aufgabenverteilung aber dem Entwurf nach "oftmals dem Zufall überlassen bleibt". Neben dem Bundesamt für Verfassungsschutz soll zudem der Bundesnachrichtendienst (BND) mehr zur IT-Sicherheit beitragen: Ihm wird die Kontrolle "ausländischer Datenstrecken auf Schadsoftware-Signaturen" sowie das Rückverfolgen von Malware im Ausland auferlegt.
Jan Korte, Vizevorsitzender der Bundestagsfraktion der Linken, beklagt angesichts der vorgesehenen Aufgabenverteilung, dass die Regierung unter dem Aufhänger der IT-Sicherheit die ihr unterstehenden Behörden einschließlich der Geheimdienste massiv aufrüsten wolle. Von Maßnahmen für ein "überwachungsfreies Netz für die Bürger" sei dagegen nicht die Rede. Dies zeige auch, dass für die skizzierte neue Bundesdatenschutzbehörde nur eine Handvoll zusätzlicher Stellen eingeplant sei.
Ähnlich rügt Kortes Kollege bei den Grünen, Konstantin von Notz, dass der Vorstoß insgesamt keinen essenziellen Beitrag zur IT-Sicherheit leiste. Eine generelle Bestandsaufnahme bestehender Risiken werde nicht vorgenommen, fragliche Kooperationen mit US-Anbietern kein Riegel vorgeschoben. Das bewusste Offenhalten und Verbauen von Sicherheitslücken werde weiter als legitim angesehen. Patrick Breyer von der Piratenpartei moniert, dass der Entwurf Möglichkeiten zur "freiwilligen Vorratsdatenspeicherung durch viele Telekommunikations- und Internetzugangsanbieter gefährlich ausweitet". Die zur "Störungserkennung" gesammelten Informationen dürften für Auskünfte an Polizei, Geheimdienste und Abmahnkanzleien genutzt werden. (jk)