Deutschlands Behörden sollen Sicherheitslücken wenigstens melden
Bundesbehörden sollen ihnen bekannte Sicherheitslücken dem BSI melden. Die "Huawei-Klausel" wird deutlich erweitert.
(Bild: dpa, Oliver Berg)
Bundesbehörden sollen IT-Sicherheitslücken unverzüglich dem Bundesamt für Sicherheit in der Informationstechnik (BSI) melden, sobald sie ihnen bekannt werden und "soweit andere gesetzliche Regelungen dem nicht entgegenstehen". Zu dieser Regelung haben sich die nach dem Ausscheiden der FDP in der Koalition verbliebenen Verhandler von SPD und Grünen durchgerungen. Festgehalten werden soll das im BSI-Gesetz, Paragraph 43, in einem neuen Absatz 6.
Der Entwurf liegt heise online vor. Die Ampel-Koalition ist mit dem Versprechen im Koalitionsvertrag angetreten, IT-Sicherheit zu stärken. Der Staat soll demnach "keine Sicherheitslücken ankaufen oder offenhalten", sondern sich unter Federführung eines unabhängigeren BSI "immer um die schnellstmögliche Schließung bemühen". Zugleich sollten die Eingriffsschwellen bei Überwachungssoftware wie Staatstrojanern erhöht und die bestehenden Befugnisse für die Polizei eingeschränkt werden.
Eine Arbeitsgruppe aus Innenpolitikern der Koalitionsfraktionen und des Bundesinnenministeriums (BMI) kam allerdings in der Frage des Schwachstellenmanagements monatelang auf keinen gemeinsamen Nenner. Erst im Frühjahr gab es Hoffnung auf eine Übereinkunft. Vor der Sommerpause fanden die drei Fraktionen tatsächlich zueinander, doch wie das BMI den Kompromiss im Anschluss ausformuliert hat, stieß vor allem den Grünen und den Liberalen angesichts zu vieler Hintertüren für Ausnutzung von Schwachstellen durch Sicherheitsbehörden übel auf.
Keine umfassende Statistik
Die Bundesregierung machte dann im Rahmen ihres Entwurfs zur Umsetzung der NIS2 getauften EU-Richtlinie zur Netz- und Informationssicherheit den Vorschlag für einen Paragraf 43 Absatz 5 im BSI-Gesetz. Dieser geht nicht so weit wie der nun zusätzlich von SPD und Grünen vereinbarte Absatz 6. Dem Regierungsansatz zufolge besteht Meldepflicht für Schwachstellen nur, wenn Informationen darüber "für die Erfüllung von Aufgaben oder für die Sicherheit der Kommunikationstechnik des Bundes von Bedeutung sind". Zudem gibt es eine Palette von Ausnahmen, die sich sogar auf "Geheimschutz oder Vereinbarungen mit Dritten" bezieht.
Nicht einmal brauchbare Daten über das Ausmaß des Problems soll es geben: Von der Auflage, eine jährliche Statistik über bekannt gewordene Sicherheitslücken zu führen, sollen der Bundesnachrichtendienst (BND) und das Bundesamt für Verfassungsschutz (BfV) ausgenommen werden.
Kein "intransparentes" Offenhalten von Sicherheitslücken
Der weiterreichende Absatz 6 soll laut der rot-grünen Absprache hinzukommen. Dieser Kompromiss ist aber nur eine Meldepflicht und schließt damit nicht generell aus, dass Sicherheitsbehörden Lücken absichtlich offenhalten, um sie etwa für das Aufspielen von Staatstrojanern auf Geräte Dritter zu verwenden. Grundsätzlich hat das Bundesverfassungsgericht 2021 den Gesetzgeber dazu angehalten, den Umgang staatlicher Stellen mit Schwachstellen zu regeln, um das Grundrecht auf Vertraulichkeit und Integrität von IT-Systemen zu verwirklichen.
Den Grünen wäre eine Formulierung lieber gewesen, "die die allgemeine IT-Sicherheit in Deutschland priorisiert", erklärten Konstantin von Notz, Fraktionsvize, und seine Kollegin Misbah Khan, die mitverhandelt hat, gegenüber heise online. Mehr sei mit der SPD aber nicht zu machen gewesen. Gleichwohl würde der Kompromiss "zu einer signifikanten Verbesserung im Vergleich zum Status quo führen: Es ist wichtig, dass der Gesetzgeber zum Umgang mit staatlich bekannten Schwachstellen eine klare Linie vorgibt."
Empfohlener redaktioneller Inhalt
Mit Ihrer Zustimmung wird hier eine externe Umfrage (Opinary GmbH) geladen.
Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit können personenbezogene Daten an Drittplattformen (Opinary GmbH) übermittelt werden. Mehr dazu in unserer Datenschutzerklärung.
Das bisher praktizierte intransparente Offenhalten von Schwachstellen auf Basis einfacher Verwaltungsvorschriften, bei dem große volkswirtschaftliche und sicherheitspolitische Schäden drohten, sei so nicht mehr möglich. Umfassende Ausnahmen von diesem Grundsatz seien abgewehrt.
