Geplantes IT-Sicherheitsgesetz lässt Fragen offen
Experten haben bei einer parlamentarischen Anhörung den Entwurf für ein IT-Sicherheitsgesetz teils als nötigen ersten Schritt bezeichnet, aber auch auf Probleme hingewiesen.
(Bild: dpa, Daniel Reinhardt)
Als "gut gemeint", aber größtenteils nicht zielführend haben Sachverständige den heftig umstrittenen Regierungsentwurf für ein IT-Sicherheitsgesetz bewertet. Von einem "notwendigen ersten Schritt in die richtige Richtung" oder einer "sinnvollen Strategie" war bei einer Anhörung im Bundestag am Montag die Rede. Insbesondere die Nachfragen der Abgeordneten offenbarten aber, dass die Initiative im Detail noch unausgegoren ist.
Streitthemen
Vergleichsweise einfach ausbessern könnte der Gesetzgeber das von Juristen ausgemachte Manko, dass entgegen der Pläne auf EU-Ebene keine Sanktionen vorgesehen sind, wenn die vor allem betroffenen Betreiber kritischer Infrastrukturen die vorgesehenen Meldepflichten für IT-Sicherheitsvorfälle nicht beachten oder den "Stand der Technik" beim Schutz ihrer Anlagen nicht einhalten. Doch bei anderen zur Sprache gekommenen Streitthemen wird die Sache schwieriger.
Da ist die Frage der "freiwilligen Vorratsdatenspeicherung", die Provider schon heute zur Abwehr von Störungen laut Telekommunikationsgesetz (TKG) durchführen dürfen und so Verbindungsinformationen zwischen drei Tagen und sechs Monaten aufbewahren, die dann gern von Abmahnanwälten abgefragt werden. Diese Befugnis möchte die Regierung auf Fälle ausdehnen, in denen Probleme etwa mit Botnetzen oder Spam auch nur am Horizont auftauchen könnten.
"Viel zu unbestimmt"
Damit bleibe eine Regel unkorrigiert, die nach höchstrichterlicher Rechtsprechung "viel zu unbestimmt" sei, warnte der Kasseler Wirtschaftsrechtler Alexander Rossnagel. Die Zugangsanbieter sollten zwar Vorsorgemaßnahmen treffen können, dabei sei aber vor allem darauf zu achten, "dass man stufenweise vorgeht". Sie dürften nicht alle Daten aller Nutzer über unbestimmte Zeiten aufheben, sondern nur bei tatsächlichen Angriffen IP-Adressen Betroffener speichern. Es müssten klare Eingriffsschwellen, spezielle Sicherheitsvorgaben und Ausnahmen von Berufsgeheimnisträgern festgeschrieben werden.
Die bisherigen Kriterien für das Datensammeln seien "zu vage für den sensiblen Grundrechtsbereich", befand auch der Passauer IT-Rechtler Gerrit Hornung. Als "einfach Unsinn" tat Linus Neumann vom Chaos Computer Club (CCC) die Vorgabe ab. Bei Störungen handle es sich um akute Fälle, bei denen ein zurückliegender Datensatz nicht helfe beziehungsweise "wenige Stunden bis Tage" ausreichend seien.
Thomas Tschersich von der Deutschen Telekom drängte dagegen darauf, die Speichermöglichkeiten aus dem TKG auch auf Anbieter von Telemediendiensten wie Betreiber sozialer Netzwerke oder einfacherer Webseiten auszudehnen, wie es das Bundesinnenministerium zunächst ins Spiel gebracht hatte. Ohne Logdateien seien die Anbieter "völlig schutzlos". Die Telekom bewahre IP-Adressen sieben Tage auf und schreibe auf dieser Basis monatlich rund 100.000 infizierte Kunden an, wenn sie einschlägige Meldungen Dritter erhalte. Der Berliner Informationswissenschaftler Jochen Schiller stimmte mit Tschersich überein, da "zahllose Websysteme Schwachstellen bieten". Zudem sollten die Abgeordneten die vorgesehene Ausnahme von der Meldepflicht für kleine und mittlere Unternehmen überdenken. Insgesamt sei ein "grundlegender Bewusstseinswandel vom Produzenten bis zum Verbraucher nötig".
Kritische Software härten
Gerade Anreize zum Entfernen von "Bugs" schon auf Herstellerseite oder durch nachträgliche Prüfungen vermisst Neumann völlig. Statt IT-Sicherheitsprobleme "mit noch mehr Bürokratie zu erschlagen", riet der Hacker zur Förderung "proaktiver Maßnahmen" etwa über einen Fonds, um Code essenzieller Software wie OpenSSL zu auditieren und "richtig zu härten". Auch eine einfache Haftung von Hard- und Softwareproduzenten bei Fahrlässigkeit "würde einen schönen Effekt erzielen". Derzeit seien diese zusammen mit Drogenhändlern die einzigen, die noch "ohne echte Garantie auf dem Markt agieren" könnten. Unterstützung erhielt der Sicherheitsexperte an dieser Stelle fast von der ganzen Runde.
Ein weiterer heikler Punkt ist die Frage, was das Bundesamt für Sicherheit in der Informationstechnik (BSI) mit den größtenteils sensiblen Informationen macht, die ihm Unternehmen künftig übermitteln müssten. Das BSI unterliege hier einem Interessenkonflikt und Imageproblem, solange es dem Innenministerium unterstehe und etwa auch beim Entwickeln des Bundestrojaners helfen müsse, betonte Neumann. Das Amt müsse "schon den bösen Schein vermeiden", dass Informationen an Sicherheitsbehörden oder internationale Partner weitergeben werden, forderte auch Hornung. Dass auch beim Bundesamt für Verfassungsschutz (BfV) rund 50 neue Stellen geplant seien, lasse aber darauf schließen, dass dort ein "substanzieller Teil der Auswertung" der Meldungen erfolgen solle.
Die Staatsschützer sollten das "Bedrohungspotenzial herausarbeiten und Handlungsempfehlungen geben", versuchte BSI-Präsident Michael Hange den im Raum stehenden Geldsegen auch für das BfV zu erklären. Wenn Informationen eine "Täterdimension" hätten, sei der Inlandsgeheimdienst ebenfalls zuständig. Der Entwurf gestattete es dem BSI aber nicht, Polizeien oder Nachrichtendiensten zu "unterstützen". Zudem müsste jede Kooperation "aktenkundig" werden. Eine Zweckbindung zum Stärken kritischer Infrastrukturen sei aber vorgeschrieben. (vbr)
