IT-Sicherheitsgesetz: Hohe Hürde für Huawei-Ausschluss vom Netzausbau

Inhaltsverzeichnis

Wenn in Deutschland entscheidende Bestandteile für kritische Infrastrukturen (Kritis) beschafft werden – etwa für Telekommunikationsnetzwerke –, dann können bestimmte Produzenten davon ausgeschlossen werden. Das wird es jedoch nur geben, wenn die Bundesregierung dies einhellig beschließt. Ein Alleingang eines einzelnen Ministeriums ist nicht vorgesehen. Das geht aus dem mittlerweile dritten Referentenentwurf des Bundesinnenministeriums (BMI) zur Reform des IT-Sicherheitsgesetzes vor.

Öffentliches Interesse und sicherheitspolitische Bedeutung

Das BMI kann laut der "Huawei-Klausel" in dem Papier vom Donnerstag, das die AG Kritis und der Informationsrechtler Dennis-Kenji Kipker veröffentlicht haben, den Einsatz einer "kritischen Komponente gegenüber dem Betreiber der kritischen Infrastruktur" nur binnen eines Monats "im Einvernehmen mit dem jeweils betroffenen Ressort" untersagen oder einschlägige Anordnungen erlassen. Voraussetzung dafür ist, dass ein solcher Ausschluss aufgrund überwiegender öffentlicher Interessen und insbesondere sicherheitspolitischer Belange der Bundesrepublik Deutschland nötig ist. Die Betreiber müssen eine entsprechende Entscheidung abwarten.

Das in Paragraf 9b skizzierte Zulassungsverfahren ist komplex. Der Einsatz kritischer Komponenten unterliegt zunächst generell einer Zertifizierungspflicht. Zuständig ist hier das Bundesamt für Sicherheit in der Informationstechnik (BSI). Einschlägige Maßgaben für kritische Telekommunikations- und Datenverarbeitungssysteme hat die Bundesnetzagentur bereits mit einem neuen Entwurf für einen Sicherheitskatalog vorgelegt.

Hersteller müssen ihre Vertrauenswürdigkeit erklären

Zudem muss ein Kritis-Betreiber wie die Deutsche Telekom, Vodafone oder Telefónica das Vorhaben beim BMI anzeigen. Die wichtigen technischen Bestandteile dürfen auch nur verwendet werden, wenn Hersteller – im Fall von 5G und anderer Telekommunikationsnetze also Ausrüster wie Huawei, ZTE, Nokia oder Ericsson – eine Erklärung über ihre Vertrauenswürdigkeit gegenüber dem Betreiber abgeben haben.

Diese Garantieaussage erstreckt sich dem Plan nach auf die gesamte Lieferkette des Herstellers. Aus ihr muss hervorgehen, ob und wie der Produzent "hinreichend sicherstellen kann, dass die kritische Komponente über keine technischen Eigenschaften verfügt, die geeignet sind", missbräuchlich auf "die Sicherheit, Integrität, Verfügbarkeit oder Funktionsfähigkeit der kritischen Infrastruktur einwirken zu können". Insbesondere müssten "Sabotage, Spionage oder Terrorismus" ausgeschlossen werden. Im Klartext: Hintertüren darf es keine geben.

Um solchen Belangen angemessen Rechnung zu tragen, muss die Garantieerklärung laut der Begründung "auch mögliche Gefahren und Verstöße gegen bestimmte Handlungspflichten abdecken, die sich aus den Organisationsstrukturen" oder möglichen sonstigen rechtlichen Verpflichtungen des Herstellers ergeben.

Mitspracherecht betroffener Ministerien

Die Inhalte der Deklaration zur Vertrauenswürdigkeit soll das BMI durch eine allgemeine Verfügung vorgeben, da für verschiedene Kritis-Sektoren spezifische Inhalte entscheidend seien. Um alle relevanten Belange der Ressorts berücksichtigen zu können, werde es die betroffenen Ministerien frühzeitig einbinden. Wer ein Mitspracherecht habe, richte sich "nach dem Sektor der kritischen Infrastruktur und den daraus folgenden Ressortzuständigkeiten". So sei etwa das Bundeswirtschaftsministerium im Bereich Telekommunikation betroffen und das Auswärtige Amt, wenn "öffentliche Interessen aufgrund außen- und sicherheitspolitischer Belange berührt sind".

Dazu kommen soll fortlaufend und regelmäßig ein "interministerieller Jour Fixe", bei dem das Bundeskanzleramt auf Referatsleiterebene dazu stößt. Ein solcher strukturierter Austausch sei notwendig, "um eine umfassende Sachverhaltsaufklärung" und Vorbereitung binnen der vorgesehenen knappen Fristen zu ermöglichen.

Betrieb einer Komponente kann untersagt werden

Zusätzlich halten die Ressorts "proaktiv" einen "geeigneten Eskalationsmechanismus" bereit, ist den Erläuterungen zu entnehmen. Dieser sei notwendig für Fälle, in denen sich die Arbeitsebene etwa auf ein Verbot nicht einigen könne. Soweit auch auf Ministerebene ein Dissens bestehen bleibe, "ist zeitnah durch die Bundesregierung über den Streit zu beraten mit dem Ziel, eine einvernehmliche Entscheidung voranzutreiben". Bei festgestellten Verstößen soll auch "der weitere Betrieb einer Komponente untersagt werden" können.

Prinzipiell hatten sich die Regierung und die Koalitionsfraktionen von CDU/CSU und SPD nach viel Streit im Sommer auf diese nun gesetzlich ausformulierte Prozedur verständigt. Der Huawei-Drops sei gelutscht, hatte es damals geheißen. Die politische Vertrauenswürdigkeitsprüfung, die zusätzlich zu einer BSI-Zertifizierung erfolge, werde auf objektiven Kriterien basieren. Bringe keines der beteiligten Ressorts Bedenken vor, sei die Genehmigung faktisch erteilt. Dem Druck aus den USA, Huawei großflächig und pauschal auszuschließen, wolle man sich nicht beugen.

Vorbehalte gegen Zugriff der Hersteller

Das Verfahren hält das BMI dem Entwurf zufolge für unerlässlich, da mit "zunehmender informationstechnischer Komplexität der eingesetzten kritischen Komponenten ein wesentlicher Teil der Beherrschbarkeit der Technologie im Rahmen der Produktpflege (Softwareupdates, Firmware-Updates, Schließen von Sicherheitslücken) beim Hersteller selbst oder auch der weiteren Lieferkette verbleibt". Weder eine Komponentenzzertifizierung, noch hohe technische Sicherheitsanforderungen stellten ausreichend sicher, "dass die Hersteller keine missbräuchlichen Zugriffsmöglichkeiten auf Hard- und Software" implementierten.

Die umfassende Prüfung verbleibender Restrisiken soll über eine objektive einschlägige Bewertung der Hersteller erfolgen. Der eingeschlagene Weg dient laut dem BMI ferner dazu, die Empfehlungen der "5G-Toolbox" der EU umzusetzen.

BSI wird wie geplant zur Cyber-Behörde

Sonst bleibt es bei dem Vorhaben, das BSI zu einer mächtigen Cyber-Behörde mit Hackerbefugnissen aufzurüsten. Mit 799 neuen Stellen – statt 583 im zweiten Entwurf vom Mai vorgesehenen – und rund 56,9 Millionen Euro Personalkosten soll das Amt ein wesentlicher Akteur im Kampf gegen Botnetze, vernachlässigte Geräte im Internet der Dinge oder Verbreiter von Schadsoftware werden. Ein Schwerpunkt ist der Verbraucherschutz, ein "freiwilliges IT-Sicherheitskennzeichen" soll kommen.

Die Behörde kann "Protokolldaten" einschließlich personenbeziehbarer Nutzerinformationen wie IP-Adressen, die bei der Online-Kommunikation zwischen Bürgern und Verwaltungseinrichtungen des Bundes sowie Parlamentariern anfallen, künftig 12 Monate lang speichern und auswerten. In den beiden früheren Entwürfen war von anderthalb Jahren die Rede.

Dazu kommen interne "Protokollierungsdaten" aus sämtlichen Behörden in Form von Aufzeichnungen über die Nutzungsform von IT. Damit sollen sich etwa weit verbreitete Trojaner wie Emotet sowie komplexe, oft von Geheimdiensten ausgehende komplexe Angriffe besser erkennen lassen.

Die Bußgeldvorschriften hat das BMI insgesamt überarbeitet und erweitert. Die Höchstwerte reichen – abgestuft nach der schwere von Verstößen in verschiedenen Kategorien – von 100.000 bis zu 20 Millionen Euro. Als Konsequenz aus dem Doxxing-Vorfall Ende 2018 soll im Telemediengesetz eine weitere Meldepflicht eingeführt werden. Anbieter müssten demnach das Bundeskriminalamt informieren und etwa Bestandsdaten und gegebenenfalls Passwörter von Geschädigten beziehungsweise Tatverdächtigen mitliefern, wenn sie Kenntnis haben von einem größeren Datenleak. Die vom BMI 2019 noch vorgesehenen Strafrechtsverschärfungen nicht nur in diesem Bereich sind vorerst vom Tisch.

[Update 23.11.2020 11:42]

Angaben über die Speicherdauer beim BSI korrigiert, nachdem diese im jüngsten Entwurf noch einmal angepasst wurden.

(tiw)