Bundesregierung: BSI soll mit IT-Sicherheitsgesetz 2.0 hacken dürfen

Inhaltsverzeichnis

Die Bundesregierung hat eine Novelle des IT-Sicherheitsgesetzes auf den Weg gebracht. Sie will damit das Bundesamt für Sicherheit in der Informationstechnik (BSI) zu einer Cyber-Behörde mit Hackerbefugnissen aufrüsten. Mit 799 neuen Stellen soll das Amt ein wesentlicher Akteur im Kampf gegen Botnetze, vernachlässigte Geräte im Internet der Dinge und Verbreiter von Schadsoftware werden.

Das BSI wird laut dem Regierungsbeschluss befugt, Sicherheitslücken an den Schnittstellen von IT-Systemen zu öffentlichen Telekommunikationsnetzen mithilfe von Portscans zu detektieren. Es soll Systeme und Verfahren zur Analyse von Schadprogrammen und Angriffsmethoden wie Honeypots und Sinkholes einsetzen dürfen. Um bei den Portscans den Raum der statischen IP-Adressen einzuschränken, muss die Behörde aber eine "Weiße Liste" von nutzbaren Adressbereichen aufstellen und ständig anpassen. Damit soll sichergestellt werden, dass sich die gescannten Systeme "regelmäßig in Deutschland befinden".

Zwölf Monate speichern

"Protokolldaten" einschließlich personenbeziehbarer Nutzerinformationen wie IP-Adressen, die bei der Online-Kommunikation zwischen Bürgern und Verwaltungseinrichtungen des Bundes sowie Parlamentariern anfallen, wird das BSI laut Gesetzentwurf künftig zwölf Monate lang speichern und auswerten dürfen. Die Anforderungen dafür hatte das Bundesinnenministerium (BMI) in seinem jüngsten Entwurf zusammengestrichen, beispielsweise die Auflage, dass die Protokolldaten nur zur Abwehr von Gefahren genutzt werden dürfen, die von einem gefundenen Schadprogramm ausgehen.

Interne "Protokollierungsdaten" aus sämtlichen Behörden in Form von Aufzeichnungen über die Nutzungsform von IT darf das BSI zur Abwehr von Gefahren für die Kommunikationstechnik des Bundes verarbeiten. Insgesamt sollen so weit verbreitete Trojaner wie Emotet sowie komplexe, oft von Geheimdiensten ausgehende komplexe Angriffe besser erkennbar werden.