Seite 3: Das BSI als Lückenfinder

Inhaltsverzeichnis

Zur Erfüllung seiner Aufgaben soll das BSI laut Gesetzentwurf künftig „Maßnahmen zur Detektion von Schadprogrammen, Sicherheitslücken und anderen Sicherheitsrisiken in öffentlich erreichbaren IT-Systemen durchführen“ dürfen. Voraussetzung dafür ist, dass „Tatsachen die Annahme rechtfertigen, dass diese ungeschützt sind und dadurch in ihrer Sicherheit oder Funktionsfähigkeit gefährdet sein können“. Als „ungeschützt“ soll ein IT-System gelten, wenn es entweder öffentlich bekannte Sicherheitslücken aufweist oder wenn die getroffenen Sicherheitsvorkehrungen offensichtlich unzureichend sind, sodass Schädiger darauf zugreifen können.

Bei seiner amtlichen Risikosuche darf das BSI „Systeme und Verfahren einsetzen, welche einem Angreifer einen erfolgreichen Angriff vortäuschen, um Schadprogramme und andere Angriffsmethoden zu erheben und auszuwerten“. Damit dürfte das Amt nicht nur Portscans durchführen, sondern auch Honeypots und Sinkholes betreiben. Immerhin ist ein aktives Eindringen in IT-Systeme nach wie vor nicht vorgesehen. Wenn mit den genannten technischen Verfahren tatsächlich Schwachstellen erkannt werden, soll das BSI den für das IT-System Verantwortlichen oder den zuständigen Betreiber informieren.

Keine unabhängige Behörde

Zu den Aufgaben, die das Amt zukünftig noch erhalten soll, gehört die Erteilung von Befugnissen, als Konformitätsbewertungsstelle im Bereich der IT-Sicherheit tätig zu sein. Zudem wird die Bundesregierung das BSI sehr wahrscheinlich als nationale Behörde für die Cybersicherheitszertifizierung gemäß EU Cybersecurity Act (CSA) benennen. Das mit so großer Bedeutung versehene Amt ist nicht etwa eigenständig, sondern dem BMI nachgeordnet. Unter die Regie dieses Ministeriums aber fallen auch Behörden wie das Bundesamt für Verfassungsschutz, das Bundeskriminalamt oder das Bundespolizeipräsidium. Will man das Thema IT-Sicherheit wirklich ernst nehmen, wäre ein vom BMI unabhängiges BSI als gleichrangige oberste Bundesbehörde zu fordern. Darüber wird derzeit noch gestritten. Ziemlich klar ist aber, dass zumindest das IT-SiG 2.0 noch keine solche Unabhängigkeit mitbringen wird.

Auf europäischer Ebene lässt sich absehen, dass die enorme Bündelung von Befugnissen für das BSI Konflikte mit der DSGVO und der EU-Verordnung über elektronische Identifizierung und Vertrauensdienste für elektronische Transaktionen im Binnenmarkt (eIDAS-VO) entstehen lässt. Es dürfte sogar zu internen Interessenkonflikten kommen: Wie kann das BSI einerseits IT-Ermittlungsbehörde sein, die aktiv Schwachstellen aufdeckt, und andererseits die fraglichen Systeme vorher womöglich selbst zertifiziert haben?

Viel Stoff für Streit

Der Gesetzentwurf zum IT-SiG 2.0 zeigt, welche Richtung die IT-Sicherheit in Deutschland und Europa in den kommenden Jahren nach dem Willen der Politik nehmen soll. Der Weg führt in Richtung staatlich verordneter Sicherheit nach bürokratischen Rezepten. Vorschriften sollen technische Gegebenheiten bis ins Detail regeln. Das bekommen nun auch Verbraucher zu spüren: Gerade im Markt der IT für Privatleute wird das neu zu vergebende Sicherheitssiegel eine wichtige Rolle spielen. Dieser Weg berührt nicht zuletzt die Hoheit über die eigene IT-Infrastruktur. Ob er wirklich zum Ziel einer umfassenden besseren IT-Sicherheit führt? Zweifel sind erlaubt. (psz)