zurück zum Artikel

Das Bundeskabinett hat den Entwurf zur Reform des IT-Sicherheitsgesetzes befürwortet. Aus der Wirtschaft kommt massive Kritik.

Die Bundesregierung hat eine Novelle des IT-Sicherheitsgesetzes auf den Weg gebracht. Sie will damit das Bundesamt für Sicherheit in der Informationstechnik (BSI) zu einer Cyber-Behörde mit Hackerbefugnissen aufrüsten. Mit 799 neuen Stellen soll das Amt ein wesentlicher Akteur im Kampf gegen Botnetze, vernachlässigte Geräte im Internet der Dinge und Verbreiter von Schadsoftware werden.

Das BSI wird laut dem Regierungsbeschluss befugt, Sicherheitslücken an den Schnittstellen von IT-Systemen zu öffentlichen Telekommunikationsnetzen mithilfe von Portscans zu detektieren [1]. Es soll Systeme und Verfahren zur Analyse von Schadprogrammen und Angriffsmethoden wie Honeypots und Sinkholes einsetzen dürfen. Um bei den Portscans den Raum der statischen IP-Adressen einzuschränken, muss die Behörde aber eine "Weiße Liste" von nutzbaren Adressbereichen aufstellen und ständig anpassen. Damit soll sichergestellt werden, dass sich die gescannten Systeme "regelmäßig in Deutschland befinden".

Zwölf Monate speichern

"Protokolldaten" einschließlich personenbeziehbarer Nutzerinformationen wie IP-Adressen, die bei der Online-Kommunikation zwischen Bürgern und Verwaltungseinrichtungen des Bundes sowie Parlamentariern anfallen, wird das BSI laut Gesetzentwurf [2] künftig zwölf Monate lang speichern und auswerten dürfen. Die Anforderungen dafür hatte das Bundesinnenministerium (BMI) in seinem jüngsten Entwurf zusammengestrichen, beispielsweise die Auflage, dass die Protokolldaten nur zur Abwehr von Gefahren genutzt werden dürfen, die von einem gefundenen Schadprogramm ausgehen.

Interne "Protokollierungsdaten" aus sämtlichen Behörden in Form von Aufzeichnungen über die Nutzungsform von IT darf das BSI zur Abwehr von Gefahren für die Kommunikationstechnik des Bundes verarbeiten. Insgesamt sollen so weit verbreitete Trojaner wie Emotet sowie komplexe, oft von Geheimdiensten ausgehende komplexe Angriffe besser erkennbar werden.

Huawei-Klausel

Das BSI soll künftig Kontroll- und Prüfbefugnisse gegenüber der Bundesverwaltung ausüben. Bei wesentlichen Digitalisierungsvorhaben des Bundes soll es frühzeitig beteiligt werden. Bei bestimmten Gefahren kann das BSI gegenüber Telekommunikations- und Telemedienunternehmen bei bestimmten Gefahren für die Informationssicherheit Maßnahmen anordnen.

Eine "Huawei-Klausel" soll die Hürde für den Ausschluss einzelner Ausrüster vom Netzausbau etwa für 5G hoch legen [3]. Die Bundesregierung soll damit den Einsatz "kritischer Komponenten" untersagen können, für die eine Zertifizierungspflicht besteht und eine Garantieerklärung abzugeben ist. Ins parallel reformierte Telekommunikationsgesetz (TKG) wird erstmals eine Zertifizierungspflicht für kritische Komponenten in Netzen eingefügt.

Betreiber kritischer Infrastrukturen (Kritis) werden verpflichtet, Systeme zur Angriffserkennung einzusetzen. Diese Pflicht soll auch für Betreiber von Energieversorgungsnetzen und -anlagen gelten. Die ursprünglich vorgesehenen Speicherpflichten für Systeme zur Angriffserkennung hat das Kabinett gestrichen.

Die für Kritis-Betreiber bereits geltenden Meldepflichten treffen künftig auch Unternehmen, die von besonderem öffentlichem Interesse sind wie aus der Rüstungsindustrie. Erfasst werden sollen auch Firmen, die wegen ihrer hohen Wertschöpfung eine besondere volkswirtschaftliche Bedeutung haben und die der Störfallverordnung unterliegen.

Massive Kritik aus der Wirtschaft

Den Aufgabenkatalog des BSI will die Regierung um den Verbraucherschutz erweitern. Die Basis für ein einheitliches IT-Sicherheitskennzeichen wird eingeführt, das Sicherheitsfunktionen von Produkten vor allem im Konsumentenbereich erstmals für Bürger sichtbar und nachvollziehbar machen soll. Zum Schutz von Betroffenen und für Benachrichtigungen wird das BSI ermächtigt, bei Anbietern von Telekommunikationsdiensten Bestandsdatenauskünfte einzuholen.

Für scharfe Kritik hatte zuletzt vor allem gesorgt, dass das BMI signifikant überarbeitete Entwürfe an Verbände und andere Interessenvertreter teilweise mit der Bitte schickte, diese binnen 24 Stunden zu kommentieren [4]. "Eine so kurze Frist ist der ministerielle Mittelfinger ins Gesicht der Zivilgesellschaft!", meinten Sicherheitsexperten der AG Kritis. Der IT-Branchenverband Bitkom bezeichnete [5] das Verfahren als "absolut inakzeptabel". Es gehe nur noch darum, möglichst viele Entwürfe noch in diesem Jahr durchs Kabinett zu bringen, beklagte der eco-Verband der Internetwirtschaft. Das sei Ausdruck bloßer gesetzgeberischer und politischer Hilflosigkeit.

"Inhaltlich überdehnt"

Substanziell moniert der eco nun, dass die Regierung nachhaltig die allgemeine IT-Sicherheit schwäche und die Vertrauenswürdigkeit digitaler Kommunikation in Deutschland beschädige. Der Entwurf für das IT-Sicherheitsgesetz 2.0 sehe vor, dass das BSI Informationen über Sicherheitslücken zurückhalten solle, sofern es Sicherheitsbehörden gegenüber zur Verschwiegenheit verpflichtet sei. Datenverkehr an von ihm benannte Server dürfe es umleiten lassen, selbst Angriffe auf IT-Systeme vortäuschen und im Zuge dessen auch in diese eindringen.

Der Bitkom fand das Vorhaben "inhaltlich überdehnt". Dies gelte sowohl für den sich zwischen BSI und den Sicherheitsbehörden abzeichnenden Interessenkonflikt als auch für den nach wie vor zu unbestimmten Begriff der Vertrauenswürdigkeit. Der Verband lehnt technische Zugriffs- und Weisungsbefugnisse der Behörde gegenüber Firmen ab. Das erstmals genannte Ziel von Interoperabilität habe zwar Potenzial, sollte aber nicht "starr und bestrafend" ausgestaltet werden.

Der TÜV-Verband sieht vor allem am geplanten IT-Sicherheitskennzeichen deutlichen Korrekturbedarf. Eine reine Plausibilitätsprüfung von Dokumenten reiche nicht aus, um ein Produkt als sicher einzustufen. Ähnlich hatte sich zuvor der Bundesverband der Verbraucherzentralen (vzbv) geäußert. Ihm zufolge muss auch gewährleistet sein, dass das BSI beim neu verankerten Konsumentenschutz nicht in Interessenkonflikte mit anderen Aufgabenbereichen wie dem Unterstützten von Strafverfolgern komme. Das Vorhaben muss noch den Bundestag und den Bundesrat passieren.

(anw [6])

URL dieses Artikels:
https://www.heise.de/-4991753

Links in diesem Artikel:
[1] https://www.heise.de/news/IT-Sicherheitsgesetz-BSI-soll-Daten-18-Monate-auf-Vorrat-speichern-4719797.html
[2] https://www.heise.de/downloads/18/3/0/2/1/1/7/7/it-sicherheitsgesetz.pdf
[3] https://www.heise.de/news/IT-Sicherheitsgesetz-Hohe-Huerde-fuer-Huawei-Ausschluss-vom-Netzausbau-4967768.html
[4] https://www.heise.de/news/IT-Sicherheitsgesetz-2-0-Mittelfinger-ins-Gesicht-der-Zivilgesellschaft-4986032.html
[5] https://www.heise.de/downloads/18/3/0/2/1/1/7/7/201211_sn_bitkom_it-sicherheitsgesetz_2.0.pdf
[6] mailto:anw@heise.de

Copyright © 2020 Heise Medien