IT-Sicherheitsgesetz 2.0: Bundestag baut BSI zur Hackerbehörde aus
Der Bundestag hat den Entwurf zur Reform des IT-Sicherheitsgesetzes verabschiedet. Das BSI darf künftig Portscans durchführen und Honeypots einsetzen.
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) soll zu einer mächtigen Cyberbehörde mit Hackerbefugnissen aufgerüstet werden. Dies hat der Bundestag am Freitag mit der seit Jahren umstrittenen Novelle des IT-Sicherheitsgesetzes beschlossen. Mit 799 neuen Stellen, die mit 74,24 Millionen Euro Personalkosten zu Buche schlagen, soll das Amt ein wesentlicher Akteur im Kampf gegen Botnetze, vernachlässigte Geräte im Internet der Dinge und Verbreiter von Schadsoftware werden.
Für die Reform stimmten die Regierungsfraktionen von CDU/CSU und SPD. Die Opposition war geschlossen dagegen, ihre Anträge fanden aber keine Mehrheit. Das BSI wird dem Beschluss zufolge befugt, Sicherheitslücken an den Schnittstellen von IT-Systemen zu öffentlichen Telekommunikationsnetzen mithilfe von Portscans zu finden. Ferner soll es Systeme und Verfahren zur Analyse von Schadprogrammen und Angriffsmethoden wie Honeypots und Sinkholes einsetzen dürfen.
Datenschützer überwacht "Weiße Liste"
Um bei Portscans den Raum der beobachteten IP-Adressen einzuschränken, muss die Behörde eine "Weiße Liste" von nutzbaren Adressbereichen aufstellen und ständig anpassen. Damit soll sichergestellt werden, dass sich gescannte Systeme "regelmäßig in Deutschland befinden". Die Bundesdatenschutzbehörde soll die Liste vierteljährlich kontrollieren können.
Zur Abwehr konkreter erheblicher Gefahren für die IT-Sicherheit kann das BSI gegenüber einem Anbieter von Telekommunikationsdiensten mit mehr als 100.000 Kunden anordnen, dass dieser "technische Befehle zur Bereinigung von einem konkret benannten Schadprogramm" an betroffene IT-Systeme verteilt. Die Behörde soll dabei laut einer Entschließung technisch und organisatorisch sicherstellen, dass rechtswidrige Eingriffe in das Computer-Grundrecht ausgeschlossen sind.
"Protokolldaten" einschließlich personenbeziehbarer Nutzerinformationen wie IP-Adressen, die bei der Online-Kommunikation zwischen Bürgern und Verwaltungseinrichtungen des Bundes anfallen, darf das BSI künftig 12 Monate lang speichern und auswerten. Schwarz-Rot hat hier gegenüber dem Regierungsentwurf eine längere Frist von bis zu 18 Monaten eingefügt, soweit die Informationen nachweislich zur Gefahrenabwehr von nötig sein könnten. Die Daten "sind zu pseudonymisieren, soweit dies automatisiert möglich ist".
Lex Huawei
Enthalten ist eine "Huawei-Klausel", die die Hürde für den Ausschluss einzelner Ausrüster vom Netzausbau etwa für 5G aber vergleichsweise hoch legt. Die Bundesregierung soll damit den Einsatz "kritischer Komponenten" bei "voraussichtlichen Beeinträchtigungen der öffentlichen Sicherheit und Ordnung" untersagen können. Für solche Bestandteile kommt eine Zertifizierungspflicht, Hersteller müssen eine Garantieerklärung abgeben.
Einen Bann kann das Bundesinnenministerium verhängen. Es muss sich dazu aber "ins Benehmen" setzen mit den jeweils betroffenen Ressorts wie dem Bundeswirtschaftsministerium sowie dem Auswärtigen Amt. Ins parallel reformierte Telekommunikationsgesetz (TKG) hat der Bundestag eine Zertifizierungspflicht für kritische Komponenten in Netzen eingefügt, wenn ein erhöhtes Gefährdungspotenzial für die Betreiber besteht.
Kritische Infrastrukturen
Die "unternehmerischen Vorsorgepflichten" baut das Parlament aus. Betreiber kritischer Infrastrukturen (Kritis) werden verpflichtet, Systeme zur Angriffserkennung einzusetzen. Diese Auflage soll auch für Betreiber von Energieversorgungsnetzen und -anlagen gelten. Die erfassten Einrichtungen müssen zudem eine Erklärung eines Herstellers kritischer Komponenten einholen, dass alles mit rechten Dingen zugeht und etwa keine Sabotage oder Spionage droht.
Die für Kritis-Betreiber bereits geltenden Meldepflichten treffen künftig auch Unternehmen, die von besonderem öffentlichen Interesse sind. Das bezieht sich etwa auf die Rüstungsindustrie und Anbieter von IT-Lösungen für Verschlusssachen. Erfasst werden ferner Firmen, die der Störfallverordnung unterliegen. Die Koalition hat Konzerne hinzugefügt, die aufgrund ihrer Wertschöpfung im Inland "von erheblicher volkswirtschaftlicher Bedeutung" oder "als Zulieferer wegen ihrer Alleinstellungsmerkmale" wesentlich sind. Details sollen in einer Rechtsverordnung festgelegt werden. Das BSI wird zudem für den Verbraucherschutz etwa mit einem IT-Sicherheitskennzeichen zuständig.
Für scharfe Kritik am Verfahren hatte vor allem gesorgt, dass das Bundesinnenministerium signifikant überarbeitete Entwürfe an Verbände und andere Interessenvertreter teils mit der Bitte um Kommentierung binnen 24 Stunden schickte. Auch inhaltlich fanden Experten bei einer Anhörung kaum ein gutes Wort für die Initiative. Sie kritisierten etwa, dass das BSI Sicherheitslücken im Interesse der Strafverfolgung offen lassen dürfe uns so zum "Handlanger der Sicherheitsbehörden" werde.
"Strategie- und Ziellosigkeit"
Das Gesetz verdiene seinen Namen nicht, beklagte Manuel Höferlin (FDP) bei der abschließenden Aussprache. Alle wichtigen Punkte habe Schwarz-Rot nur in einen Entschließungsantrag mit Aufträgen für die nächste Regierung gepackt. Sicherheitslücken müssten konsequent offengelegt und geschlossen werden. "Mängel überdecken das Nötige", monierte Petra Pau (Die Linke). Sie monierte die "Strategie- und Ziellosigkeit" der Regierung in einer Zeit, in der selbst die allgemeine Energie- und Wasserversorgung längst auf IT-Systemen basiere.
"Die Hütte brennt lichterloh", mahnte der Grüne Konstantin von Notz. Statt über eine Brandschutzmauer zu reden, habe sich die Koalition in Huawei-Debatten verfangen. Nötig wären eine durchgehende Ende-zu-Ende-Verschlüsselung, weniger Massenüberwachung und mehr Open Source. Doch: "Die GroKo hat es nicht gemacht." Selbst Sachverständige von CDU und CSU hätten von einem "Anti-Sicherheitsgesetz" gesprochen. Auch Joana Cotar (AfD) erinnerte daran, dass selten ein Gesetz bei einer Anhörung so zerrissen worden sei wie dieses. Die Beratungsresistenz der Regierung könne die Sicherheit der Republik gefährden.
"Die Gefährdung im Cyberraum ist sehr hoch", verteidigte Bundesinnenminister Horst Seehofer das Gesetz. Die Angriffe würden immer intelligenter, der Schaden werde immer größer. "Wir müssen unsere Schutzmechanismen anpassen", betonte der CSU-Politiker. Das Upgrade sei dringend geboten.
Die Vorlage des Regierungsentwurfs habe ewig gebraucht, blickte Sebastian Hartmann (SPD) in Richtung Seehofer. Die Koalition habe die Zertifizierung kritischer Komponenten getrennt von der politischen Fragestellung der Vertrauenswürdigkeit von Herstellern. Zudem werde nun auch geregelt, was passiere, wenn ein Produzent nach einem Einbau solcher Bestandteile etwa keine Updates mehr liefere. (vbr)