TKG-Novelle: Bundesrat für "ambitioniertes" Recht auf schnelles Internet
Seite 3: IT-Sicherheitsgesetz: Zertifizierte Hardware
(Bild: Den Rise/Shutterstock.com)
Beim Entwurf für ein neues IT-Sicherheitsgesetz setzen die Länder sich dafür ein, dass kritische Komponenten von einem Betreiber öffentlicher TK-Netze mit erhöhtem Gefährdungspotenzial nur eingesetzt werden dürfen, wenn sie vorab "von einer anerkannten Zertifizierungsstelle überprüft und zertifiziert wurden". Eine Kontrolle im Rahmen voneinander getrennter Arbeitsschritte von unterschiedlichen Institutionen sei zu vermeiden, um gerade kleine und mittlere Unternehmen zu entlasten. Eine pauschale Zertifizierungspflicht sei nicht angebracht, da sie vor allem bei Open Source sowie eigenentwickelter Software "zu einem nachhaltigen Verlust von Innovationskraft führen" und den Wettbewerb schwächen würde.
Korrekturbedarf bei Behörden
Enge Auflagen für Datenverarbeitungssysteme insbesondere für Polizeibehörden will das Gremium verhindern. Soweit die Initiative insbesondere bei den Ermittlungs- und Sicherheitsbehörden im Bereich der digitalen Gefahrenabwehr sowie im Bereich der Datenschutzaufsicht über Telemedien "originäre Kompetenzen und Interessen der Länder berühren", sieht der Bundesrat Korrekturbedarf. Er fordert den Bund auf, nicht nur die Kostenfolgen für dessen Behörden, sondern auch die der Landesverwaltung und der Kommunen zu ermitteln.
Die mit erfassten Krankenhäuser und Universitätskliniken werden verpflichtet, künftig "komplexe Anforderungen in den Bereichen Personal, Organisation und Betrieb umzusetzen", ist der Kammer aufgefallen. Diese müssten durch einen Zuschlag refinanziert werden. Die Bußgelder sollen zudem für derlei Einrichtungen nicht von derzeit 100.000 auf mehrere Millionen Euro erhöht werden.
Mehr Befugnisse fürs BSI
Dem IT-Sicherheitsamt BSI wollen die Länder auch Anordnungsbefugnisse eingeräumt wissen, wenn Sicherheitslücken zu Schädigungen einer Vielzahl von Personen genutzt werden können, ohne dass dabei die IT-Systeme der Betroffenen selbst gestört werden müssen. Dies könne der Fall sein bei Sicherheitslücken, die ein Ausspähen sensibler Gesundheitsdaten oder von Daten für Zahlungsdienste ermöglichen.
Der Bundesrat bittet, im weiteren Gesetzgebungsverfahren die Aufnahme materieller Vorgaben für den Einsatz des IT-Sicherheitskennzeichens zu prüfen. Es sollte klar sein, unter welchen Voraussetzungen das Logoprogramm angewendet werden dürfe und was es über das Sicherheitsniveau eines Produkt verrate. Die Länder schlagen zudem vor, den Aspekt des Datenschutzes einzubeziehen, um eine "Häufung von Siegeln" zu vermeiden.
(vbr)
