Deutschland soll führender IT-Sicherheitsstandort werden und es gibt Handlungsbedarf bei der Verbesserung der IT-Sicherheitslage, insbesondere im Bereich kritischer Infrastrukturen. Darüber, wie dieser Herausforderung politisch und gesetzgeberisch am effektivsten begegnet werden soll, herrscht allerdings Uneinigkeit zwischen Internetwirtschaft, Bundesregierung und Opposition, so das Fazit des ersten eco polITalks 2015, der am Dienstag in Berlin stattfand. Unter dem Titel „NIS-Richtlinie und IT-Sicherheitsgesetz – harmonisierte IT-Sicherheitsstandards oder europäischer Flickenteppich?“ diskutierten rund 70 Vertreter aus Wirtschaft, Wissenschaft und Politik im Collegium Hungaricum über aktuelle Entwicklungen und Herausforderungen in den auf Bundes- und EU-Ebene stattfindenden Gesetzgebungsprozessen zur IT-Sicherheit. Im Fokus der von Stefan Krempl moderierten Diskussion, an der Martin Schallbruch, IT-Direktor im Bundesministerium des Innern, Konstantin von Notz, MdB und netzpolitischer Sprecher der Fraktion Bündnis 90/Die Grünen sowie Oliver Süme, eco Vorstand Politik & Recht teilnahmen, standen im Wesentlichen drei Fragen: Erstens, welche Konsequenzen ergeben sich aus dem unterschiedliche Vorgehen auf nationaler und europäischer Ebene für die Internetwirtschaft? Zweitens, ist Planungs- und Rechtssicherheit für Unternehmen gewährleistet? Und drittens, welche Rolle spielt das Thema Verschlüsselung für eine erfolgreiche IT-Sicherheitsstrategie?
Europäischer Flickenteppich droht
Süme und von Notz übten gemeinsam Kritik an der Strategie der Bundesregierung, die ihr IT-Sicherheitsgesetz unabhängig von der auf europäischer Ebene geplanten NIS-Richtlinie bis zum Sommer verabschieden will. „Ein nationales Vorpreschen widerspricht in jeglichem Sinne einer Harmonisierung innerhalb der anstehenden Gesetzgebung. Auch wenn eine Vorreiterrolle, die Deutschlands im Bereich der IT-Sicherheit prinzipiell wünschenswert ist, führt dieses Vorgehen unweigerlich zu großer Rechtsunsicherheit für die betroffenen Unternehmen“, sagte Oliver Süme. Nationale „Alleingänge“ seien weder in Deutschland noch in anderen Mitgliedstaaten zielführend. Erste Tendenzen für einen europäischen Flickenteppich seien bereits erkennbar, neben Deutschland planen auch Österreich, Finnland, Belgien und Großbritannien eigene IT-Sicherheitsgesetze.
Von Notz vermisst außerdem eine angemessene Status Quo-Analyse zur Sicherheitslage in Deutschland, die aus seiner Sicht vor Formulierung des IT-Sicherheitsgesetzes hätte erfolgen müssen, um unter anderem den „diffusen Begriff der Cybersicherheit“ näher zu definieren.
Martin Schallbruch, IT-Beauftragter im Bundesministerium des Innern wies diese Vorwürfe zurück. Die Bundesregierung beobachte nicht nur die Brüsseler Diskussion, sondern beeinflusse den Gesetzgebungsprozess für eine europäische NIS Richtlinie maßgeblich, damit zwischen nationaler und europäischer Gesetzgebung ein Gleichklang gelinge.
Wirtschaft soll in Definition unklarer Rechtsbegriffe einbezogen werden
Offene Fragen sieht Süme vor allem in den noch ungeklärten Rechtsbegriffen im aktuellen Gesetzesentwurf. So sei nach wie vor unklar, welche Unternehmen künftig unter die Definition „kritische Infrastrukturen“ fielen. Hier dürfe es nicht zu einer „Insellösung“ kommen. Auch die Ausgestaltung der Meldepflichten sowie die Festlegung von Mindeststandards seien nach wie vor undefiniert. Von Notz kritisierte außerdem, dass das Gesetz nur Unternehmen in die Pflicht nähme, während die ebenfalls von Cyberangriffen bedrohten Behörden nicht in den Anwendungsbereich fallen. Schallbruch verwies für die noch offenen Definitionspunkte auf die geplante Verordnung, die im Nachgang zum Gesetz, in einem „kooperativen Ansatz“ gemeinsam mit der Wirtschaft ausgearbeitet werden solle. Die IT-Sicherheit der Bundesbehörden seien bereits im Umsetzungsplan für die Gewährleistung der IT-Sicherheit in der Bundesverwaltung (UP Bund) ausreichend geregelt, für Landesbehörden und Kommunen habe der Bund hingegen keine Handhabe.
Klares Bekenntnis zu Verschlüsselung ohne Hintertüren
Die dritte Schlüsselfrage innerhalb der Diskussion bezog sich darauf, welche Rolle Verschlüsselung für IT-Sicherheit spielt und wie die Bundesregierung mit diem Thema umgeht. von Notz sprach in diesem Zusammenhang von einer „schizophrenen“ Diskussion. Man könne nicht einerseits von den Unternehmen strenge Sicherheitsvorkehrungen verlangen und andererseits Hintertüren bei der Verschlüsselung fordern und den „Schwarzmarkt für Sicherheitslücken beatmen“, so von Notz.
Schallbruch gab offen zu, dass bei diesem Thema zwei Herzen in seiner Brust schlügen.
So setze sich das Bundesinnenministerium klar für starke Verschlüsselung ohne Hintertüren ein, gleichzeitig müssten Sicherheitsbehörden aber auch die Möglichkeit haben, zur Strafverfolgung Kommunikationsdaten einzusehen sowie die Legitimation einfache Verschlüsselungen zu knacken.
Der Entwurf zum IT-Sicherheitsgesetz der Bundesregierung soll innerhalb der nächsten zwei Wochen zur ersten Lesung in den Bundestag gehen und noch bis zur Sommerpause soll das neue Gesetz verabschiedet werden. Parallel läuft auf europäischer Ebene das Notifizierungsverfahren zum IT-Sicherheitsgesetz, das aller Voraussicht nach am 18. März abgeschlossen sein soll.
Sehen Sie hier alle Fotos des eco polITalks in unserer Bildergalerie.