01.03.2021

IT-Sicherheitsgesetz 2.0: „Politik muss Reißleine ziehen“

Das vom Bundeskabinett kurz vor Jahreswechsel im Dezember 2020 beschlossene Zweite Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz 2.0) soll unter anderem den Schutz der Bundesverwaltung, kritischer Infrastrukturen (KRITIS), sowie von Unternehmen im besonderen öffentlichen Interesse und dem Verbraucherschutz regeln.

Das BSI soll in diesem Rahmen weitere Befugnisse erhalten, um IT-Unternehmen umfassend zu kontrollieren. Gleichzeitig soll das BSI der Öffentlichkeit aber wichtige Sicherheitsinformationen vorenthalten dürfen.

eco kritisiert dieses Vorhaben als unverhältnismäßig und schädlich für das allgemeine Vertrauen in IT-Systeme.

„Das IT-Sicherheitsgesetz 2.0 hätte einen sinnvollen Rechtsrahmen bilden können, um wirksam Cyberkriminalität zu bekämpfen und die Sicherheit digitaler Infrastrukturen zu erhöhen“, sagt ecos stellvertretender Vorstandsvorsitzender Klaus Landefeld. „Stattdessen rücken Sorgen um die Behördenwünsche in den Vordergrund, wenn Technologie per Allgemeinverfügung als nicht vertrauenswürdig eingestuft und deren Einsatz weitgehend untersagt werden kann.“

So will das neue Gesetz nicht nur Betreiber kritischer Infrastrukturen zur umfangreichen Dokumentation von IT-Sicherheitslücken verpflichten, sondern auch eine Vielzahl weiterer Unternehmen. Wer konkret unter die neu eingeführte Kategorie „Unternehmen von besonderem öffentlichen Interesse“ fällt, ist bislang jedoch nicht einmal abschließend definiert. Landefeld: „Bei Unternehmen führt das zu weiteren Planungs- und Rechtsunsicherheiten.“

Landefeld: „Wer überwacht die Überwacher?“

 

Umgekehrt kann das BSI mit dem neuen Gesetz Informationen über Sicherheitslücken zurückhalten, sofern es Sicherheitsbehörden gegenüber zur Verschwiegenheit verpflichtet ist. Staatliche Akteure erhalten dadurch Anreize, Softwarelücken geheim zu halten, um sich darüber weitere Informationen zu beschaffen oder diese gegebenenfalls für eigene Zwecke auszunutzen.

Das wiederum schafft Einfallstore für Cyberkriminelle und Industriespionage, es schwächt die allgemeine IT-Sicherheit erheblich. Auch kann das BSI Datenverkehr an von ihm benannte Server umleiten lassen, selbst Angriffe auf IT-Systeme vortäuschen und im Zuge dessen auch in diese Systeme eindringen.

Landefeld: „Hier werden politische Interessen vor die IT-Sicherheit gestellt. Warum sind Unternehmen bei Sicherheitsvorfällen zu einer akribischen Meldepflicht an das BSI verpflichtet, aber staatliche Behörden dürfen wichtige Sicherheitsinformationen den Unternehmen vorenthalten? Wer überwacht die Überwacher, wenn die Bundesregierung ganz klar staatliches Hacking fördert? Der Trend dazu ist klar, das sieht man auch schon beim geplanten BND-Gesetz. Faktisch darf der BND demnach 99,9 Prozent aller weltweiten Datenverkehre überwachen und nahezu nach Belieben in Computersysteme eindringen. Wenn die Politik jetzt nicht gänzlich das Vertrauen in digitale Kommunikation und Dienste verspielen will, muss sie jetzt die Reißleine ziehen und das Wertesystem einer digitalen Gesellschaft überdenken.“

 

Eine öffentliche Anhörung zum IT-Sicherheitsgesetz 2.0 fand am 1. März im Bundestag statt. Eine Aufzeichnung der Sitzung kann in der Mediathek auf bundestag.de abgerufen werden. Im Vorfeld hatte der Verband der Internetwirtschaft kritisiert, dass eine Beteiligung am Gesetzgebungsverfahren durch betroffene Unternehmen sowie Verbände und private Nutzer faktisch kaum möglich war: Ende vergangenen Jahres hatte das Bundesinnenministerium nach fast zwei Jahren Wartezeit einen knapp 100 Seiten umfassenden Referentenentwurf zum IT-Sicherheitsgesetz vorgelegt und eine Frist von lediglich 26 Stunden zur Kommentierung eingeräumt.

 

Weiter hatte eco die Politik vor einer vorschnellen nationalen Regulierung gewarnt, bevor auf europäischer Ebene nicht die Überarbeitung der NIS-Richtlinie abgeschlossen ist, welche ebenfalls im Dezember vorgelegt wurde.

Vertrauen & Sicherheit