Kritik ignoriert: Kabinett verabschiedet IT-Sicherheitsgesetz 2.0
Die Bundesregierung hat am Mittwoch die Novelle des IT-Sicherheitsgesetzes 2.0 (Zweites Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme) beschlossen. Es regelt den Schutz der Bundesverwaltung und kritischer Infrastrukturen, soll das Bundesamt für Sicherheit in der Informationstechnik (BSI) aber auch mit umstrittenen Angriffsbefugnissen ausstatten. So darf sich das BSI künftig selbstständig auf die Suche nach Sicherheitslücken und Angreifern machen, Behördenkommunikation ein Jahr lang protokollieren – und gegenüber Telekommunikationsunternehmen wird das Amt in Gefahrensituationen weisungsbefugt. Von den Firmen darf es laut Gesetz auch Bestandsdatenauskünfte verlangen.
Das Gesetz war zwei Jahre in Arbeit – einen ersten Entwurf hatte das Bundesinnenministerium im März 2019 veröffentlicht. Ursprünglich war die Fertigstellung für das zweite Quartal 2019 angekündigt. Doch auch nach dieser langen Bearbeitungszeit ist der Gesetzestext hoch umstritten. Sowohl Teile der Wirtschaft und Politik als auch Expertenverbände und Zivilgesellschaft reagierten empört auf die Absegnung durch das Kabinett.
BSI ist nicht unabhängig
Große Teile des neuen Gesetzes betreffen das Bundesamt für Sicherheit in der Informationstechnik (BSI). Es soll deutlich mehr Befugnisse erhalten und zu einer “Superbehörde” ausgebaut werden. Die Aufgabe des BSI ist es, die IT-Sicherheit in Deutschland zu gewährleisten und zu verbessern. Es berät unter anderem Unternehmen und Behörden und ist auch Ansprechpartner bei erfolgten IT-Angriffen. Zu seinen Aufgaben gehört auch die Warnung vor Schadprogrammen oder Sicherheitslücken. Allerdings untersteht die Behörde dem Bundesinnenministerium – wie auch das Bundeskriminalamt und der Verfassungsschutz.
Hier verschärft die Gesetzesnovelle bereits bestehende handfeste Interessenkonflikte. Beispielsweise, weil Geheimdienste und Ermittlungsbehörden mitunter zur Beschaffung von Informationen am Offenhalten von Sicherheitslücken interessiert sind, während ein Schließen solcher Lücken im Sinne der IT-Sicherheit geboten wäre. Kritiker fordern daher seit Jahren, das Amt zu einer unabhängigen Behörde zu machen. Im Gesetz ist explizit festgelegt, dass das BSI das Warnen vor Sicherheitslücken einschränken kann, “weil das Bundesamt gegenüber Dritten zur Vertraulichkeit verpflichtet ist”. Künftig soll das BSI auch selbst Portscans durchführen, um Sicherheitslücken zu finden oder sogenannte Honeypots einrichten. Darunter versteht man in der IT Scheinziele, die dazu dienen, Angreifer von eigentlichen Zielen abzulenken oder deren Aktivitäten aufzudecken, um Gegenmaßnahmen ergreifen zu können.
Protokolldaten der Kommunikation zwischen Bürgern und Verwaltungseinrichtungen des Bundes sowie Parlamentariern soll das BSI künftig für ein Jahr speichern. Ohne den Begriff zu nutzen, beschreibt das Gesetz hier eine Art Vorratsdatenspeicherung. Der Europäische Gerichtshof (EuGH) hat bereits in drei Urteilen der massenhaften Vorratsdatenspeicherung eine Absage erteilt.
Aufgrund der fehlenden Unabhängigkeit der Behörde gibt es auch Sorgen um die Daten aus Unternehmen, die das Amt künftig sammeln soll. Das BSI darf laut Gesetz einen tiefen Einblick in die IT-Struktur von deutschen Firmen verlangen. Diese sind wiederum dazu verpflichtet, sogenannte kritische IT-Komponenten zu melden.
Klaus Landefeld, Vorstand des Eco-Verbandes der Internetwirtschaft, fragt etwa: “Kann man sich sicher sein als Unternehmen, dass da auch nichts weitergegeben wird oder dass nicht die gleichen Analysen und gefundenen Schwachstellen dann auch wieder an andere Stellen weiterlaufen? Das ist eigentlich unsere Sorge, die hier besteht.”
Schwächung der IT-Sicherheit
Der Verband eco erklärte am Mittwoch weiter: “Mit den heute vom Bundeskabinett in aller Eile beschlossenen Entwürfen für ein IT-Sicherheitsgesetz 2.0, das neue Telekommunikationsgesetz sowie das BND-Gesetz schwächt die Bundesregierung nachhaltig die allgemeine IT-Sicherheit und beschädigt die Vertrauenswürdigkeit digitaler Kommunikation in Deutschland.” Nicht “Verbesserung der IT-Sicherheit”, sondern “Ausweitung staatlicher Überwachung” laute die korrekte Überschrift, unter der diese Gesetzesvorgänge eingeordnet werden könnten.
Manuel Atug, Sprecher der AG Kritis sieht auch eine Gefahr darin, dass fremde Geheimdienste sich für diese Lücken interessieren: “Die unscheinbare Formulierung, dass die Nutzung von kritischen Komponenten dem BMI zu melden ist, bedeutet bei näherem Hinsehen, dass diese neu geschaffene Anzeigepflicht dazu führt, dass das BMI eine höchst kritisch anzusehende Liste vorhält, welcher Betreiber welche Komponenten im Einsatz hat. Das weckt Begehrlichkeiten bei ausländischen Geheimdiensten und so weiter.”
Unternehmen in der Pflicht
Momentan müssen sich Betreiber Kritischer Infrastrukturen beim BSI anmelden, um beispielsweise im Falle eines IT-Angriffs schnell erreichbar zu sein. Der Kreis der Meldepflichtigen erweitert das IT-Sicherheitsgesetz um Unternehmen “von besonderem öffentlichen Interesse”. Dazu zählt beispielsweise die Rüstungsindustrie und Verschlusssachen-IT.
Die Firmen müssen auch “Störungen der Verfügbarkeit” oder eine Verletzung ihrer IT-Sicherheit an das BSI melden. In der Meldung müssen sie angeben, um welche Art der Störung es sich handelt, welches die eventuellen Ursachen sind und welche IT-Technik und Einrichtungen betroffen sind. Das BSI kann zudem Maßnahmen gegenüber Telekommunikations- und Telemedienunternehmen bei bestimmten Gefahren für die Informationssicherheit anordnen.
Auch die Behörden werden unter die Aufsicht des BSI gestellt: Das Amt bekommt Kontroll- und Prüfbefugnisse gegenüber der Bundesverwaltung und soll die Sicherheit der Informationstechnik dort gewährleisten. Bei Digitalisierungsmaßnahmen soll das BSI Ansprechpartner sein und von der zuständigen Stelle des Bundes frühzeitig beteiligt werden. So hat es Gelegenheit zur Stellungnahme.
Angst vor Spionage-Hardware
Mit dem IT-Sicherheitsgesetz hat das Kabinett auch neue Vorgaben für Komponenten in kritischen Infrastrukturen wie dem neuen 5G-Mobilfunknetz beschlossen. Um die Regelung gab es auch mit Blick auf eine mögliche Beteiligung des chinesischen Anbieters Huawei lange Diskussionen.
Hersteller von Komponenten sollen künftig eine Erklärung abgeben, dass ihre Technik keine Eigenschaften besitzt, um damit “Sabotage, Spionage oder Terrorismus” zu betreiben. Wenn ein Hersteller sich als nicht vertrauenswürdig erweist – etwa weil er bekannte Schwachstellen nicht an den Betreiber meldet – kann der Betrieb untersagt werden. Das Bundesinnenministerium soll den Einsatz bestimmter Komponenten untersagen können.
Hintergrund: Kritiker halten den chinesischen Technologie-Konzern Huawei für ein Sicherheitsrisiko. Sie befürchten Spionage oder Sabotage. Beweise gibt es bisher nicht; das Unternehmen hat solche Vorwürfe zurückgewiesen.
Hauruck-Verfahren als Strategie
Die Kritik am Gesetz ist aber nicht nur inhaltlicher Natur: Das BMI hatte nur wenige Tage nach der Veröffentlichung des dritten Entwurfs am 9. Dezember den finalen vierten Entwurf vorgelegt und an Branchenvertreter verschickt.
Das Problem: Das Bundesinnenministerium gab ihnen nur 24 Stunden Zeit, Stellung zu beziehen. Das Dokument ist 118 Seiten lang und enthält teils signifikante Änderungen. “Deutlicher kann das BMI nicht mehr hervorheben, dass es nicht wirklich um eine Beteiligung der Zivilgesellschaft geht, sondern eigentlich nur ein Durchwinken vorgesehen wird”, kommentierte die Expertengruppe AG Kritis das Vorgehen. Eine so kurze Frist sei der “ministerielle Mittelfinger ins Gesicht der Zivilgesellschaft”.
Der Chaos Computer Club (CCC) kritisiert: “Das Innenministerium will eine sachkundige Beratung eines komplexen Gesetzesvorhabens durch eine derart kurze Frist behindern, dass eine ernsthafte inhaltliche Befassung mit dem Entwurf faktisch unmöglich ist.”
Die betroffenen Verbände und Organisationen seien völlig zu Recht “auf der Zinne”, erklärte der Grünen-Fraktionsvize Konstantin von Notz gegenüber heise online. Das Gesetz sei seit Jahren überfällig. Nun müsse es plötzlich ganz schnell gehen. Außerdem dränge sich der Eindruck auf, das Vorgehen habe System. Die Fristen kämen “einem faktischen Ausschluss von Beteiligung gleich”.
Auch bei der Veröffentlichung des dritten Entwurfs gab es zuerst nur zweieinhalb Werktage Zeit für die Bewertung. Nach harscher Kritik auf Twitter hatte das BMI die Frist dann auf fünf Werktage geändert und später von einem redaktionellen Fehler gesprochen. Zur Kommentierung des finalen Entwurfs wurde allerdings erneut nur eine sehr kurze Frist eingeräumt.
Fehlende Evaluierung
Das Vorgängergesetz ist fünf Jahre alt. Die neue Version 2.0 soll es erweitern und nachschärfen. Eigentlich war eine Evaluierung des ersten IT-Sicherheitsgesetzes rechtlich vorgeschrieben, um Nachbesserungen mithilfe dieser Erkenntnisse begründen zu können. Die Evaluierung hat aber laut netzpolitik.org bis heute nicht stattgefunden; entsprechend finden sich auch keine Begründungen im IT-Sicherheitsgesetz 2.0, die darauf Bezug nehmen.
Alle Versionen des IT-Sicherheitsgesetzes 2.0 finden sich hier. Das Innenministerium selbst hat die Entwürfe nie gesammelt veröffentlicht.
Der Bundestag muss dem IT-Sicherheitsgesetz 2.0 noch zustimmen. Im Anschluss muss es der Bundesrat ebenfalls absegnen. (dpa / hcz)