Massive Kritik bei Expertenanhörung zum IT-Sicherheitsgesetz 2.0
In der Expertenanhörung zum Entwurf des IT-Sicherheitsgesetzes 2.0 hagelte es am Montag Kritik: Besonders die geplante Aufgabenumgestaltung des Bundesamtes für Sicherheit in der Informationstechnik (BSI) sorgte für Unverständnis. Einmal mehr sei die Chance vertan worden, das BSI “unabhängig aufzustellen”, kritisierte beispielsweise Manuel Atug von der Arbeitsgemeinschaft Kritische Infrastruktur (AG KRITIS), einem Zusammenschluss von 42 unabhängigen Fachleuten.
Große Teile des neuen Gesetzes betreffen das Bundesamt für Sicherheit in der Informationstechnik (BSI), das dem Bundesinnenministerium untersteht. Es soll deutlich mehr Befugnisse erhalten und zu einer “Superbehörde” ausgebaut werden. Zu seinen Aufgaben gehört auch das Warnen vor Schadprogrammen oder Sicherheitslücken. Hier verschärft die Gesetzesnovelle bereits bestehende Interessenkonflikte: So soll die Behörde das Melden neu entdeckter Schwachstellen in der IT-Infrastruktur zukünftig unter Umständen einschränken können, “weil das Bundesamt gegenüber Dritten zur Vertraulichkeit verpflichtet ist”.
Auf diese Weise könnten andere Behörden wie das Bundeskriminalamt und der Verfassungsschutz diese Sicherheitslücken im Rahmen von Ermittlungen nutzen. “Dadurch wird das BSI immer mehr zum Handlanger oder auch wahlweise zum verlängerten Arm der Sicherheitsbehörden und Nachrichtendienste”, urteilte Atug.
Das BMI als Unsicherheitsfaktor
“Dadurch verlieren wir die einzige vertrauenswürdige Institution. Das ist ein herber Verlust für die Bürger”, kommentierte Linus Neumann, Sprecher des Chaos Computer Clubs (CCC), in der Anhörung dieses Vorhaben. “Unter keinen Umständen sollte das BSI jemals berechtigt sein, bei Kenntnis von Schwachstellen etwas anderes zu tun, als die Betroffenen zu informieren, auf eine Beseitigung hinzuarbeiten und zu gegebenem Zeitpunkt die Öffentlichkeit zu warnen.” so Neumann weiter.
In Deutschland könne man kaum die Vorteile der Digitalisierung nutzen, sondern sei vor allem mit den Nachteilen beschäftigt wie Ransomware und Datenlecks. Der Grund sei, dass “wir nicht kompromisslos für IT-Sicherheit eintreten”, sagte Neumann, “Alle Probleme der IT-Sicherheit sind theoretisch gelöst. Dieses Wissen wird aber nicht umgesetzt.”
Das BMI sorge sogar selbst für immer mehr Sicherheitslücken und lege überall Feuer – beispielsweise mit der Befugnis zum Einsatz von Staatstrojanern. Auch dass der BND Kommunikationsnetzwerke hacken darf, sieht Neumann als kontraproduktiv für die IT-Sicherheit an, genauso wie die Schaffung der neuen Behörde Zitis – laut Neumann “eine eigene Behörde für die Schwächung von IT-Sicherheit”. Das BSI stehe bei der Verteidigung der IT-Sicherheit “allein auf weiter Flur und muss hinterherfegen”. Statt IT-Sicherheit zu gestalten, müsse das BSI “IT-Unsicherheit verwalten”.
Industrievertreter sehen den Gesetzentwurf bereits vor seiner Verabschiedung als unzeitgemäß an. Aus Sicht von Sebastian Artz vom Branchenverband Bitkom gelte für das Gesetz, dass es “mehr zurückblickt als gestalterisch und richtungsweisend nach vorne”. Er bemängelte auch die fehlende Flexibilität. Es berücksichtige kaum, dass sich in wenigen Jahren der Stand der Technik weiterentwickelt haben wird. Das BSI als nationale Behörde könne den Stand der Technik nicht einfach festlegen, weil dieser stattdessen durch internationale Standards und Normen definiert wird.
Atug fasste die Expertenmeinungen zusammen: “Das ganze IT-Sicherheitsgesetz 2.0 steht symptomatisch dafür, wie unsystematisch das IT-Sicherheitsthema in Deutschland adressiert wird.”
Sinnfreie Portscans
Das neue Gesetz soll dem BSI auch erlauben, selbstständig sogenannte Portscans durchzuführen. Angreifer nutzen diese Methode regelmäßig, um Systeme auszuforschen. Das BSI soll ihnen mithilfe der neuen Befugnis zuvorkommen.
Laut schriftlicher Stellungnahme des CCC ist es aber “höchst unwahrscheinlich”, dass das BSI eine Schwachstelle schneller findet als kriminelle Angreifer. Denn diese suchten nicht nur automatisiert nach den Schwachstellen, sondern nutzten sie auch im gleichen Zug aus. Zudem würden Systeme, die einem Portscan nicht standhalten, “schon das ‘Internet-Grundrauschen’ an Angriffsaktivität nicht überleben”.
Kritische Komponenten
Mit dem IT-Sicherheitsgesetz hat das Kabinett auch neue Vorgaben für Komponenten in kritischen Infrastrukturen wie dem neuen 5G-Mobilfunknetz beschlossen. Um die Regelung gab es auch mit Blick auf eine mögliche Beteiligung des chinesischen Anbieters Huawei lange Diskussionen. Künftig sollen kritische Komponenten in der Infrastruktur nur eingesetzt werden dürfen, wenn das Innenministerium sie zertifiziert und der Hersteller eine Erklärung über seine Vertrauenswürdigkeit abgibt. Das BMI spricht sich selbst ein Vetorecht gegenüber Infrastrukturbetreibern zu.
Diese Regelung bezeichnet der CCC in seiner Stellungnahme als “völlig lächerlich und fehlgeleitet” “Sie sei ein herausragendes Beispiel für die Hilflosigkeit, Strategielosigkeit und Ahnungslosigkeit der bundesdeutschen IT-Sicherheitspolitik”. Handelspolitische Interessen seien der eigentliche Grund, warum beispielsweise auch US-amerikanische Geheimdienste Druck auf deutsche Behörden ausüben würden, solch ein Gesetz zu erlassen.
Ein Beweis für die mangelnde Vertrauenswürdigkeit der genannten Hersteller sei der Öffentlichkeit bisher nicht präsentiert worden. Der CCC schlägt vor, dass sich die Definition der Vertrauenswürdigkeit nicht auf das Herkunftsland beziehen sollte, “sondern auf die tatsächliche und prüfbare technische Sicherheit und Sicherbarkeit” der Produkte.
Evaluierung übergangen
Grund zur Kritik gab auch der Umgang der Regierung mit dem bereits seit 2015 bestehenden ersten Gesetz zur IT-Sicherheit. Darin war eigentlich eine Evaluierung der Maßnahmen festgeschrieben. Diese erfolgte aber bis heute nicht.
Der CCC kommentierte in einer Stellungnahme: “Auf die gesetzlich vorgeschriebene Evaluierung des ersten IT-Sicherheitsgesetzes aus dem Jahr 2015 wurde verzichtet. So konnte offenbar auch nicht das Wissen Anwendung finden, dass das Gesetz kein Schritt in die richtige Richtung war. Stattdessen läuft man weiter in die falsche Richtung.” Das erste IT-Sicherheitsgesetz sei ein “Schuss in den Ofen”, weil es Endnutzer nicht genügend schützt, den Bürokratieaufwand gesteigert hat und sowohl die IT-Sicherheit als auch den Datenschutz schwächt.
Laut Sven Harpig von der Stiftung Neue Verantwortung beziffert die Wirtschaft die Kosten des IT-Sicherheitsgesetzes auf 200 Millionen Euro jährlich. Daher sei eine Evaluierung wünschenswert gewesen. “Durch die fehlende Evaluierung kann beispielsweise nicht nachvollzogen werden, ob die aktuellen Schwellenwerte die vorgegebenen Schutzziele erreichen”, ordnete Atug ein.
26 Stunden für 118 Seiten
Im Vorfeld hatte es auch Kritik am Vorgehen des federführenden Innenministeriums gegeben: Das BMI hatte nur wenige Tage nach der Veröffentlichung des dritten Entwurfs am 9. Dezember den finalen vierten Entwurf vorgelegt, an Branchenvertreter verschickt und ihnen nur 26 Stunden Zeit gegeben, um Stellung zu beziehen. “Deutlicher kann das BMI nicht mehr hervorheben, dass es nicht wirklich um eine Beteiligung der Zivilgesellschaft geht, sondern eigentlich nur ein Durchwinken vorgesehen wird”, kommentierte die Expertengruppe AG Kritis das Vorgehen damals. Eine so kurze Frist sei der “ministerielle Mittelfinger ins Gesicht der Zivilgesellschaft”.
Der CDU-Abgeordnete Christoph Bernstiel verteidigte das Vorgehen des CDU-geführten BMI und erklärte, dass die Frist so gesetzt gewesen sei, weil das Gesetz noch vor der Bundestagswahl im September verabschiedet werden sollte. Der FDP-Abgeordnete Manuel Höferlein entgegnete daraufhin: “Und ich dachte es geht um IT-Sicherheit.” (hcz)