IT-Sicherheitsgesetz 2.0: "Mittelfinger ins Gesicht der Zivilgesellschaft"

Das Innenministerium hat nach wenigen Tagen den nächsten Entwurf für die Reform des IT-Sicherheitsgesetzes vorgelegt – mit einer Kommentarfrist von 24 Stunden.

Lesezeit: 3 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 307 Beiträge

Innenminister Horst Seehofer (CSU) hat es mit dem zweiten IT-Sicherheitsgesetz nun sehr eilig.

(Bild: dpa, Hendrik Schmidt/dpa-Zentralbild/dpa)

Von
  • Stefan Krempl

Bei Verbänden und anderen Interessensvertretern wächst der Unmut über das Hauruck-Verfahren, mit dem die Bundesregierung während der Corona-Pandemie kurz vor Weihnachten brisante Gesetzesvorhaben durchbringen will. Bei der seit Jahren umstrittenen Novelle des IT-Sicherheitsgesetzes platzte Experten der AG Kritis jetzt der Kragen angesichts der Aufforderung, den jüngsten Entwurf binnen 24 Stunden zu kommentieren: "Eine so kurze Frist ist der ministerielle Mittelfinger ins Gesicht der Zivilgesellschaft!"

Das Bundesinnenministerium (BMI) schickte die vierte, nun weitgehend mit den anderen Ressorts abgestimmte Version des umfangreichen Gesetzesentwurfs am Mittwochvormittag an Branchenvertreter. Dazu kam der Hinweis, man möge eine Stellungnahme zu den 108 Seiten bitte bis Donnerstag um 14 Uhr einreichen. Ein von einem Anwalt publizierter Abgleich mit dem vorherigen, am 2. Dezember verschickten Entwurf zeigt aber schon beim Überfliegen, dass das BMI noch signifikante Änderungen vorgenommen hat.

"Deutlicher kann das BMI nicht mehr hervorheben, dass es nicht wirklich um eine Beteiligung der Zivilgesellschaft geht, sondern eigentlich nur ein Durchwinken vorgesehen wird", moniert die AG Kritis. Auch bei der Veröffentlichung des dritten Entwurfs habe das Ressort zunächst nur 2,5 Werktage Zeit für Kommentare gegeben. Der neue Anlauf lege nahe, dass die Initiative "trotz durchgängig kritischer Stimmen" noch unbedingt am kommenden Mittwoch das Bundeskabinett passieren solle. Ähnliche Bedenken meldete der eco-Verband der Internetwirtschaft an.

Die betroffenen Verbände und Organisationen seien völlig zu Recht "auf der Zinne", erklärte der Grünen-Fraktionsvize Konstantin von Notz gegenüber heise online. "Das Gesetz ist seit Jahren überfällig. Es kam nie. Nun muss es plötzlich ganz schnell gehen." Gerade mit Blick auf die vielen anderen aktuellen Referentenentwürfe wie etwa zur Novelle des Telekommunikationsgesetzes dränge sich der Eindruck auf, "das Vorgehen hätte System". Dies sei gerade in verfassungsrechtlich heiklen Feldern "schlicht inakzeptabel". Die Fristen kämen "einem faktischen Ausschluss von Beteiligung gleich".

Prinzipiell bleibt das BMI auch mit dem vierten Entwurf bei dem Ansatz, das Bundesamt für Sicherheit in der Informationstechnik (BSI) zu einer mächtigen Cyber-Behörde mit Hackerbefugnissen aufzurüsten. Mit 799 neuen Stellen, die nun 74,24 statt früher 56,9 Millionen Euro Personalkosten verursachen, soll das Amt ein wesentlicher Akteur im Kampf gegen Botnetze, vernachlässigte Geräte im Internet der Dinge oder Verbreiter von Schadsoftware werden.

Das BSI kann dem Plan zufolge "Protokolldaten" einschließlich personenbeziehbarer Nutzerinformationen wie IP-Adressen, die bei der Online-Kommunikation zwischen Bürgern und Verwaltungseinrichtungen des Bundes sowie Parlamentariern anfallen, künftig 12 Monate lang speichern und auswerten. Die Anforderungen dafür hat das BMI zusammengestrichen. So fehlt nun etwa die Auflage, dass die Protokolldaten nur zur Abwehr von Gefahren genutzt werden dürfen, die von einem gefundenen Schadprogramm ausgehen oder zu einschlägigen Erkennungsmaßnahmen erforderlich sein könnten.

Dazu kommen interne "Protokollierungsdaten" aus sämtlichen Behörden in Form von Aufzeichnungen über die Nutzungsform von IT. Damit sollen sich etwa weit verbreitete Trojaner wie Emotet sowie komplexe, oft von Geheimdiensten ausgehende komplexe Angriffe besser erkennen lassen.

Die Behörde darf dem Entwurf nach dazu auch "Portscans" durchführen dürfen sowie "Sinkholes" und "Honeypots" zu betreiben, um IT-Angreifern einfacher auf die Spur zu kommen. Um bei Portscans den Raum der statischen IP-Adressen einzuschränken, soll das BSI nun aber eine "Weiße Liste" von nutzbaren IP-Adressbereichen aufstellen und ständig anpassen. Damit soll etwa sichergestellt werden, dass sich die gescannten Systeme "regelmäßig in Deutschland befinden".

Nicht mehr enthalten ist eine Änderung des Telemediengesetzes, mit dem das BMI als Konsequenz aus dem Doxxing-Vorfall Ende 2018 eine weitere Meldepflicht eingeführt werden sollte. Anbieter hätten demnach das Bundeskriminalamt informieren und etwa Bestandsdaten und gegebenenfalls Passwörter von Geschädigten beziehungsweise Tatverdächtigen mitliefern müssen, wenn sie Kenntnis haben von einem größeren Datenleak.

Im Kern geblieben ist die "Huawei-Klausel", die die Hürde für den Ausschluss einzelner Ausrüster vom Netzausbau etwa für 5G hoch legt, da die Regierung ihn einhellig beschließen müsste. Das Gesetz soll nicht mehr direkt am Tag nach der Verkündung, sondern mit einer Übergangsfrist von sechs Monaten in Kraft treten. Zu den vielen Rechtsverordnungen, die das BMI erlassen können soll, ist eine dazugekommen, die sich auf eine verbesserte "Verfügbarkeit, Integrität, Kontrolle und Authentizität" von IT-Systemen bezieht. Bestimmt werden dürfte damit auch "deren Interoperabilität, die Offenlegung von Schnittstellen und die Einhaltung etablierter technischer Standards".

Bei der Rechtsanwältin Claudia Otto weckte der dritte Entwurf "Bedenken im Hinblick auf seine Vereinbarkeit mit dem Grundgesetz, insbesondere mit dem Bestimmtheitsgebot". Rechtsanwender müssten die Folgen eines Gesetzes hinsichtlich Inhalt, Zweck und Ausmaß verstehen, vorhersehen und in ihre Entscheidungen einstellen können. Dies sei bei mehreren exemplarisch herausgegriffenen Beispielen nicht der Fall.

Der Blick auf das Problem der Cybersicherheit durch die eher technokratische Brille des Staates führe zu systematischen Problemen, erläutert der frühere IT-Beauftragte im BMI, Martin Schallbruch. So werde die Wirtschaft ohne großen Mehrwert stark belastet, das BSI letztlich aber etwa mit dem skizzierten "Sondergefahrenabwehrrecht für den digitalen Raum" überfordert.

Der Bundesverband der Verbraucherzentralen (vzbv) begrüßt zwar die Linie, dass der Schutz der Konsumenten als neue Aufgabe für das BSI festgeschrieben werde. Es müsse aber gewährleistet werden, dass die Behörde dabei nicht in Interessenskonflikte mit ihren anderen Aufgabenbereichen wie der Unterstützung bei der Strafverfolgung gerate. Die Freigabe des IT-Sicherheitskennzeichens durch das BSI auf Basis einer Herstellererklärung sei "zwingend verbesserungsbedürftig".

(vbr)