IT-Sicherheitsgesetz: Opposition sieht Entwurf als "einzige Sicherheitslücke"

Die Regierungsinitiative für ein IT-Sicherheitsgesetz 2.0 führe zu keinem echten Schwachstellenmanagement und mache das BSI nicht unabhängig, so die Opposition.

Lesezeit: 3 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 15 Beiträge

(Bild: Mummert-und-Ibold/Shutterstock.com)

Von
  • Stefan Krempl

Kaum ein gutes Haar haben Redner der Opposition bei der 1. Lesung des Regierungsentwurfs für die Reform des IT-Sicherheitsgesetzes am Donnerstag im Bundestag an dem Vorhaben gelassen. "Dieses Gesetz ist eine einzige Sicherheitslücke", beklagte etwa Anke Domscheit-Berg für die Linke. Der Grüne Konstantin von Notz warf der Exekutive vor, das Bundesamt für Sicherheit in der Informationstechnik (BSI) in eine "Art Ersatznachrichtendienst" umbauen zu wollen und "an Instrumenten der Massenüberwachung" festzuhalten.

Mit der Initiative will die Bundesregierung das BSI zu einer mächtigen Cyberbehörde mit der Lizenz zum Hacken aufrüsten. Dank 799 neuer Stellen soll das Amt ein ernstzunehmender Akteur im Kampf gegen Botnetze, vernachlässigte Geräte im Internet der Dinge oder Verbreiter von Schadsoftware werden. Es soll Protokolldaten einschließlich personenbeziehbarer Nutzerinformationen wie IP-Adressen, die bei der Online-Kommunikation zwischen Bürgern, Parlamentariern und Verwaltungseinrichtungen anfallen, 12 Monate lang speichern und auswerten können.

Bestehende Melde- und Zertifizierungspflichten will die Exekutive auf Unternehmen ausdehnen, die "von besonderem öffentlichem Interesse sind", weil ihr "Ausfall oder ihre Beeinträchtigung zu erheblichen volkswirtschaftlichen Schäden" oder zu einer Gefährdung für die öffentliche Sicherheit und Ordnung führen könnten. Auch hier soll dem BSI eine größere Rolle als Kontrolleur zukommen, ferner wird es dem Plan nach für den Verbraucherschutz etwa mit einem IT-Sicherheitskennzeichen zuständig.

Ein gestärktes BSI sei an sich nicht falsch, hieß es aus der Opposition. Die Behörde müsse damit aber auch endlich unabhängig vom Bundesinnenministerium (BMI) und von den Geheimdiensten werden. Der Digitalexperte der FDP, Manuel Höferlin, kritisierte: Die geplante "zentrale Cybersicherheitsstelle" gerate sonst zunehmend in die Schere zwischen Schließen und Offenhalten von Sicherheitslücken für den Einsatz von Staatstrojanern.

Insgesamt fehlten "einige wesentliche Dinge" in dem Entwurf, meinte Höferlin. Die Regierung habe es etwa nicht geschafft, darin ein "echtes Schwachstellenmanagement zu verankern". Neben der Meldepflicht sei auch ein Rückkanal für Informationen an die betroffenen Firmen wichtig. Alle staatlichen Stellen müssten Sicherheitslücken zudem melden, damit die Hersteller zeitnah Updates veröffentlichen könnten. Dem Liberalen zufolge reicht das vorgesehene freiwillige Sicherheitskennzeichen zudem nicht. Zusätzlich müsse eine Produkthaftung eingeführt werden.

"Niemand erklärt sein eigenes Produkt freiwillig für unsicher", attestierte auch Domscheit-Berg dem geplanten Aufkleber Sinnlosigkeit. Die geplante Plausibilitätsprüfung durch das BSI anhand eingereichter Papiere sei zu wenig. Insgesamt hielt die Linke es für unerträglich, dass die Regierung das wichtige Vorhaben "so sehr in den Sand setzt". Zudem habe sie mit kurzen Fristen zur Stellungnahme der Zivilgesellschaft und den Verbänden den "Stinkefinger" gezeigt.

Die Hütte brenne lichterloh, wie eine Kette vom Stuxnet-Angriff von 2010 bis zu den jüngsten SolarWinds-Vorfällen zeige, erklärte von Notz. Die Exekutive und die Koalition hätten derweil monatelang nur eine vollkommen sinnfreie 5G-Diskussionen über einzelne Anbieter geführt, während die Sicherheitsbehörden mit Sicherheitslücken handelten. Das BMI sinniere "über das Aufbrechen von Kryptografie" und schreibe "überall Vorratsdatenspeicherung rein". Der Grünen-Fraktionsvize plädierte für eine Kehrtwende mit durchgehender Verschlüsselung, mehr freier Software und einer Zertifizierung beim Bauen von IT.

Für einen wirklich durchdachten Gesetzentwurf habe es trotz des zweijährigen Wartens "nicht mehr gereicht", fand Joana Cotar (AfD). Herausgekommen sei ein "völliges Nebeneinander verschiedener Behördenwünsche" gepaart mit Aktionismus. Letztlich habe die Exekutive trotz der langen Debatten nicht einmal eine klare politische Entscheidung getroffen, ob Huawei am Netzausbau beteiligt werden dürfe. Es gebe so "erheblichen Nachbesserungsbedarf".

"Die Cyberbedrohungslage in unserem Lande ist anhaltend hoch", betonte Bundesinnenminister Horst Seehofer. Emotet habe gezeigt, "wie wichtig die IT-Sicherheit für uns alle ist". Den Ermittlern sei nun "ein großer Erfolg" im Kampf gegen die Schadsoftware gelungen, ein Tatverdächtiger habe in der Ukraine festgenommen werden können. Das BSI werde Opfer nun ansprechen und bei der "Bereinigung ihrer Systeme behilflich sein". Schon das erste IT-Sicherheitsgesetz von 2015 sei so bereits ein "wesentlicher Schritt für mehr Cybersicherheit gewesen".

Die Zahl der Schadprogramme habe die Milliardengrenze überschritten, die Angriffsmethoden würden immer aggressiver, warb der CSU-Politiker für das geplante weitere Vorgehen. Ein besserer Schutz kritischer Infrastrukturen (Kritis) und der Bundesverwaltung sei nötig, auch wenn diese "bisher alle Angriffe" habe abwehren können. Dazu kämen "wichtige Regelungen zu 5G": Netzbetreibern würden hohe Sicherheitsanforderungen aufgegeben und es erfolgten Zertifizierungen. Daneben könne die Regierung die Vertrauenswürdigkeit der Hersteller und Ausrüster bewerten und als Ultima Ratio den Einbau bestimmter Komponenten untersagen.

Das Gesetzesupdate sei "lange überfällig", räumte Sebastian Hartmann (SPD) ein. Sogar Arzneimittelhersteller und Uni-Kliniken seien in jüngster Zeit angegriffen worden. Nach dem langen Ringen vorab, bei dem es nicht nur um einzelne Hersteller und Ausrüster gegangen sei, schlage jetzt die Stunde des Parlaments. Die SPD wolle hier den Verbraucherschutz noch stärken, die "europäische digitale Souveränität" vorantreiben und "Hinweise aus der Community ernstnehmen".

Der Nationale Normenkontrollrat (NKR) rügt in seiner Einschätzung des Vorhabens am Ende des Entwurfs, dass vor allem das federführende Bundesinnenministerium (BMI) bei dessen Vorbereitung "in mehrfacher Hinsicht gegen die Grundsätze besserer Rechtsetzung verstoßen" habe. Der erste Entwurf stamme zwar schon aus dem März 2019, jedoch sei "die Schlussabstimmung unter großer Eile und enger Fristsetzung erfolgt". Zugleich habe die formale Länder- und Verbändebeteiligung eine Rückmeldefrist von nur einem Tag vorgesehen. Dies mache aus der Anhörung "eine reine Formalie".

Der NKR hebt weiter hervor, dass die im ersten IT-Sicherheitsgesetz vorgeschriebene, wissenschaftlich begleitete Evaluation, die für Sommer 2021 vorgesehen war, mit der Reform "verschoben wird". Auch damit verstoße das BMI gegen das Prinzip guter Gesetzgebung. Zudem sei der von den Ministerien angemeldete "erhebliche Stellenmehrbedarf" für den NKR "im Einzelnen nicht nachvollziehbar". Insgesamt müsse hier "von einer erheblichen Unsicherheit bei der Schätzung ausgegangen werden".

(mho)