Experten: IT-Sicherheitsgesetz "nicht verfassungsgemäß“

Informatiker kritisieren den Entwurf der Bundesregierung für ein IT-Sicherheitsgesetz als "mangelhaft". Vor allem monieren die Experten fehlende Regeln für Sicherheitswerkzeuge.

Lesezeit: 2 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 65 Beiträge
Von

Der Entwurf für ein IT-Sicherheitsgesetz ist nach Auffassung des Forums InformatikerInnen für Frieden und gesellschaftliche Verantwortung „mangelhaft“ und „nicht verfassungsgemäß“. So werde die Pflicht zum Schutz des Grundrechts auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme nicht eingelöst. In einer Stellungnahme, die heise online vorliegt, verlangt das Forum „eine einheitliche Regelung zum Einsatz von IT-Sicherheitssystemen [...], die dem Datenschutz, dem Fernmeldegeheimnis und dem Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme gleichermaßen gerecht wird“.

Die Experten kritisieren insbesondere die fehlenden Rechtsgrundlagen für den Einsatz von Sicherheitswerkzeugen. So drohe zum Beispiel die vorgesehene Meldepflicht für Sicherheitsvorfälle bei kritischen Infrastrukturen ins Leere zu laufen: Ohne geeignete Werkzeuge dürften weniger Sicherheitsvorfälle erkannt und gemeldet werden, fürchten die Informatiker.

Insbesondere moniert das FIfF die fehlende Rechtsgrundlage für IT-Sicherheitssysteme bei Webservices. Grund ist die unverändert geltende Gesetzeslage: So dürfen laut §15 TMG Anbieter von Webdiensten IP-Adressen nur zur Abrechnung nutzen. Weil das Gesetz keine solche ausdrücklich Ausnahme für die Verarbeitung von IP-Adressen zu Sicherheitszwecken vorsieht, kommt dies einem Verbot gleich.

Zwar sah der erste Entwurf des IT-Sicherheitsgesetzes eine Genehmigung vor, die aber auf Druck des Arbeitskreises Vorratsdatenspeicherung wieder gestrichen wurde. Damit bleibt es illegal, bestimmte IT-Sicherheitswerkzeuge einzusetzen, die auf der Analyse von IP-Adressen beruhen. Auch der Einsatz zahlreicher Auditing-Systeme in webbasierten Services oder die nachträgliche Analyse von Schadensfällen sind so nicht möglich.

Die Verarbeitung der Daten ist seit 2007 nur im Rahmen der IT-Systeme des Bundes (§ 5 BSIG) erlaubt. Aus der Gesetzesbegründung lässt sich nach Auffassung des FIfF „unmissverständlich“ ablesen, dass die Speicherung von IP-Adressen bei all jenen IT-Systemen ungesetzlich ist, die nicht dem Bund gehören. Mit dieser Einschränkung käme der Gesetzgeber aber dem grundgesetzlichen Auftrag zum Schutz des „Grundrechts auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme“ für alle Bürger nicht nach.

Daher seien einheitliche Rechtsgrundlagen für den Einsatz von IT-Sicherheitssystemen notwendig, meint das FIfF und schlägt eine eingegrenzte Befugnisnorm für ein zweistufiges Verfahren vor: So könne ein vorgeschaltetes Intrusion-Detection-System aus den laufenden Verkehrsdaten eine Eingrenzung auf Verdachtsfälle leisten und den Rest der Daten verwerfen oder pseudonymisieren. Im Verdachtsfall könne unmittelbar ein auditierbares IT-Sicherheitsverfahren verwendet werden.

Das FIfF hält außerdem die Regelung für Telekommunikationsdienste für „verfassungswidrig“, da sie den Einsatz einer „dauerhaften, flächendeckenden und alle Inhalte betreffenden Überwachung“ der Telekommunikation durch deep packet inspection verlangt. Das IT-Sicherheitsgesetz sehe keine verfassungskonformen Einschränkungen dieser Datenerfassung vor.

Das FIfF vermisst außerdem eine grundsätzliche Pflicht zur Veröffentlichung von Sicherheitslücken. Zudem müsse der Handel mit Sicherheitslücken auch durch Nachrichtendienste verboten werden. Nötig sei außerdem eine Schadenshaftung für fahrlässig implementierte Systeme und nicht beseitigte Sicherheitslücken. Schließlich müssten die Kapazitäten des Bundesamts für Sicherheit in der Informationstechnik (BSI) gestärkt werden, das als weisungsunabhängige Behörde vergleichbar dem Bundesrechnungshof aufgestellt werden müsse. (vbr)