IT-Sicherheitsgesetz: BSI soll Daten 18 Monate auf Vorrat speichern

Mit dem neuen Entwurf für ein IT-Sicherheitsgesetz 2.0 sollen die Kompetenzen des BSI erweitert und Firmen von besonderem öffentlichem Interesse erfasst werden.

Lesezeit: 1 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 121 Beiträge

(Bild: Gorodenkoff/Shutterstock.com)

Von

Bundesinnenminister Horst Seehofer (CSU) hält an seinem Plan fest, das Bundesamt für die Sicherheit in der Informationstechnik (BSI) zu einer mächtigen Cyber-Behörde mit Hackerbefugnissen aufzurüsten. Auch mit dem überarbeiteten Referentenentwurf für ein 2. Gesetz "zur Erhöhung der Sicherheit informationstechnischer Systeme" soll das Amt mit 583 zusätzlichen Stellen zu einem wesentlichen Akteur im Kampf gegen Botnetze, vernachlässigte Geräte im Internet der Dinge oder Verbreiter von Schadsoftware werden.

heise online daily Newsletter

Keine News verpassen! Mit unserem täglichen Newsletter erhalten Sie jeden Morgen alle Nachrichten von heise online der vergangenen 24 Stunden.

Zur Abwehr "erheblicher Gefahren für die Kommunikationstechnik des Bundes", einer kritischen Infrastruktur oder "die Verfügbarkeit von Informations- oder Kommunikationsdiensten" soll das BSI die Betreiber anweisen können, betroffene Anlagen von einem Schadprogramm "bereinigen" zu lassen. Das gilt auch, wenn es zu unerlaubten Zugriffen "auf eine Vielzahl von Telekommunikations- und Datenverarbeitungssystemen von Nutzern" kommt. Das BSI soll laut dem unter anderem von Netzpolitik.org veröffentlichten Entwurf aus dem Innenministerium, auch "Portscans" durchführen dürfen sowie "Sinkholes" und "Honeypots" zu betreiben, um IT-Angreifern einfacher auf die Spur zu kommen.

Auch nach ungeschützten Netzen oder Systemen, die eine bereits bekannte Sicherheitslücke aufweisen oder die anderweitig angreifbar sind, soll das BSI aktiv suchen. Dies wäre etwa der Fall, wenn für ein System werkseitig stets ein identisches Passwort wie "0000" oder "admin" vergeben würde, heißt es in der Begründung. Um dies herauszufinden, müssten Mitarbeiter solche Kennungen ausprobieren, was bei Unbefugten bereits unter den Hackerparagrafen 202a Strafgesetzbuch gegen das "Ausspähen von Daten" fallen dürfte.

Die Behörde soll darüber hinaus "Protokolldaten" einschließlich personenbeziehbarer Nutzerinformationen wie IP-Adressen, die bei der Online-Kommunikation zwischen Bürgern und Verwaltungseinrichtungen des Bundes sowie Parlamentariern anfallen, für künftig 18 Monate speichern und auswerten können. Dazu kommen interne "Protokollierungsdaten" aus sämtlichen Behörden in Form von Aufzeichnungen über die Nutzungsform von IT.

Die für Betreiber kritischer Infrastrukturen bereits geltenden Meldepflichten und Mindeststandards will das Ministerium auf Unternehmen ausdehnen, die "von besonderem öffentlichem Interesse sind", weil ihr "Ausfall oder ihre Beeinträchtigung zu erheblichen volkswirtschaftlichen Schäden, zu einer Gefährdung für die öffentliche Sicherheit" oder zu einer "Beeinträchtigung der wesentlichen Sicherheitsinteressen" des Landes führen könnten. Das Innenministerium nennt unter anderem "Rüstungshersteller sowie Hersteller von IT-Produkten für die Verarbeitung staatlicher Verschlusssachen".

Details will das Innenministerium per Rechtsverordnung festgelegen. Bei Verstößen gegen die Auflagen sollen Bußgelder von bis zu 20 Millionen Euro oder vier Prozent des weltweit erzielten Jahresumsatzes drohen. Dazu kommt eine neue "Huawei-Klausel". Von dem besonders umstrittenen Vorhaben, im Kampf gegen Darknet-Betreiber, "digitalen Hausfriedensbruch" und Doxxing das Strafrecht deutlich zu verschärfen, hat Seehofer diesmal zunächst abgesehen. Nutzern soll auch keine Beugehaft mehr drohen, wenn sie sich weigern Passwörter herauszugeben. (vbr)