IT-Sicherheitsgesetz: Anhaltende Kritik an Reformplänen

Foto: shutterstock / Mikko Lemola
Foto: shutterstock / Mikko Lemola
Veröffentlicht am 08.12.2020

Foto: shutterstock / Mikko Lemola
Die Reform des IT-Sicherheitsgesetzes soll noch in diesem Jahr in das Gesetzgebungsverfahren gehen. Aber auch der in der vergangenen Woche veröffentlichter Entwurf ist bisher nicht in der Regierung abgestimmt. Verbände üben scharfe Kritik an der kurzen Frist zur Stellungnahme und fordern Änderungen.

Die Bundesregierung will die Reform des IT-Sicherheitsgesetzes (IT-SiG) wohl doch noch in diesem Jahr auf den Weg bringen. Dadurch soll etwa das Bundesamt für Sicherheit in der Informationstechnik (BSI) mehr Kontroll- und Prüfrechte erhalten, um Sicherheitslücken in IT-Produkten und Telekommunikationsnetzen besser erkennen zu können. Das Bundes-innenministerium (BMI) veröffentlichte am 2. Dezember einen weiteren Diskussionsentwurf, der in mehreren Punkten aber immer noch nicht zwischen den Ressorts abgestimmt sei, wie im Anschreiben an die Verbände betont wurde. Er soll womöglich in der letzten Kabinettssitzung 2020 am 16. Dezember beschlossen werden. Die kurze Zeit für Stellungnahmen, die das BMI zunächst fälschlicherweise mit 6. Dezember angab und danach auf 9. Dezember korrigierte, sorgte für heftige Kritik bei Interessensvertretern. Zuvor war der nun dritte Entwurf mit Bearbeitungsstand vom 19. November schon öffentlich geworden, der aktuelle Entwurf mit Stand 1. Dezember enthält nur geringfügige Änderungen.

Damit soll das IT-SiG von 2015 endlich reformiert werden, denn vor allem die politische Debatte um die Nutzung von Komponenten des chinesischen Netzausrüsters Huawei hatte zu Verzögerungen geführt. Einen ersten Entwurf gab es bereits im April 2019, die zweite Fassung im Mai 2020, wie die Gesellschaft für Informatik (GI) in ihrer Stellungnahme zum aktuellen Entwurf rekapituliert. „Der nunmehr dritte Referentenentwurf enthält zwar eine Vielzahl begrüßenswerter Neuerungen, die das disziplin- und staatenübergreifende Zusammenwirken zur Verbesserung der IT-Sicherheit befördern sollen“, schreibt die GI. Der Arbeitskreis des GI-Präsidiums kritisiert aber weiterhin das freiwillige IT-Sicherheitskennzeichen sowie die vorgesehene Befugniserweiterung des BSI, aktiv nach Sicherheitslücken zu suchen und die fehlende Verpflichtung, dem BSI bekannt gewordene Sicherheitslücken zu veröffentlichen.

Kritik an IT-Kennzeichen und Sicherheitslücken

Die Reform sieht die Einführung eines Sicherheitskennzeichens für IT-Produkte vor, womit Verbraucherinnen mehr Informationen und eine Hilfe bei der Kaufentscheidung an die Hand gegeben werden soll. „Durch die in diesem Zusammenhang zusätzlich vorgeschlagene Befugnis des BSI, eigenständige technische Richtlinien zu erlassen, wird der europäische Marktzugang fragmentiert und erschwert“, kritisiert die GI. Zudem werde es so für kleine Unternehmen immer schwieriger, einen Überblick über den „Regulierungsdschungel“ zur IT-Sicherheit zu behalten.

Das geplante Kennzeichen kritisiert auch Anke Domscheit-Berg, netzpolitische Sprecherin der Linksfraktion im Bundestag: „So soll das neue IT-Sicherheitsgesetz den Verbraucherschutz durch ein IT-Sicherheitskennzeichen auf elektronischen Geräten stärken, aber es bleibt freiwillig, und die Angaben der Hersteller werden von niemandem kontrolliert.“ Ohne eine Mindestupdatepflicht für Betriebssoftware elektronischer Geräte könne von mehr Verbraucherschutz zudem keine Rede sein.

Der zweite Kritikpunkt der GI betrifft vom BSI erkannte Sicherheitslücken. „Unerklärlich ist, dass dem BSI bekannt gewordene Sicherheitslücken nur veröffentlicht werden können, nicht jedoch müssen“, bemängelt die GI. Die unverzügliche Veröffentlichung solcher Schwachstellen sei unverzichtbar für das Sicherheitsniveau von Unternehmen und Bürgerinnen. Außerdem wiederholt die GI ihre Forderung nach der Unabhängigkeit des BSI vom BMI.

Aufschub der Reform gefordert

Die AG KRITIS, ein unabhängiger Zusammenschluss von rund 40 Fachleuten aus dem Bereich Kritischer Infrastruktur (KRITIS), spricht von „erheblichen Mängeln“ im Entwurf, die die Arbeitsgruppe als „sehr problematisch“ einstuft. Wegen der kurzen Frist zur Stellungnahme halte sie es für ausgeschlossen, dass notwendige Änderungen noch Einzug in den Gesetzentwurf finden können. „Wir fordern daher einen Aufschub des Gesetzgebungsverfahrens und eine echte Einbindung der zahlreichen zivilgesellschaftlichen und sonstigen Organisationen, die sich mit der Cyber-Sicherheitspolitik beschäftigen.“

Foto: CC0 1.0, Pixabay User herbinisaac | Ausschnitt angepasst

Die AG KRITIS bemängelt, dass grundlegende Maßnahmen, wie die verpflichtende Einführung eines Informationssicherheitsmanagementsystems (ISMS) nicht enthalten seien. „Gute Ideen aus vorherigen Entwürfen fehlen nun ganz, dafür wurden mehrere verfassungsrechtlich höchst fragliche Passagen hinzugefügt.“ Außerdem sei die im ersten IT-SiG vorgesehene Evaluation nicht durchgeführt worden.

Ein Kritikpunkt betrifft die vorgesehene Speicherung von Logdaten von Betreibern Kritischer Infrastrukturen. Die Anonymisierung solcher Protokolldaten sei technisch ohne Duplizierung von Daten unmöglich. „Dabei übersieht das BMI, dass bei Betreibern viele Gigabyte, in manchen Fällen sogar Terabytes, pro Tag an Logdaten entstehen – diese Datenmenge für vier Jahre zu speichern, lässt enorme Mehrkosten bei allen Betreibern entstehen und erzeugt aufgrund der vorgeschriebenen Anonymisierung keinen Mehrwert“, heißt es. Die AG KRITIS attestiert dem BMI in diesem Punkt Realitätsferne: „Keiner der Mitarbeiter [des zuständigen Referates im BMI] hat wohl jemals Logdaten eines KRITIS-Betreibers gesehen oder Informationen über den Prozess der Auswertung erlangt, ansonsten wäre diese Formulierung so nicht entstanden.“

Daneben bemängelt die Arbeitsgruppe das Fehlen von Krisenreaktionsplänen, die noch im zweiten Entwurf im Mai enthalten waren und von ihnen damals „als besonders positiv“ bewertet wurden. „Dieser Paragraf ist leider im 3. Entwurf ersatzlos gestrichen worden – obwohl Krisenreaktionspläne als auch ein Zuwachs beim Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK) dringend notwendig ist.“ Vorgesehen sei jedoch nur eine Mehrausstattung von BMI und Cyberkräften.

„Lex Huawei“

Den Abschnitt zu vertrauenswürdigen Herstellern kritischer Komponenten in § 9b hält die AG KRITIS für „unvollständig oder hinsichtlich ihres Zwecks unklar“. Man müsste diesen Abschnitt „Lex Huawei“ nennen, da es hier offensichtlich um die juristische Möglichkeit des Ausschlusses bestimmter Hersteller gehe. Problematisch sei, dass viele Lieferanten gar nicht wissen (können), in welchen Infrastrukturen ihre Produkte eingesetzt werden, womit sie ihrer Pflicht zur Warnung vor solch verbauten Komponenten gar nicht nachkommen könnten. „Die Möglichkeit, dass die eigenen Produkte in der Folge einer ordnungsgemäßen Meldung einer Schwachstelle vom Einsatz ausgeschlossen werden können wird dazu führen, dass Hersteller Schwachstellen trotz gesetzlicher Verpflichtung eher nicht melden werden.“ Das Gesetz setze so also falsche Anreize.

Trotz der kurzen Zeit bis zur voraussichtlichen Kabinettbefassung am 16. Dezember können Kritiker der Reformpläne noch weiterhin auf Änderungen hoffen. Denn das BMI hatte bei Veröffentlichung des Entwurfs bereits mitgeteilt: „Es ist mithin davon auszugehen, dass im Laufe der Ressortabstimmung noch materielle Veränderungen am Diskussionsentwurf (auch in nicht aufgeführten Bestimmungen) erfolgen.“

Tagesspiegel Politikmonitoring

Der vorstehende Artikel erscheint im Rahmen einer Kooperation mit dem Tagesspiegel Politikmonitoring auf der Website des BASECAMP.

Schlagworte

Empfehlung der Redaktion