IT-SiG 2.0: Koalition regelt „Causa Huawei“ neu
Foto: CC0 1.0, Pixabay User herbinisaac | Ausschnitt angepasst
Nachdem die Bundesregierung im Dezember einen Kabinettsentwurf zum IT-Sicherheitsgesetz 2.0 verabschiedet hatte, hagelte es Kritik. Nun haben sich Union und SPD auf wichtige Änderungen geeinigt. Das betrifft auch die Kriterien für die Beteiligung von Huawei am 5G-Ausbau.
Es gilt als das wohl wichtigste sicherheitspolitische Vorhaben dieser Legislaturperiode: Mit dem IT-Sicherheitsgesetz 2.0 (IT-SiG 2.0) soll unter anderem das Bundesamt für Sicherheit in der Informationstechnik (BSI) gestärkt und Kritische Infrastrukturen geschützt werden. Es hätte weitreichende Auswirkungen, sowohl für die Wirtschaft wie auch für die Verwaltung. Nachdem die Bundesregierung im Dezember 2020 nach zähen Verhandlungen einen Kabinettsentwurf beschlossen hatte, hagelte es jedoch Kritik.
Bei einer Anhörung im Innenausschuss Anfang März attestierte der Bonner Rechtsprofessor Klaus Gärditz dem Gesetz, dass es verfassungsrechtlich bedenklich sei. Sven Herpig von der Stiftung Neue Verantwortung bilanzierte: „Keine Strategie, keine Evaluierung, schlechte Einbindung von Wissenschaft und Zivilgesellschaft“. Kein einziger der eingeladenen Sachverständigen zog ein überwiegend positives Fazit.
Neue Bestimmungen im Fall Huawei
In den vergangenen Wochen haben sich Union und SPD nun auf zahlreiche Änderungen verständigt, die Tagesspiegel Background vorliegen. Der womöglich folgenreichste Punkt betrifft die sogenannte „Causa Huawei“, den neuen Paragraph 9b des BSI-Gesetzes zur Genehmigung von technischen Komponenten in Kritischen Infrastrukturen, der mit dem IT-SiG 2.0 eingeführt werden soll.
Der Mobilfunkausrüster Huawei wurde nicht namentlich genannt, war aber Auslöser für die Debatte: Es geht um die Frage, unter welchen Umständen das chinesische Unternehmen am Ausbau des deutschen 5G-Netzes teilnehmen kann – und wer befugt ist, Huawei vom Ausbau auszuschließen.
Das SPD-geführte Auswärtige Amt (AA), das CDU-geführte Bundeswirtschaftsministerium (BMWi) und das CSU-geführte Bundesinnenministerium (BMI) kämpften zuvor monatelang darum, ob ein Ministerium allein oder nur alle drei gemeinsam für die politische Vertrauenswürdigkeitsprüfung entscheidungsbefugt seien. Auch darüber, ob die Bedenken aus einem Ministerium allein ausreichten, um eine „Notbremse“ im Verfahren zu aktivieren, wurde debattiert.
Neue Maßgaben zur politischen Vertrauenswürdigkeitsprüfung
Im Dezember war dann beschlossen worden, dass es eine ineinander verschränkte Prüfung für die technische sowie die politische Vertrauenswürdigkeit von Komponenten Kritischer Infrastrukturen geben soll. Das BMI sollte mit dem zuständigen Fachministerium gemeinsam über die politische Vertrauenswürdigkeit entscheiden können – im Fall Huawei wäre dies das Verkehrsministerium. Gleichzeitig sollten die Komponenten vom BSI überprüft und zertifiziert werden. Daran gab es bereits im Dezember scharfe Kritik. Die AG KRITIS etwa schrieb in einer Stellungnahme, dass der Gesetzestext, den die AG als „Lex Huawei“ apostrophierte, erkennbar dem Ausschluss von bestimmten Herstellern dienen solle.
In der neuen Fassung sollen die politische und die technische Prüfung nun voneinander gelöst werden. Eine technische Zertifizierung kann weiterhin nach Paragraph 9 und 9a stattfinden. Paragraph 9b regelt jedoch jetzt allein die politische Vertrauenswürdigkeitsprüfung. Und auch hier gibt es Änderungen. Das Verfahren soll nun wie folgt laufen: Betreiber von Kritischen Infrastrukturen sollen künftig verpflichtet werden, den erstmaligen Einsatz von technischen Komponenten anzuzeigen. Binnen einer Frist von zwei Monaten kann das BMI den Einsatz untersagen. Das zuständige Fachministerium sowie das AA müssen hierfür nur noch konsultiert werden, sie haben kein Mitentscheidungsrecht. Anders sieht es aus, wenn es um Komponenten geht, die bereits im Einsatz sind. Hier entscheiden BMI, das Fachministerium und das AA im Einvernehmen.
Kriterien werden zur „Kann-Bedingung“
Auch die gesetzlich festgeschriebenen Kriterien für eine Untersagung wurden spezifiziert: Statt einer allgemein gehaltenen Liste, wie zuvor im Paragraph 9b, Absatz 5, gibt es nun sowohl Untersagungsgründe für die Erstzulassung als auch solche für den nachträglichen Vertrauenswürdigkeitsentzug. Beide Listen sind als „Kann-Bedingungen“ formuliert, das heißt, ein Verstoß zieht nicht zwingend Konsequenzen nach sich. Das soll offenbar jene Stimmen besänftigen, die von einer „Lex Huawei“ sprachen.
Die Kriterien selbst sind nämlich auch weiterhin dazu geeignet, den chinesischen Konzern vom deutschen 5G-Markt auszuschließen. Eine Erstzulassung kann verhindert werden, wenn ein Hersteller unmittelbar oder mittelbar von der Regierung oder den Streitkräften eines Drittstaates „kontrolliert“ wird; wenn der Einsatz der technischen Komponenten den „sicherheitspolitischen Zielen“ Deutschlands, der EU oder der Nato zuwiderläuft; wenn der Hersteller an Aktivitäten beteiligt war, die nachteilige Auswirkungen für die Sicherheit Deutschlands hatten. Im Nachhinein können Hersteller beispielsweise dann ausgeschlossen werden, wenn sie Schwachstellen nach Bekanntwerden nicht sofort beseitigen sowie Sicherheitsanalysen nicht im erforderlichen Umfang unterstützen.
BSI muss Infos zu Schwachstellen annehmen
Oft diskutiert wurde in der Vergangenheit der Umgang mit IT-Schwachstellen. Aktivisten und NGOs misstrauen dem BMI, weil das Ministerium einerseits Sicherheitsbehörden wie das Bundeskriminalamt und das Bundesamt für Verfassungsschutz beaufsichtigt, andererseits jedoch auch das BSI. Der implizit geäußerte Vorwurf lautet, dass bekannte Schwachstellen theoretisch zurückgehalten werden könnten, damit das BMI es einfacher hat, Trojaner für seine Sicherheitsbehörden in Auftrag zu geben.
Auch hier haben sich im parlamentarischen Prozess noch Änderungen ergeben. Das BSI soll künftig laut Paragraph 4b des BSI-Gesetzes verpflichtet werden, Informationen über Schwachstellen anzunehmen. Bisher steht im Entwurf lediglich, dass das BSI solche Informationen annehmen „kann“. Außerdem soll das BSI künftig ohne Konsultation der zuständigen Aufsichtsbehörden die Öffentlichkeit warnen können. Beide Regelungen könnten für eine größere Unabhängigkeit des BSI vom BMI sorgen.
Das gilt auch für eine geplante Änderung in Paragraph 1 des BSI-Gesetzes. Die Behörde soll ihre Aufgaben künftig „nach den Anforderungen der jeweils fachlich zuständigen Ministerien auf der Grundlage wissenschaftlich-technischer Erkenntnisse“ wahrnehmen. Durch die Festlegung auf die Grundlage der Wissenschaft könnte zukünftig das politische Einflusspotenzial des BMI beschränkt werden. Zu den Aufgaben des BSI soll künftig außerdem noch die „Beratung und Unterstützung“ aller Bundesministerien in „Fragen der Sicherheit in der Informationstechnik“ zählen. Bisher war das zwar bereits Praxis, wurde aber noch nicht im BSI-Gesetz formuliert.
Kriterien werden zur „Kann-Bedingung“
Im Kabinettsentwurf waren für die in Paragraph 4a festgelegten Kontrollbefugnisse des BSI bei der IT-Technik in den Bundesministerien weitreichende Ausnahmen festgelegt: Nämlich für das gesamte AA und das Bundesministerium für Verteidigung. Künftig sollen diese Ausnahmen nur noch für die Auslands-IT, die Streitkräfte und den Militärischen Abschirmdienst (MAD) gelten.
Das IT-Sicherheitskennzeichen, welches durch das IT-SiG 2.0 eingeführt wird, soll auch künftig freiwillig sein. Die technischen Vorgaben für die Herstellerangaben sollen sich nun jedoch nicht mehr aus einer Richtlinie des Bundesamtes ergeben, sondern aus „einer Norm oder einem Standard oder aus einer branchenabgestimmten IT-Sicherheitsvorgabe“, sofern das BSI feststellt, dass hier ausreichende Standards abgebildet werden. Ein Recht auf diese Feststellung besteht jedoch nicht.
Nach Informationen von Tagesspiegel Background wird derzeit noch daran gearbeitet, die Änderungen zu einem Entschließungsantrag zusammenzufassen. In dieser Woche wird das IT-SiG 2.0 in zweiter und dritter Lesung im Bundestag beraten. Eine neuerliche Notifizierung durch die EU-Kommission soll nach jetzigem Planungsstand nicht notwendig sein. Dies würde die Verabschiedung des Gesetzes um etwa drei Monate verzögern.
Hartmann: SPD hat sich durchgesetzt
Das BMI wollte sich auf Anfrage von Tagesspiegel Background nicht näher zum Stand des IT-SiG 2.0 äußern und verwies auf das parlamentarische Verfahren. Der stellvertretende Vorsitzende der Union im Bundestag, Thorsten Frei (CDU), ließ gegenüber Tagesspiegel Background noch offen, ob die Beratungen bereits in dieser Woche abgeschlossen sind. Unter anderem werde auch noch über die Kriterien zur Bestimmung von Unternehmen im besonderen öffentlichen Interesse diskutiert. „Ich bin jedoch sicher, dass wir am Ende eine gute Lösung finden werden. Die Verhandlungen mit unserem Koalitionspartner sind bislang sehr konstruktiv und werden vom Geist einer gemeinschaftlichen Kompromissfindung geprägt“, sagt Frei.
Sebastian Hartmann, Berichterstatter der SPD-Fraktion für IT-Sicherheit, signalisiert im Gespräch mit Tagesspiegel Background, dass er die deutliche Kritik, die unter anderem bei der Expertenanhörung im Innenausschuss laut wurde, ernst nimmt. Er sieht die nun erzielten Verhandlungsergebnisse als „großen Fortschritt“ zum Kabinettsentwurf. „In den Verhandlungen hat sich die SPD durchgesetzt und auf ein besseres Gesetz hingewirkt. Durch das IT-Sicherheitsgesetz 2.0 wird das BSI als vertrauenswürdiger Partner gestärkt und seine Aufgaben eindeutiger definiert. Es bietet größere Rechtssicherheit sowie mehr Klarheit und Verlässlichkeit für Unternehmen und Verbraucher“, sagt Hartmann.
Tagesspiegel Politikmonitoring
Der vorstehende Artikel erscheint im Rahmen einer Kooperation mit dem Tagesspiegel Background Digitalisierung & KI auf der Website des BASECAMP.