Kritik am IT-Sicherheitsgesetz
Professor Alexander Roßnagel von der Universität Kassel findet, dass der Name des Gesetzes mehr verspricht als seine Regelungen einlösen, Linus Neumann vom Chaos Computer Club ist der Ansicht, dass das Gesetz das Problem der IT-Sicherheit mit Bürokratie erschlägt, und für Professor Gerrit Hornung von der Universität Passau ist der Entwurf von Bundesinnenminister Thomas de Maiziére schlichtweg eine „kleine Vorratsdatenspeicherung“. Obwohl alle geladenen Experten der Anhörung im Innenausschuss des Deutschen Bundestags am vergangenen Montag das IT-Sicherheitsgesetz grundsätzlich begrüßten, sahen sie zum Teil erheblichen Änderungsbedarf.
Die Bundesregierung will mit dem IT-Sicherheitsgesetz eine signifikante Verbesserung der Sicherheit informationstechnischer Systeme in Deutschland erreichen. Die IT-Sicherheit von Unternehmen und der verstärkte Schutz der Bürgerinnen und Bürger im Internet sollen durch ein Bündel von Maßnahmen erreicht werden. Dazu gehört, dass Betreiber Kritischer Infrastrukturen ein Mindestniveau an IT-Sicherheit einhalten und dem Bundesamt für Sicherheit in der Informationstechnik (BSI) IT-Sicherheitsvorfälle melden müssen.
Was sind „Kritische Infrastrukturen“?
Die Mehrheit der im Innenausschuss geladenen Experten halten die Definition des Begriffs „Kritische Infrastrukturen“ im IT-Sicherheitsgesetz allerdings nicht für hinreichend. Prof. Alexander Roßnagel vom Institut für Wirtschaftsrecht an der Universität Kassel führt in seiner Stellungnahme aus, es sei zweifelhaft, ob es ausreiche, die nähere Definition des abstrakten Begriffs „Kritische Infrastrukturen“ per Verordnung durch das Bundesinnenministerium zu bestimmen. Dagegen spreche, „dass die Adressaten des Gesetzes in diesem selbst nicht eindeutig benannt werden, obwohl das Gesetz für sie schwerwiegende Rechtsfolgen festlegt.“ Der Gesetzentwurf beinhaltet noch eine Reihe weiterer Formulierungen, die der Juraprofessor für ungenau und damit rechtlich problematisch hält. So werde beispielsweise mit der Formulierung, dass die Unternehmen den aktuellen „Stand der Technik“ lediglich „berücksichtigen“ müssten, die Einhaltung der Sicherheitsstandards nicht gewährleistet. „Berücksichtigen“ bedeute, dass von dem angestrebten Sicherheitsniveau nach unten abgewichen werden könne, die Einhaltung sei somit nicht verpflichtend.
Plädoyer für anonyme Meldepflicht
Im Fokus der Kritik der Experten stehen auch die Regelungen zur Meldepflicht, wenn Unternehmen Opfer von Cyberangriffen geworden sind. Dr. Axel Wehling vom Gesamtverband der Deutschen Versicherungswirtschaft forderte in der Anhörung eine „freiwillige und anonyme Meldepflicht“. Nur so könne eine „Kultur der Informationspflicht“ aufgebaut werden. Thomas Tschersich, Leiter der Abteilung Sicherheitsdienste der Deutschen Telekom AG, spricht sich in seiner Stellungnahme gegen eine Absenkung der Meldeschwellen aus, nach der vorgesehen ist, dass bereits Sicherheitsverletzungen, die zu einer Störung führen könnten, meldepflichtig werden.
Die Leiterin der Abteilung Digitalisierung des BDI, Iris Plöger, fordert in ihrer Stellungnahme, dass die grundsätzliche Möglichkeit zur anonymisierten bzw. pseudonymisierten Meldung einer Störung für alle Kritischen Infrastrukturbetreiber gleichermaßen gelten müsse. Nach der im Gesetz vorgesehenen Regelung sei diese für die Energiewirtschaft jedoch völlig ausgeschlossen. Der BDI empfiehlt daher eine „Pseudonymisierung der Meldepflicht via Treuhänder“. Der Industrieverband benennt in seiner Stellungnahme außerdem den zu erwartenden Mehraufwand, der den Firmen durch die Meldepflicht entstehen würde. Allein die Bürokratiekosten beliefen sich einer Berechnung von KPMG zu Folge auf insgesamt 1,1 Milliarden Euro im Jahr. Hinzu kämen erhöhte Personalkosten und finanzielle Belastungen aufgrund etwaiger Reputationsschäden. „Der Aufwand und Nutzen der Meldepflicht steht in keinem Verhältnis“, bilanzierte Iris Plöger in der Anhörung.
Ausweitung der Datenspeicherung
Insbesondere die Interessen der Kunden hatte hingegen Linus Neumann vom Chaos Computer Club (CCC) im Blick. Die Pläne der Bundesregierung, dass Telekommunikationsunternehmen in noch mehr Fällen die Bestands- und Verkehrsdaten ihrer Kunden speichern sollen, um Cyberangriffe aufzuklären, bezeichnete der IT-Experte als Unsinn. Bei Störungen handle es sich seiner Ansicht nach um akute Fälle, bei denen ein zurückliegender Datensatz gar nicht helfe beziehungsweise die Aufzeichnungen von wenigen Stunden oder Tagen ausreichend seien. Die beiden geladenen Rechtswissenschaftler waren ähnlicher Meinung. Prof. Gerrit Hornung sind die im IT-Sicherheitsgesetz benannten Kriterien für das Sammeln von Daten zu vage. Prof. Alexander Roßnagel erklärte sich zwar damit einverstanden, dass Diensteanbieter Vorsorgemaßnahmen treffen könnten, plädierte aber für ein Stufensystem. Man dürfe nicht alle Daten aller Nutzer für einen unbestimmten Zeitraum aufheben, sondern lediglich die IP-Adressen der betroffenen Kunden im Falle eines tatsächlichen Angriffs speichern. Er sprach sich außerdem dafür aus, klare Eingriffsschwellen, spezielle Sicherheitsvorgaben und Ausnahmen für Berufsgeheimnisträger im IT-Sicherheitsgesetz zu definieren.
Sanktions- und Haftungsbestimmungen fehlen
Was den geladenen Experten darüber hinaus im IT-Sicherheitsgesetz fehlt, sind Sanktionsmöglichkeiten für den Fall, dass ein Unternehmen der vorgeschriebenen Meldepflicht nicht nachkommt oder seine IT-Systeme nicht dem Stand der Technik entsprechend schützt. Prof. Hornung wies darauf hin, dass die EU derartige Sanktionsmöglichkeiten in ihrer künftigen IT-Sicherheitsregelung vorsehe. Prof. Jochen Schiller, Leiter der Arbeitsgruppe Computersysteme und Telematik am Institut für Informatik der Freien Universität Berlin, spricht sich in seiner Stellungnahme außerdem dafür aus, die Regelung für die Haftung bei Schäden anzupassen. „Wenn die im Entwurf gesetzten Mindeststandards, also der Stand der Technik, nicht erfüllt waren und ein Schaden entstanden ist, so ist auch folgerichtig, dass der (Mit-)Verursacher hierfür (mit-)haftet.“ Ähnlich sah das der Telekom-Vertreter Thomas Tschersich. Das Beheben von Sicherheitsrisiken, etwa durch Software-Updates oder eine Anpassung von Systemkonfigurationen, müsse in der Verantwortung der jeweiligen Anbieter liegen. Es wäre unbillig, dies den Telekommunikationsunternehmen aufzubürden, sagte der Telekom-Vertreter. Linus Neumann vertrat in der Anhörung die Ansicht, dass eine einfache Haftung von Hard- und Softwareproduzenten bei Fahrlässigkeit zu deutlich mehr IT-Sicherheit führen würde.
Analog zu der Haftungsfrage wendet sich die Deutsche Telekom gegen die Vorschrift, dass Telekommunikationsanbieter ihre Kunden über Störungen informieren müssen, die von dessen Datenverarbeitungssystemen ausgehen. Wichtig sei im Störungsfall die Information aus erster Hand. Störungen von Datenverarbeitungssystemen müssten daher den Nutzern selbst bzw. von den Herstellern und Betreibern der Datenverarbeitungssysteme, also den Störern, gemeldet werden, heißt es in der Stellungnahme. Prof. Schiller entgegnete in der Anhörung darauf, dass die Kunden bei einem Schadensfall an ihrem Auto auch nicht direkt die Zulieferer kontaktieren, sondern ihren Händler ansprechen würden.
BSI sollte unabhängig werden
Ob das Bundesamt für Sicherheit in der Informationstechnik als zentrale Meldestelle für Cyberangriffe geeignet ist, bezweifelte in der Anhörung der Vertreter des Chaos Computer Clubs. Als dem Bundesinnenministerium unterstellte Behörde könne es zu Interessenkonflikten kommen, kritisierte Linus Neumann und verwies auf Medienmeldungen, dass das BSI an der Entwicklung des „Bundestrojaners“ beteiligt gewesen sei. Er sprach sich dafür aus, dass das BSI eine unabhängige Bundesbehörde werden müsse. Dieser Meinung ist auch Prof. Schiller. Zur Steigerung der Akzeptanz des BSI plädiert er in seiner Stellungnahme dafür, die Behörde des Bundesinnenministeriums in eine neutrale, unabhängige Einrichtung mit entsprechender Ausstattung zu überführen, damit sie die im Gesetz geforderten Mindeststandards tatsächlich durchsetzen könne.
Der IT-Rechtler Prof. Hornung warnte in der Anhörung zum IT-Sicherheitsgesetz, das BSI dürfe sensible Informationen weder an das Bundeskriminalamt (BKA) oder den Bundesnachrichtendienst (BND) noch an Sicherheitsbehörden oder internationale Partner weitergeben. Er befürchte aber, dass die laut IT-Sicherheitsgesetz geplanten 50 neuen Stellen beim Bundesamt für Verfassungsschutz (BfV) darauf hinweisen, dass dort ein „substanzieller Teil der Auswertung“ der Meldungen erfolgen solle.