IT-Sicherheitsgesetz: Chaos Computer Club sieht Ziele verfehlt
Hacker-Angriffe wie etwa zuletzt auf französische und belgische Medien rücken immer mehr in den Fokus der Politik. Die Bundesregierung will mit dem IT-Sicherheitsgesetz reagieren, doch der Entwurf ist umstritten. In einer Anhörung im Bundestag übte der Chaos Computer Club (CCC) die schärfste Kritik.
Diese Kritik richtet sich gegen einen der Kernpunkte des Entwurfs: Die geplante Meldepflicht für Sicherheitsvorfälle und Cyberangriffe, die neben den Betreibern von kritischen Infrastrukturen auch Internet-Provider und die Betreiber von Webseiten betrifft. Die entsprechenden Informationen sollen beim Bundesamt für Sicherheit in der Informationstechnik (BSI) zentral gesammelt werden. Laut CCC ist das ein entscheidender Knackpunkt des Gesetzes. Denn das BSI unterliege „keinerlei Regeln zur Zweckbindung der so erhobenen Daten“. Und darüber hinaus erhalte eine Behörde „Angriffswissen über Sicherheitslücken und -vorfälle“, die „seit Jahren an entscheidender Position staatliche Schadsoftware mitentwickelt“ haben soll.
So werde das Vertrauen in die entsprechenden Maßnahmen untergraben, weswegen der CCC erneut fordert, dass das BSI sich zu einer vom Innenministerium unabhängigen Bundesbehörde wandeln müsse, die einen klaren Sicherheitsauftrag verfolgt. Bei „Staatstrojaner-Plänen oder anderen Maßnahmen, die zur Senkung der IT-Sicherheit beitragen“, dürfe diese nicht mehr mitarbeiten.
Dass das BSI die Programmierung des Staatstrojaners zwischen 2007 und 2009 mit Quellcode und Software-Analysen unterstützt hatte, wurde erst im März dieses Jahres durch einen Bericht von Netzpolitik.org bekannt. Zwar hatte die Behörde erklärt, man habe lediglich die „notwendige IT-sicherheitliche Korrektheit der Software“ gewährleisten wollen und wäre nicht am operativen Einsatz beteiligt gewesen. Dennoch erscheint es äußerst fragwürdig, wenn eine auf IT-Sicherheit spezialisierte Behörde sich an der Entwicklung von Trojanern beteiligt.
Generell bewertet der CCC das IT-Sicherheitsgesetz als Bürokratiemonster, in dem keine Maßnahme zielführend sei, um die IT-Sicherheit tatsächlich zu erhöhen. Stattdessen würden Ressourcen durch „verpflichtende Dokumentations- und Berichtsregularien“ gebunden werden, die an anderer Stelle besser genutzt werden könnten.
Wirtschaftsvertreter sind skeptisch
Soweit gehen die übrigen Experten in der Anhörung im Bundestag nicht, obwohl auch diese Kritik äußern. Wirtschaftsverbände wie der Bundesverband der Deutschen Industrie (BDI) bemängeln etwa bei der Meldepflicht, dass der „Aufwand und Nutzen in keinem Verhältnis“ stehen würden. Ebenso befürchtet Thomas Tschersich von der Deutschen Telekom, dass die Meldepflicht „ins Uferlose“ führen könne, wenn diese sich auf die „potentielle Möglichkeiten einer Verwundbarkeit“ erstrecke. Bei unerlaubten Zugriffen auf Nutzersysteme sei dieses Instrument jedoch „zielführend und sinnvoll“.
Angesichts der Regelung, dass das BSI Meldungen über Angriffe an Dritte weitergeben könne, zeigt sich auch der Gesamtverband der Deutschen Versicherungswirtschaft skeptisch. Solche Meldungen dürften nur erfolgen, wenn keine Rückschlüsse auf das betroffene Unternehmen möglich seien.
Mehr Informationen für die Öffentlichkeit nötig
IT-Rechtsexperten wie etwa Professor Alexander Roßnagel von der Universität Kassel fordern derweil, dass die Öffentlichkeit mehr Informationen über die Sicherheitslücken erhalten müsse. „Die Information muss die Regel, die Verweigerung die Ausnahme sein“, so Roßnagel. Bemängelt werden zudem die fehlenden Strafen für Unternehmen, falls diese keine Informationen über bekannte Sicherheitslücken weitergeben oder diese nicht beheben.
So lautet auch die abschließende Einschätzung des CCC, dass das Gesetz zu sehr auf Unternehmen ausgelegt sei, während die Interessen von normalen Nutzern vernachlässigt werden. „Bei Privatpersonen und den ihnen entstehenden Schäden durch mangelnde IT-Sicherheit soll offenbar alles so bleiben, wie es derzeit ist“, so das Fazit in der CCC-Stellungnahme.