Vorratsdatenspeicherung: Kritik am geplanten IT-Sicherheitsgesetz
Der vom Innenministerium vorgelegte Entwurf für das IT-Sicherheitsgesetz wird zwar grundsätzlich begrüßt, doch trotz zahlreicher Änderungen zu den vorherigen Plänen existieren immer noch diverse Kritikpunkte. Diese betreffen in erster Linie die Festlegung der Sicherheitsstandards und die Meldepflicht für Cyber-Angriffe.
Grundzüge des Vorhabens hat Innenminister Thomas de Maizière (CDU) bereits in einem FAZ-Gastbeitrag geschildert. Zu dem vorliegende Entwurf (PDF-Datei) sagt er: „Wir müssen sicherer werden als bisher. Wer ein Risiko setzt für andere, trägt dafür auch die Verantwortung. Wer Kritische Infrastrukturen betreibt, der muss sie sicher betreiben.“ Nun sollen die Pläne „im Rahmen einer breiten öffentlichen Debatte intensiv mit den beteiligten Kreisen aus Wirtschaft und Gesellschaft“ erörtert werden.
Als Grundlage für das IT-Sicherheitsgesetz nennt das Innenministerium fünf Themenfelder:
- Verbesserung der IT-Sicherheit in Unternehmen: Mit Mindeststandards und Meldepflichten für gravierende Sicherheitsvorfälle sollen die Anforderungen an die Betreiber von kritischen Infrastrukturen verschärft werden.
- Schutz der Bürger: Öffentliche Telekommunikationsnetze und Anbieter von Internetdiensten müssen höhere Sicherheitsstandards erfüllen. Zudem werden Telekommunikationsanbieter verpflichtet, ihre Kunden über erfolgte Cyber-Angriffe zu informieren und Lösungen bereit zu stellen.
- Schutz der IT des Bundes: Dieser Aspekt beinhaltet verbindliche Vorgaben für Regierungsnetze und die IT von Bundesbehörden.
- Stärkung des BSI: Die Kompetenzen vom Bundesamt für Sicherheit in der Informationstechnik (BSI) werden ausgeweitet und präziser geregelt. Zudem erhält das Amt 133 neue Stellen.
- Zuständigkeitserweiterung für das BKA: Künftig soll das Bundeskriminalamt (BKA) auch für die Strafverfolgung von „Cyber-Delikten“ zuständig sein. So eine Regelung wäre vor allem „bei Angriffen auf bundesweite Einrichtungen“ notwendig. 79 neue Stellen sollen dafür geschaffen werden. Hinzu kommen 55 für das Bundesamt für Verfassungsschutz – welche Aufgaben diese erfüllen sollen, wird allerdings nicht näher beschrieben.
Dieser Entwurf wird nun den übrigen Ressorts der Bundesregierung zur Abstimmung vorgelegt.
Branchenverbände vorerst zufrieden
Branchenverbände wie der Bitkom und der BDI begrüßen die Pläne grundsätzlich. „Das Gesetz nimmt die Betreiber kritischer Infrastrukturen in die Pflicht, ihre IT-Sicherheit zu verbessern und auf dem neuesten Stand zu halten“, sagte Bitkom-Präsident Dieter Kempf. Vor allem die Änderungen bei der Meldepflicht von Cyber-Attacken sehen die Wirtschaftsvertreter positiv. Die „vorgesehene Anonymisierung von einem Großteil der geforderten Meldungen“ stelle eine deutliche Verbesserung dar, lautet das Statement von Stefan Mair, Mitglied der BDI-Hauptgeschäftsführung.
Allerdings fordern die Verbände, dass die entsprechenden Meldepflichten und Sicherheitsstandards auch für staatliche Stellen gelten sollten. Dieser sei „der größte Betreiber kritischer Infrastrukturen“, so Mair. Der Bitkom rechnet derweil mit Kosten in Höhe von 1,1 Milliarden Euro, die aufgrund der Meldepflicht auf die Wirtschaft zukommen. Zudem würde für die Einhaltung höherer Sicherheitsstandards ein dreistelliger Millionenbetrag anfallen.
Deutliche Kritik von Netzaktivisten
Außerhalb der Regierungskreise und Branchenverbände wird der Entwurf allerdings deutlich kritisiert. Das Vorhaben sei von den Wirtschaftsverbänden durchlöchert worden, so der Kernvorwurf. Das betreffe etwa die Mindeststandards, die von Branchenvertretern mitbestimmt werden können, und die anonymisierte Meldepflicht. Dabei handelt es sich laut einer Analyse von Netzpolitik.org um ein potentielles Schlupfloch für Sicherheitslücken: „Denn wenn ein Sicherheitsproblem durch ausschließliche Meldung an eine Behörde keinen öffentlichen Druck für das Unternehmen erzeugt, sondern nur eine anonyme Nachricht erfordert, ist die Motivation gering, proaktiv für genügend Sicherheit zu sorgen.“
Dass Bestands- und Verkehrsdaten von Nutzern laut Entwurf „zum Erkennen, Eingrenzen oder Beseitigen von Störungen oder Fehlern an Telekommunikationsanlagen“ erhoben und verwendet werden können, bemängelt Jürgen Geuter, Informatiker von der Universität Oldenburg. In einem Facebook-Eintrag schreibt er, es würden „potentiell Begehrlichkeiten von Strafverfolgungsbehörden geweckt, die genau an diesen Daten ebenfalls Interesse haben dürften“. Wünschenswert sei daher eine rechtliche Trennlinie, um die Einführung einer „Vorratsdatenspeicherung light“ zu unterbinden.