Kritik am IT-Sicherheitsgesetz

Berlin: (hib/HAU) Experten sehen Änderungs- und Ergänzungsbedarf bei dem von der Bundesregierung vorgelegten Entwurf eines IT-Sicherheitsgesetzes (18/4096). Das wurde während einer öffentlichen Anhörung des Innenausschusses am Montag deutlich. Grundsätzlich begrüßte dabei die überwiegende Mehrheit der geladenen Sachverständigen das Vorhaben der Regierung, gesetzliche Regelungen zur Verbesserung der IT-Sicherheit zu schaffen. Ziel der Regierungsinitiative ist es vor allem, „Kritische Infrastrukturen“, also Einrichtungen, „die für das Funktionieren unseres Gemeinwesens zentral sind“, wie die Regierung in dem Entwurf schreibt, besser vor Angriffen auf ihre informationstechnischen Systeme zu schützen. Dazu sollen deren Betreiber dem Entwurf zufolge künftig ein Mindestniveau an IT-Sicherheit einhalten und dem Bundesamt für Sicherheit in der Informationstechnik (BSI) IT-Sicherheitsvorfälle melden. Was konkret zu den Kritischen Infrastrukturen gehört, soll laut Entwurf in einer folgenden Rechtsverordnung festgeschrieben werden.

Um den Schutz der Bürger vor Cyberkriminalität zu verbessern, sollen Betreiber von Webseiten sowie Access-Provider der Vorlage entsprechend verpflichtet werden, IT-Sicherheit „nach dem Stand der Technik“ zu gewährleisten. Zudem sollen sie IT-Sicherheitsvorfälle, die zu einem unerlaubten Zugriff auf Systeme der Nutzer oder einer Beeinträchtigung der Verfügbarkeit führen können, unverzüglich über die Bundesnetzagentur an das BSI melden und betroffene Nutzer über bekannte Störungen ihrer Systeme informieren.

Iris Plöger vom Bundesverband der Deutschen Industrie (BDI) kritisierte während der Anhörung, dass aus dem Entwurf nicht hervorgehe, welche Bereiche und Unternehmen zu den „Kritischen Infrastrukturen“ gehören. Auch was die Meldepflicht angeht, so stünden „Aufwand und Nutzen in keinem Verhältnis“, kritisierte sie. Zudem sei nicht nachvollziehbar, warum sich das Gesetz lediglich an private Betreiber Kritischer Infrastrukturen richte. Der Kritik an der fehlenden Klarstellung, wer zu den Kritischen Infrastrukturen gehört, schloss sich Axel Wehling vom Gesamtverband der Deutschen Versicherungswirtschaft an. Skeptisch bewertete er auch die Regelung, wonach das BSI Meldungen über Angriffe an Dritte weitergeben könne. Eine solche Meldung, solle sie künftig tatsächlich möglich sein, müsse so erfolgen, „das kein Rückschluss auf das betroffene Unternehmen möglich ist“, forderte er.

Aus Sicht von Professor Gerrit Hornung von der Universität Passau ist die Bestimmtheit bei der Beschreibung der Kritischen Infrastrukturen „gerade noch gewahrt“. Dennoch sei es sinnvoll, die Kriterien für deren Auswahl in das Gesetz einzufügen, sagte er. Auch Professor Alexander Roßnagel von der Universität Kassel nannte die Definition der kritischen Infrastrukturen im Gesetz „ausreichend“. Zugleich forderte er, die Information der Öffentlichkeit über Schutzlücken in IT-Systemen zu verbessern. „Die Information muss die Regel, die Verweigerung die Ausnahme sein“, forderte Roßnagel. Der IT-Rechtsexperte Hornung bemängelte die fehlenden Sanktionen gegenüber den Unternehmen bei ausbleibender Information über erkannte Sicherheitslücken. Solche Sanktionen sehe auch die europäische IT-Sicherheitsregelung vor, die derzeit in Arbeit sei, sagte er.

Den Fokus auf die Hersteller von Hardware- und Softwareprodukten richtete Thomas Tschersich von der Deutschen Telekom AG. Man könne nicht Telekommunikationsanbietern aufbürden, Sicherheitsrisiken bei solchen Produkten zu beheben, sagte der Telekom-Vertreter. Zugleich nannte er die im Entwurf enthaltene Meldepflicht über unerlaubte Zugriffe auf Nutzersysteme „zielführend und sinnvoll“. Eine Meldepflicht für „potentielle Möglichkeiten einer Verwundbarkeit“ führe jedoch „ins Uferlose“, befand Tschersich.

Als schärfster Kritiker der geplanten Regelung erwies sich Linus Neumann von Chaos Computer Club. Die dadurch geschaffene Bürokratie gehe zu Lasten pro-aktiver Schutzmaßnahmen, bemängelte er. Außerdem sehe der Entwurf lediglich Unternehmen als schützenswert an. Den großflächigen Angriffen auf Privatpersonen und den daraus resultierenden Schäden werde jedoch nicht entgegen getreten. Neumann wandte sich zugleich gegen die Installation des BSI als zentrale Meldestelle. Als dem Bundesinnenministerium unterstellte Behörde könne es zu Interessenkonflikten kommen, so Neumann unter Verweis auf Medienmeldungen, das BSI sei an der Entwicklung des „Bundestrojaners“ beteiligt.

BSI-Präsident Michael Hange sagte hingegen, sein Amt sehe sich bereit für die aktiv-präventive Rolle, die das Gesetz dem BSI zuweise. Hange lobte den Entwurf. Er sei ein wichtiger Schritt zur Verbesserung der IT-Sicherheit „sowohl für Kritische Infrastrukturen aber auch für die Bürger als Internetnutzer“.

Professor Jochen Schiller von der Freien Universität Berlin rückte kleine und mittelständische Unternehmen (KMU) in den Mittelpunkt des Interesses. Diese seien in dem Entwurf nicht erfasst, was aus seiner Sicht sogar nachvollziehbar ist. Dennoch dürfe man nicht der Fehleinschätzung unterliegen, KMUs bedürften keines Schutzes. Es seien manchmal kleine Schräubchen, deren Manipulation das große Gebilde ins Wanken bringen könne, sagte Schiller und sprach sich für eine Anpassung des Gesetzes „in einem weiteren Schritt“ aus.