Der Entwurf der Bundesregierung für ein zweites Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme ist am Montag, 1. März 2021, zusammen mit zwei Anträgen der AfD-Fraktion Gegenstand einer öffentlichen Anhörung des Ausschusses für Inneres und Heimat. Die Sitzung unter Leitung von Andrea Lindholz (CDU/CSU) beginnt um 14 Uhr im Sitzungssaal E 700 des Paul-Löbe-Hauses in Berlin und dauert zwei Stunden.

Die Sitzung wird live im Internet auf www.bundestag.de übertragen.

Gesetzentwurf der Bundesregierung

Die Bundesregierung will mit ihrem Gesetzentwurf (19/26106, 19/26921) den mit dem IT-Sicherheitsgesetz vom Juli 2015 geschaffenen Ordnungsrahmen „entsprechend dem Auftrag aus dem Koalitionsvertrag für die 19. Legislaturperiode“ erweitern.

Sie verweist darauf, dass die Gewährleistung der Cyber- und Informationssicherheit ein Schlüsselthema für Staat, Wirtschaft und Gesellschaft sei, die gerade mit Blick auf die zunehmende Digitalisierung aller Lebensbereiche auf funktionierende Informations- und Kommunikationstechnik angewiesen seien.

Gefahrenpotenzial durch Cyber-Angriffe

Cyber-Angriffe stellten für Staat, Wirtschaft und Gesellschaft ein großes Gefahrenpotenzial dar, wobei die Angriffe qualitativ immer ausgefeilter und somit für alle Betroffenen auch gefährlicher würden. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) beobachte einen stetigen Anstieg von Schadprogrammen; jährlich kämen mehr als 100 Millionen neue Varianten hinzu. Die zunehmende Verbreitung von Internet of Things (IoT)-Geräten verschärfe die Situation zusätzlich.

Insgesamt sei „Cyber-Sicherheit nicht statisch“ und ein aktuelles Schutzniveau „daher kein Garant für eine erfolgreiche Abwehr der Angriffe von morgen“, führt die Bundesregierung aus. Daher bedürfe es einer ständigen Anpassung und Weiterentwicklung der Schutzmechanismen und der Abwehrstrategien.

Besserer IT-Schutz in der Bundesverwaltung

Zur geplanten Änderung zählt eine Verbesserung des Schutzes der IT der Bundesverwaltung unter anderem durch weitere Prüf- und Kontrollbefugnisse des BSI und Festlegung von Mindeststandards durch das Bundesamt. Auch sollen Befugnisse zur Detektion von Schadprogrammen zum Schutz der Regierungsnetze geschaffen werden.

Vorgesehen ist zudem die Abfrage von Bestandsdaten bei Anbietern von Telekommunikationsdiensten, um Betroffene über Sicherheitslücken und Angriffe zu informieren. Ebenso soll das BSI die Befugnis erhalten, Sicherheitslücken an den Schnittstellen informationstechnischer Systeme zu öffentlichen Telekommunikationsnetzen zu detektieren sowie Systeme und Verfahren zur Analyse von Schadprogrammen und Angriffsmethoden einzusetzen.

Anordnungsbefugnis für das Bundesamt

Ferner soll mit dem Gesetz eine Anordnungsbefugnis des BSI gegenüber Telekommunikations- und Telemedienanbietern zur Abwehr spezifischer Gefahren für die Informationssicherheit geschaffen werden. Ausweiten will die Regierung die Pflichten für Betreiber kritischer Infrastrukturen und weitere Unternehmen im besonderen öffentlichen Interesse.

 Weitere Änderungen betreffen die Schaffung von Eingriffsbefugnissen für den Einsatz und Betrieb von kritischen Komponenten sowie die Etablierung von Verbraucherschutz im Bereich der Informationssicherheit als zusätzliche Aufgabe des BSI. Darüber hinaus sollen die Voraussetzungen für ein einheitliches IT-Sicherheitskennzeichen geschaffen werden, das die IT-Sicherheit der Produkte sichtbar macht, und das Bußgeldregime überarbeitet werden.

Erster Antrag der AfD

Die AfD-Fraktion fordert in ihrem ersten Antrag (19/26225), die Evaluierung des IT-Sicherheitsgesetzes von 2015 nach Gesetzeslage umzusetzen und Ergebnisse im IT-Sicherheitsgesetz 2.0 zu berücksichtigen.

Die Bundesregierung soll den Entwurf des „IT-Sicherheitsgesetzes 2.0“ erst in das parlamentarische Verfahren einbringen, nachdem gemäß Artikel 10 des IT-Sicherheitsgesetzes von 2015 unter Einbezug „eines wissenschaftlichen Sachverständigen, der im Einvernehmen mit dem Deutschen Bundestag bestellt wurde“, dieses derzeit gültige „Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme“ evaluiert wurde. Auch solle die Bundesregierung die Ergebnisse der Evaluierung in das Gesetzesvorhaben einfließen lassen.

Zweiter Antrag der AfD

In ihrem zweiten Antrag verlangt die Fraktion, mit einem IT-Sicherheitsgesetz 2.0 Planungs- und Rechtssicherheit für Netzbetreiber herzustellen (19/26226). Die Regierung solle im Rahmen dieses Gesetzes entscheiden, „ob staatsnahe Netzwerksausrüster aus undemokratischen Ländern“ am Ausbau kritischer 5G-Infrastruktur beteiligt werden dürfen.

Zudem fordert die Fraktion die Bundesregierung unter anderem auf, „die Rechts- und Planungssicherheit für Mobilfunknetzbetreiber dahingehend herzustellen, dass für die Folgen eines möglichen Ausschlusses von Herstellern kritischer Komponenten eine hinreichende Absicherung für die Mobilfunkbetreiber in Form von entsprechenden Kompensationsregelungen im Gesetz mit aufgenommen wird“.

Zur Begründung führt die Fraktion aus, dass der Bundestag seit fast zwei Jahren über die Frage der Zulassung von Netzwerkausrüstern beim Ausbau des 5G-Netzes diskutiere, „deren Vertrauenswürdigkeit zumindest fragwürdig ist“. Die Volksrepublik China besitze mit Huawei und ZTE zwei Hersteller, deren Technik weltweit Verwendung finde. Als problematisch werde die Nähe dieser Unternehmen zum chinesischen Militär sowie der kommunistischen Partei angesehen. (sto/25.02.2021)