Das IT-Sicherheitsgesetz – wo stehen wir und wo wollen wir hin?

Das IT-Sicherheitsgesetz – wo stehen wir und wo wollen wir hin?

Das bereits von der vorherigen Regierung 2013 angestoßene "Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme" ist im parlamentarischen Verfahren angekommen. Was im letzten Anlauf noch am Koalitionspartner und dem Widerstand aus der Wirtschaft scheiterte, scheint nun unter einem besseren Stern zu stehen. Wir werfen eine Blick auf den Stand der Dinge.

Damals hatte die Wirtschaft mit dem FDP-regierten Wirtschaftsministerium noch einen starken Partner zur Seite, wenn es um den Kampf gegen die drohende Regulierung ging. Heute stehen die Zeichen anders, denn sowohl CDU/ CSU als auch die SPD wollen das Gesetz – es ist sogar zentraler Bestandteil in Sachen IT-Sicherheit im Koalitionsvertrag und der digitalen Agenda der Bundesregierung.

Bereits vor der sich abzeichnenden neuen politische Lage hat die Wirtschaft ihre Strategie geändert, getreu dem Motto "Was wir nicht verhindern können, wollen wir mitgestalten". Der Bundesverband der deutschen Industrie hat daraufhin bei der Wirtschaftsprüfungsgesellschaft KPMG eine Studie in Auftrag gegeben. Diese hat untersucht, welche Auswirkungen ein IT-Sicherheitsgesetz hat und wie dieses möglichst sinnvoll umgesetzt werden könnte. Darin wurden Empfehlungen zu einigen zentralen Bereichen des ersten Gesetzentwurfes aus dem Jahr 2013 gegeben, unter anderem zur geplanten Meldepflicht von IT-Sicherheitsvorfällen und zu den Mindeststandards in Sachen IT-Sicherheit.

Im neuen Gesetzentwurf, der im Dezember letzten Jahres vom Kabinett beschlossen wurde, hat die Regierung einige der Empfehlungen aufgegriffen und den Weg für eine relativ geräuschlose Verabschiedung des Gesetzes im parlamentarischen Verfahren freigemacht.

Zentrale Punkte des Gesetzentwurfs

  • "Betreiber Kritischer Infrastrukturen sollen künftig einen Mindeststandard an IT-Sicherheit einhalten und erhebliche IT-Sicherheitsvorfälle an das Bundesamt für Sicherheit in der Informationstechnik (BSI) melden. Die beim BSI zusammenlaufenden Informationen werden dort ausgewertet und den Betreibern Kritischer Infrastrukturen zur Verbesserung des Schutzes ihrer Einrichtungen zur Verfügung gestellt.
  • Zur Steigerung der IT-Sicherheit im Internet werden darüber hinaus die Anforderungen an Dienstanbieter im Telekommunikations- und Telemedienbereich erhöht. Sie sollen künftig Sicherheit nach dem jeweiligen Stand der Technik bieten. Telekommunikationsunternehmen werden zudem verpflichtet, ihre Kunden zu warnen, wenn ihnen auffällt, dass der Anschluss des Kunden – etwa im Rahmen eines Botnetzes – für Angriffe missbraucht wird.
  • Der Gesetzentwurf baut die Rolle des BSI weiter aus und trägt seiner gewachsenen Bedeutung als zentrale Stelle für die IT-Sicherheit unter anderem durch eine Erweiterung seiner Beratungsfunktion Rechnung. Um die Sicherheit von IT-Produkten für Kunden transparenter zu machen, soll das BSI die Befugnis erhalten, auf dem Markt befindliche IT-Produkte und IT-Systeme im Hinblick auf ihre IT-Sicherheit zu prüfen, zu bewerten und die Ergebnisse bei Bedarf zu veröffentlichen.

Stellungnahme des Bundesrates

Noch vor Beginn des parlamentarischen Verfahrens hat der Bundesrat Stellung genommen. Hierin spricht sich der Bundesrat dafür aus, im weiteren Gesetzgebungsverfahren dafür Sorge zu tragen, dass zur Schaffung von Planungs- und Rechtssicherheit eine weitere Konkretisierung von unbestimmten Rechtsbegriffen wie "Kritische Infrastrukturen", der Definition der Meldeschwelle für Telekommunikationsunternehmen bei auftretenden "beträchtlichen Sicherheitsverletzungen", der Präzisierung des Begriffs "Stand der Technik" sowie die Definition einer "erheblichen Störung" vorgenommen werden. Die Präzisierung des Begriffs "Kritische Infrastrukturen" sollte dabei bereits im Gesetz selbst erfolgen.

Außerdem setzt sich der Bundesrat dafür ein, dass die im Rahmen der Meldepflicht beim BSI auflaufenden Daten angemessen gesichert und diese auch sinnvoll verwendet werden.

Was meint die Opposition?

Die erste Lesung im Bundestag fand am 20. März statt. Erwartungsgemäß verteidigten die Vertreter der Regierungskoalition den Entwurf, Kritik kam von der Opposition. Diese befürchtet, dass auch ein IT-Sicherheitsgesetz in der nun vorliegenden Form nichts an der Bedrohung der IT-Sicherheitssysteme ändern werde, vielmehr müsse vor dem Hintergrund der Snowden-Enthüllungen substanziell an einer Kontrolle der Geheimdienste in diesem Zusammenhang gearbeitet werden.

Aus unserer Sicht offene Fragen

Auch für uns als Anbieter von IT-Sicherheitsprodukten lässt der Gesetzentwurf einige Fragen unbeantwortet:

  • Beispielsweise stellt sich die Frage, wem der Gesetzentwurf wirklich nützt. Sicher, noch per Verordnung zu bestimmende Betreiber kritischer Infrastrukturen müssen ihre Risikomanagementprozesse zertifizieren lassen, dabei können sie auf die Beratung des BSI zurückgreifen. Aber was heißt das konkret? Welcher Schutzbedarf wird mit welcher Risikoeinschätzung verbunden und welche technischen Vorkehrungen empfehlen sich damit? Hier sehen wir Handlungsmöglichkeiten beim BSI als technischer Behörde. Sie könnte hier neutral Empfehlungen abgestimmt mit Risikobewertung und Schutzbedarf abgeben. Denn so, wie es aktuell ist, ist der Gesetzentwurf zunächst ein Konjunkturprogramm für ISO-Zertifizierungsdienstleister und ein Stellenschaffer beim BSI, dem BKA und anderen Behörden. Das allein wird aber nicht reichen, um die IT-Sicherheit in Deutschland auf ein neues Niveau zu heben.
  • Weiterhin erscheint fragwürdig, was mit dem "Stand der Technik" erreicht werden soll. Wenn dahinter die Definition steht: "Was im Einsatz ist und sich dort bewährt hat", dann ist das aus unserer Sicht eine Zementierung des anscheinend unbefriedigenden (sonst bräuchte man ja keine Gesetz) Status quo in Sachen IT-Sicherheitstechnologie.
  • Ein weiterer Punkt ist die Berechtigung des BSI, Produkte zukünftig auf ihre IT-Sicherheitseigenschaften überprüfen zu dürfen. Grundsätzlich halten wir es für sinnvoll, wenn sich das BSI Produkte anschaut und auch vor ihnen warnt, wenn sie notwendige IT-Sicherheitsanforderungen nicht erfüllen. Wir selbst stecken viel Geld und Zeit in die Zertifizierung unserer Produkte nach Common Criteria, das BSI und die von ihm beauftragten Prüflabore bescheinigen uns regelmäßig die Einhaltung sehr hoher Standards. Wenn aber nun das BSI Produkte überprüft und nichts findet, besteht die Gefahr, dass die international anerkannten Standards nach Common Criteria ungewollt durch die Hintertür geschwächt werden. Denn eine wie im Gesetz vorgesehene Überprüfung kann unmöglich den gleichen Anforderungen genügen wie eine Überprüfung nach Common Criteria, gleichzeitig besteht die Gefahr, dass für die Nutzer von solchen Systemen am Ende rauskommt: das BSI hat nichts gefunden, also muss das Gerät/die Software ja sicher sein. Das wäre der Anfang vom Ende einer innovativen, auf IT-Sicherheit spezialisierten Wirtschaft.
  • Auch im Zusammenhang mit der Definition kritischer Infrastrukturen bleibt für uns die Frage offen: Was sind die im eigentlichen Sinn kritischen IT-Anwendungen und -Infrastrukturen in den betroffenen Branchen?

Weiterhin sollte aus unserer Sicht die mögliche Einbeziehung von Institutionen und Organisationen in besonderem staatlichen Interesse (INSI), die über kritische Infrastrukturen hinausgehen, geprüft werden. Vor allem vor dem Hintergrund der Enthüllungen von Edward Snowden – und darüber hinaus der angenommenen Zielsetzung des Gesetzesvorhabens – sollten diese einbezogen werden, sowie kritische Infrastrukturen in Verantwortung der Länder (vor allem, aber nicht nur, Länderverwaltungen). Denn sonst kann das Gesetz in weiten Teilen seinen wünschenswerten Zweck nur teilweise erfüllen.

Lesen Sie auch: Digitalisierung betrifft alle

Bildquelle: © Art3D - Fotolia.com


Diskutieren Sie mit

Sie können diesen Artikel sofort ohne Registrierung als Gast-User kommentieren.

Registrieren Sie sich jetzt! Mit einem User Account genießen Sie Vorteile:
Ihr Kommentar wird sofort im genublog veröffentlicht und Sie werden über Reaktionen auf Ihre Kommentare informiert.

Bereits registrierte User gelangen hier zum Login.



Registrieren Sie sich jetzt! Mit einem User Account genießen Sie Vorteile:
Ihr Kommentar wird sofort im genublog veröffentlicht und Sie werden über Reaktionen auf Ihre Kommentare informiert.

Bereits registrierte User gelangen hier zum Login.