Unabhängiges Magazin für Wirtschaft und Bildung

14. April 2021

Search form

Search form

„Wer überwacht die Überwacher?“

„Wer überwacht die Überwacher?“© Pexels.com/Noelle Otto

Nach heftigen Debatten um neues BND-Gesetzt in Deutschland nun auch Kritik am neuen IT-Sicherheitsgesetz. Vertrauen in digitale Kommunikation darf nicht verspielt werden, so eco als Verband der Deutschen Internetwirtschaft.

(red/czaak) „Die Politik muss die Reißleine ziehen, um das Vertrauen in digitale Kommunikation nicht zu verspielen“, fordert aktuell Klaus Landefeld, stellvertretender Vorstandsvorsitzender von eco. Landefeld bezieht sich auf das vom Deutschen Bundeskabinett kurz vor dem Jahreswechsel im Dezember 2020 beschlossene Zweite Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz 2.0). Das Gesetz soll unter anderem den Schutz der Bundesverwaltung, kritischer Infrastrukturen (KRITIS) sowie Unternehmen im besonderen öffentlichen Interesse und den Verbraucherschutz regeln.

Technologie per Allgemeinverfügung nicht vertrauenswürdig
In diesem Rahmen soll das Bundesamt für Sicherheit in der Informationstechnik (BSI) weitere Befugnisse erhalten, um IT-Unternehmen umfassend zu kontrollieren – und gleichzeitig soll das BSI der Öffentlichkeit aber wichtige Sicherheitsinformationen vorenthalten dürfen. eco kritisiert nun dieses Vorhaben als unverhältnismäßig und schädlich für das allgemeine Vertrauen in IT-Systeme.

„Das IT-Sicherheitsgesetz 2.0 hätte einen sinnvollen Rechtsrahmen bilden können, um wirksam Cyberkriminalität zu bekämpfen und die Sicherheit digitaler Infrastrukturen zu erhöhen“, so Landefeld. „Stattdessen gibt es Sorge um die Behördenwünsche, wenn Technologie per Allgemeinverfügung als nicht vertrauenswürdig eingestuft und deren Einsatz weitgehend untersagt werden kann.“

Geheimhaltung von Softwarelücken
Das neue Gesetz will etwa nicht nur Betreiber kritischer Infrastrukturen zur umfangreichen Dokumentation von IT-Sicherheitslücken verpflichten, sondern auch eine Vielzahl weiterer Unternehmen. Wer konkret unter die neu eingeführte Kategorie „Unternehmen von besonderem öffentlichen Interesse“ fällt, ist bislang jedoch nicht final definiert. „Bei Unternehmen führt das zu weiteren Planungs- und Rechtsunsicherheiten“, so Landefeld.

Umgekehrt kann das BSI mit dem neuen Gesetz Informationen über Sicherheitslücken zurückhalten, sofern es Sicherheitsbehörden gegenüber zur Verschwiegenheit verpflichtet ist. „Staatliche Akteure erhalten dadurch Anreize, Softwarelücken geheim zu halten, um sich dazu weitere Informationen zu beschaffen oder diese etwaig für eigene Zwecke auszunutzen“, kritisiert Landefeld.

Politische Interessen versus IT-Sicherheit
Aus der Sicht von eco besteht die Gefahr von „Einfallstoren für Cyberkriminelle und Industriespionage mit einer erheblichen Schwächung der allgemeinen IT-Sicherheit.“ Und: „Warum sind Unternehmen bei Sicherheitsvorfällen zu einer akribischen Meldepflicht an das BSI verpflichtet, aber staatliche Behörden dürfen wichtige Sicherheitsinformationen den Unternehmen vorenthalten? Hier werden politische Interessen vor die IT-Sicherheit gestellt“, so Landefeld in einer weiteren Kritik.

Die eco-Experten fragen schließlich: „Wer überwacht die Überwacher wenn die Bundesregierung ganz klar staatliches Hacking fördert?“ Den Trend dazu sehe man schon beim geplanten BND-Gesetz (economy berichtete). „Der BND kann demnach 99,9 Prozent des weltweiten Datenverkehrs überwachen und nahezu nach Belieben in Computersysteme eindringen. Wenn die Politik jetzt nicht das Vertrauen in digitale Kommunikation gänzlich verspielen will, muss sie die Reißleine ziehen und das Wertesystem einer digitalen Gesellschaft überdenken“, betonen die eco-Experten.

Überarbeitung europäischer NIS-Richtlinie auch noch nicht fertig
Ein weiterer Kritikpunkt des eco-Verbandes betrifft das vorschnelle Agieren der deutschen Politik im Kontext mit der europäischen NIS-Richtlinie (Anm. NIS-Netz- und Informations-Sicherheit). Hier wurde ebenfalls erst letzten Dezember eine neue Richtlinie aufgelegt und die Überarbeitung auf europäischer Ebene ist noch nicht abgeschlossen.

Generell sei eine Beteiligung am Gesetzgebungsverfahren durch betroffene Unternehmen oder Interessenvertreter kaum möglich. „Ende vergangenen Jahres hatte das Innenministerium nach fast zwei Jahren einen knapp 100 seitigen Entwurf zum IT-Sicherheitsgesetz vorgelegt und zur Kommentierung nur eine Frist von 26 Stunden eingeräumt“, so eco. Am gestrigen Montag war die öffentliche Anhörung zum IT-Sicherheitsgesetz zu Redaktionsschluss noch nicht abgeschlossen.

Links

red/czaak, Economy Ausgabe Webartikel, 02.03.2021