Gesetzentwurf in der Kritik Macht das IT-Sicherheitsgesetz Deutschland wirklich sicherer?

Autor Ira Zahorsky

Auf Vorschlag von Bundesinnenminister Dr. Thomas de Maizière hat die Bundesregierung einen Gesetzentwurf zur „Erhöhung der Sicherheit informationstechnischer Systeme“ auf den Weg gebracht. Während der Bitkom dies erwartungsgemäß begrüßt, äußern sich der Verband der Internetwirtschaft, eco, sowie die Piratenpartei kritisch.

Anbieter zum Thema

Bundesinnenminister Dr. Thomas de Maizière (r.) mit BSI-Präsident Michael Hange bei der Vorstellung des IT-Sicherheitsgesetzes
Bundesinnenminister Dr. Thomas de Maizière (r.) mit BSI-Präsident Michael Hange bei der Vorstellung des IT-Sicherheitsgesetzes
(Foto: BMI)

Im Rahmen der Umsetzung der Digitalen Agenda enthält der Gesetzentwurf Anforderungen an die IT-Sicherheit kritischer Infrastrukturen, also der Einrichtungen, die für das Gemeinwesen von zentraler Bedeutung sind, wie etwa die Energieversorgung. Die Betreiber kritischer Infrastrukturen sollen künftig einen Mindeststandard an IT-Sicherheit einhalten und erhebliche IT-Sicherheitsvorfälle an das Bundesamt für Sicherheit in der Informationstechnik (BSI) melden. Bei der Formulierung der jeweiligen Sicherheitsstandards soll die Wirtschaft mit eingebunden werden. Nur so lasse sich laut Bitkom-Präsident Prof. Dieter Kempf das Sicherheitsniveau den Erfordernissen der jeweiligen kritischen Infrastrukturen anpassen.

Allerdings ist noch nicht genau geklärt, für welche Unternehmen das Gesetz gilt. Der Bundesregierung zufolge fielen rund 2.000 der zu den Betreibern kritischer Infrastrukturen zählenden Unternehmen darunter. „Die Unternehmen brauchen möglichst schnell Planungs- und Rechtssicherheit“, betonte Kempf. Das gelte auch für die Frage, welche IT-Sicherheitsvorfälle als relevant beziehungsweise schwerwiegend und damit als meldepflichtig eingestuft werden. „Positiv bewertet die IT-Branche, dass Meldungen schwerwiegender Sicherheitsvorfälle weitgehend in anonymisierter Form übermittelt werden“, so Kempf. Damit würden Reputationsverluste für die Unternehmen vermieden und die Bereitschaft zur Meldung gesteigert.

Kosten für die Umsetzung

Allerdings sind auch die Kosten für die Umsetzung der Meldepflicht nicht unerheblich. Der Bitkom rechnet mit Ausgaben von rund 1,1 Milliarden Euro pro Jahr, zuzüglich Investitionen für die Einhaltung höherer Sicherheitsstandards in dreistelliger Millionenhöhe. Der Aufwand und damit die Kosten für eine Zertifizierung oder für ein Audit hingen stark von dem gewählten Zertifizierungsverfahren sowie von den jeweiligen Gegebenheiten im Unternehmen ab, so der Gesetzentwurf. Zur Unterstützung sollen den Betreibern kritischer Infrastrukturen die beim BSI zusammenlaufenden und dort ausgewerteten Informationen zur Verbesserung des Schutzes ihrer Infrastrukturen zur Verfügung gestellt werden.

Auch die Behörden müssten dem Bitkom zufolge mit den notwendigen Personal- und Sachmitteln ausgestattet werden. Der Gesetzentwurf beziffere den Bedarf auf rund 420 Stellen in Behörden wie BSI, Bundeskriminalamt, Verfassungsschutz oder Bundesnetzagentur. Personal- und Sachkosten beliefen sich auf rund 40 Millionen Euro pro Jahr. „Diese Vorgaben müssen im Bundeshaushalt berücksichtigt werden, damit das Gesetz auch seine Wirkung entfalten kann“, forderte Kempf.

Security-Messe it-sa 2014
Bildergalerie mit 32 Bildern

Mehr Sicherheit?

Weiterhin sieht der Gesetzentwurf die Steigerung der IT-Sicherheit im Internet vor. Dazu sollen die Anforderungen an Diensteanbieter im Telekommunikations- und Telemedienbereich erhöht werden. Sie sollen künftig Sicherheit nach dem jeweiligen Stand der Technik bieten und ihre Kunden warnen, wenn ihnen auffällt, dass deren Anschluss missbraucht wird.

„Soweit erforderlich, darf der Diensteanbieter die Bestandsdaten und Verkehrsdaten der Teilnehmer und Nutzer erheben und verwenden, um Störungen oder Fehler an Telekommunikationsanlagen zu erkennen, einzugrenzen oder zu beseitigen. Dies gilt auch für Störungen, die zu einer Einschränkung der Verfüg-barkeit von Informations- und Kommunikationsdiensten oder zu einem unerlaubten Zugriff auf Telekommunikations- und Datenverarbeitungssysteme der Nutzer führen können“, so § 100, Absatz 1 des Telekommunikationsgesetzes. Dieser Punkt schließt nach Meinung des Themenbeauftragten für Datenschutz der Piratenpartei, Patrick Beyer, auch die Erweiterung der Vorratsdatenspeicherung mit ein: „Der Aufschrei der Zivilgesellschaft hat verhindern können, dass der Bundesinnenminister eine Protokollierung unseres Surfverhaltens im Internet legalisiert. [...] Mit dem neuen IT-Sicherheitsgesetz soll die Vorratsdatenspeicherung unter dem Deckmantel der ‚Störungserkennung‘ nun noch ausgeweitet werden“, kritisiert Beyer. So lautet sein Tipp für die Internetnutzer, „sich mithilfe von datenschutzfreundlichen Anonymisierungsdiensten vor Bespitzelung im Internet und Massenverdächtigungen zu schützen“.

Security-Messe it-sa 2014
Bildergalerie mit 32 Bildern

Um die Sicherheit von IT-Produkten für Kunden transparenter zu machen, soll das BSI die Befugnis erhalten, auf dem Markt befindliche IT-Produkte und -Systeme im Hinblick auf ihre Sicherheit zu prüfen, zu bewerten und die Ergebnisse bei Bedarf zu veröffentlichen. Zuvor ist dem Hersteller der betroffenen Produkte und Systeme mit angemessener Frist Gelegenheit zur Stellungnahme zu geben, so der Gesetzentwurf.

Offene Fragen

Offene Fragen síeht der Verband der Internetwirtschaft, eco, nach wie vor im Zusammenhang mit dem europäischen Gesetzgebungsverfahren für eine Richtlinie zur Gewährleistung einer hohen gemeinsamen Netzwerk- und Informationssicherheit (NIS-Richtlinie). „Die Bundesregierung ist hier in der Pflicht, Rechtssicherheit für die Unternehmen zu gewährleisten und Widersprüche zwischen dem nationalen IT-Sicherheitsgesetz und den europäischen Vorgaben zu vermeiden. Ein nationales ‚Vorpreschen‘ ist aus unserer Sicht weder in Deutschland noch in anderen Mitgliedstaaten zielführend. Damit droht ein Flickenteppich aus nationalen Regelungen, der Unternehmen schadet und wenig zur Erhöhung der allgemeinen IT-Sicherheit in Europa beiträgt“, so eco-Vorstand Politik & Recht Oliver Süme. Stattdessen müssten europaweit einheitliche Regelungen und Standards geschaffen werden.

Den kompletten Gesetzentwurf finden Sie hier als pdf zum Download.

Jetzt Newsletter abonnieren

Wöchentlich die wichtigsten Infos zur Digitalisierung der Verwaltung und Öffentlichen Sicherheit.

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung.

Aufklappen für Details zu Ihrer Einwilligung

(ID:43132466)