Skip to main content
Blogbeitrag

Neues vom IT-Sicherheitsgesetz 2.0

Lange ist es still gewesen um das IT-Sicherheitsgesetz 2.0 (IT-SiG 2.0), nachdem im März vergangenen Jahres der erste Referentenentwurf „geleaked“ wurde. Dort, wo das erste IT-Sicherheitsgesetz vor fünf Jahren mit strengen IT-Sicherheitsanforderungen für Kritische Infrastrukturen den Anfang machte, soll das IT-SiG 2.0 nun einige Schritte weitergehen und nicht nur der veränderten Bedrohungslage, sondern auch der Änderung der Nutzungsgewohnheiten für vernetzte IT Rechnung tragen.

Doch schon der erste Entwurf zum IT-SiG 2.0 war erheblicher Kritik ausgesetzt – nicht zuletzt auch wegen der umstrittenen Frage, ob Komponenten ausländischer Hersteller – namentlich Huawei – innerhalb deutscher kritischer Telekommunikationsinfrastruktur im Rahmen des 5G-Ausbaus eingesetzt werden dürfen (Deutsche Welle). Der zweite Referentenentwurf für das IT-SiG 2.0, der im Mai dieses Jahres an die Öffentlichkeit gelangte (intrapol.org), greift das Thema 5G zwar nicht direkt auf, lässt aber durchblicken, warum die Debatte seinerzeit so viel Sprengstoff enthielt: So sollen in Zukunft „nicht vertrauenswürdige“ Hersteller von kritischen Komponenten vom Betrieb zentraler Infrastrukturen ausgeschlossen werden. Wenn der Hersteller aber in der Lage ist, eine sogenannte „Garantieerklärung“ abzugeben, die die Sicherheit des Produktes bescheinigt, dürfte es im Regelfall keine Probleme geben. Fraglich ist allerdings, wie das im Zeitalter von Open Source und global verteilten Drittzulieferern für Hard- und Software wirklich möglich sein soll.

Bei einem weiteren Blick in den neuen Entwurf des IT-SiG 2.0 wird schnell deutlich, dass das nicht der einzige Regelungsvorstoß des Bundesinnenministeriums ist, über den man streiten kann. Weiter geht es z.B. beim Befugnisausbau des BSI als „Superbehörde“ zur IT-Sicherheit: immer mehr soll der „Stand der Technik“ zur IT-Sicherheit durch Technische Richtlinien (sogenannte BSI-TR) national definiert werden, was vor dem Hintergrund einschlägiger europäischer und globaler Normen und Standards nur wenig sinnvoll erscheint. Auch erhält die Behörde immer mehr Befugnisse zur Informationssammlung – und schon bisher wird der Datenschutz durch das BSI-Gesetz aufgeweicht (beck.de). Eine Regelung mit einer maximalen Speicherfrist für Protokolldaten für die Dauer von 18 Monaten erinnert nur allzu sehr an die uralte Debatte zur Vorratsdatenspeicherung. Kritische Infrastrukturen sollen künftig dazu verpflichtet werden, eine Liste zum Betrieb notwendiger, besonders sensibler Komponenten an die Behörde zu übermitteln. Dies sind allerdings höchst sensible Daten, die eventuell sogar Betriebs- und Geschäftsgeheimnisse enthalten könnten. Die Liste der Maßnahmen ließe sich noch beliebig fortsetzen: Befugnisse für den Zugriff auf Kundendateien in der Telekommunikation, Ausbau der Ermittlungs- und Auskunftsbefugnisse gegenüber privaten Stellen, Durchführung von Portscans und der Betrieb von Honeypots und Sinkholes (das BSI als „Hackerbehörde“, netzpolitik), bis hin zur Tätigkeit als nationale Behörde für die Cybersicherheitszertifizierung im Sinne des EU Cybersecurity Act.

Dass das BSI nach wie vor dem Innenministerium nachgeordnet ist, welches gleichzeitig auch für Behörden wie Verfassungsschutz, BKA und Bundespolizei zuständig ist, lässt im Angesicht dieses Befugnisausbaus nicht nur die Grenzen zwischen Schutz und Angriff zunehmend verschwimmen. Mehr noch: der Entwurf für ein zweites IT-Sicherheitsgesetz lässt das BSI, in Verbindung mit den schwachen Datenschutzregelungen, mehr und mehr wie eine Datenkrake aussehen – und das wäre nicht die erste ihrer Art. Dass daneben auch Themen wie digitaler Verbraucherschutz im IoT (Internet of Things) in dem Gesetzentwurf eine Rolle spielen, erscheint vor dem Hintergrund dieses massiven und einseitigen Befugnisausbaus nahezu vernachlässigbar.

Diesen Beitrag hat Dennis-Kenji Kipker verfasst, der sich u.a. im Vorstand der Europäischen Akademie für Informationsfreiheit und Datenschutz engagiert.