GI-Arbeitskreis empfiehlt Nachbesserungen beim „IT-Sicherheitsgesetz 2.0“
Der Präsidiumsarbeitskreis „Datenschutz und IT-Sicherheit“ nimmt Stellung zum Referentenentwurf des Bundesministeriums des Innern, für Bau und Heimat für ein zweites Gesetzes zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz 2.0 – IT-SiG 2.0).
Ende März hat das Bundesministerium des Innern, für Bauen und Heimat einen Entwurf für ein „IT-Sicherheitsgesetz 2.0“ vorgelegt. Dieser befindet sich derzeit in der Ressortabstimmung. Der Präsidiumsarbeitskreis Datenschutz und IT-Sicherheit der Gesellschaft für Informatik (GI) begrüßt die Intention des Bundesministeriums des Inneren, für Bau und Heimat (BMI) mit der Reform des IT-Sicherheitsgesetzes (IT-SiG) langfristig tragfähige Konzepte zu entwickeln. Hierzu sollen durchaus sinnvolle Maßnahmen, wie die Einführung eines Sicherheitskennzeichens für IT-Produkte bis hin zu vernetzten Haushaltsgeräten, ergriffen werden. An einigen Stellen weist der Entwurf aber deutlichen Verbesserungsbedarf auf.
Alexander von Gernler, Vizepräsident der Gesellschaft für Informatik hierzu: „Der Gesetzentwurf des IT-Sicherheitsgesetzes 2.0 scheint mit den vorgeschlagenen Einzelmaßnahmen eher punktuell Spezifika einzelner Sicherheitsvorfälle aus der jüngeren Vergangenheit zu adressieren, wie etwa die Angriffe auf Telekom-Router im Jahr 2016, den illegalen Waffenhandel im Darknet oder das Politiker-Doxing aus dem Jahr 2018. Viel wichtiger wäre dagegen gewesen, die notwendige Strukturreform der deutschen IT-Sicherheitsbehörden voran zu treiben. Deshalb empfehlen wir einige Nachbesserungen, insbesondere das Herauslösen des Bundesamts für Sicherheit in der Informationstechnik (BSI) aus der Weisungsbefugnis des Bundesinnenministeriums.“
Der Präsidiumsarbeitskreis Datenschutz und IT-Sicherheit der Gesellschaft für Informatik (GI) merkt insbesondere die folgenden Punkte an:
1. Um die IT-Sicherheit Deutschlands langfristig zu stärken, empfiehlt der Präsidiumsarbeitskreis Datenschutz und IT-Sicherheit der Gesellschaft für Informatik (GI), das Bundesamt für Sicherheit in der Informationstechnik (BSI) als weisungsunabhängige Behörde zu etablieren.
Im Zuge der Novellierung des IT-Sicherheitsgesetzes sollte das Bundesamt für Sicherheit in der Informationstechnik (BSI) endlich weisungsunabhängig vom Bundesministerium des Inneren, für Bau und Heimat (BMI) werden, um sich ohne Interessenskonflikte dem Schutz der IT-Sicherheit widmen zu können. Interessenskonflikte bestehen insbesondere zwischen der Aufgabe, die Schutzfähigkeit deutscher IT-Systeme zu erhöhen und der Befugnis, ihm bekannte oder gekaufte Sicherheitslücken nicht zu veröffentlichen, weil andere Sicherheitsbehörden wie BKA, BfV etc. diese ausnutzen wollen. Damit kann das Sicherheitsniveau von Unternehmen und Privaten stark eingeschränkt werden.
2. Die geforderte Vertrauenswürdigkeitserklärung für KRITIS-Kernkomponenten scheint unausgereift.
Angesichts der globalisierten Beschaffung von Komponenten ist ihr Ursprung gar nicht mehr seriös nachvollziehbar – wie Herkunft, Funktionalität, innere Struktur und Sicherheitseigenschaften. Der Präsidiumsarbeitskreis Datenschutz und IT-Sicherheit der Gesellschaft für Informatik (GI) empfiehlt, auf stärkere digitale Souveränität hinzuwirken und mittelfristig wieder eine nationale/europäische IT-Industrie zu etablieren.
3. Der Präsidiumsarbeitskreis Datenschutz und IT-Sicherheit der Gesellschaft für Informatik (GI) fordert, bei der Weiterentwicklung des IT-Sicherheitsgesetzes auch das Problemfeld „sichere E-Mail“ zu adressieren.
Um die grundgesetzlich garantierte Vertraulichkeit der Kommunikation sicherzustellen, muss endlich an Lösungen zur Verbesserung der E-Mail-Kommunikation gearbeitet werden. Dies deckt sich mit Absicht der Bundesregierung, Deutschland zum „Verschlüsselungsstandort Nr. 1“ zu machen. Im IT-SiG sollte daher eine Zertifizierungsstelle mit dem Ziel „Sichere E-Mail für alle“ vorgesehen werden, über welche Bürgerinnen und Bürger in einfacher Weise, web-basiert und entgeltfrei, Schlüssel und Zertifikate erhalten können.
4. Der Präsidiumsarbeitskreis Datenschutz und IT-Sicherheit der Gesellschaft für Informatik (GI) kritisiert, dass dem BSI Eingriffe in die Verschlüsselung (Entschlüsseln der Nachrichten) der Behördenkommunikation ermöglicht werden sollen. Dies gefährdet die IT-Sicherheit Deutschlands im Allgemeinen sowie die Kommunikationstechnik des Bundes im Speziellen.
Die Befugnis wird mit der Notwendigkeit begründet, verdächtige Aktivitäten von Schadsoftware aufzudecken. Es bleibt jedoch äußerst fraglich, wie sichergestellt werden kann, dass nicht auch feindliche Akteure die so geschaffenen Eingriffsmöglichkeiten ausnutzen. Der Präsidiumsarbeitskreis Datenschutz und IT-Sicherheit der Gesellschaft für Informatik (GI)befürchtet fatale Folgen für die IT-Sicherheit der Behörden.
5. Der Präsidiumsarbeitskreis Datenschutz und IT-Sicherheit der Gesellschaft für Informatik (GI) empfiehlt, den EU-Cybersecurity-Act im IT-Sicherheitsgesetz 2.0 stärker zu berücksichtigen.
Am 27. Juni 2019 trat der EU Cybersecurity Act in Kraft. Mit der europäischen Verordnung wird zum einen das Mandat der EU-Cybersicherheitsagentur (Agentur der Europäischen Union für Netz- und Informationssicherheit, ENISA) gestärkt und zum anderen ein EU-weit geltendes Rahmenwerk für die IT-Sicherheitszertifizierung von Produkten, Dienstleistungen und Prozessen etabliert. Durch die Verordnung können Hersteller ihre IT-Produkte, Dienstleistungen und Prozesse freiwillig zertifizieren lassen, um deren IT-Sicherheitsniveau transparent zu machen.
Die Stellungnahme des Präsidiumsarbeitskreis „Datenschutz und IT-Sicherheit“ der Gesellschaft für Informatik e.V. (GI) zum Referentenentwurf des Bundesministeriums des Innern, für Bau und Heimat eines Zweiten Gesetzes zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz 2.0 – IT-SiG 2.0) kannHIER heruntergeladen werden.
Über den Präsidiumsarbeitskreis Datenschutz und IT-Sicherheit der Gesellschaft für Informatik (GI)
Sicherheits- und Datenschutzaspekte werden stark zunehmend von Gesellschaft, Unternehmen und auch der Politik adressiert. In der GI befassen sich eine Vielzahl von Fachbereichen (u.a. Sicherheit – Schutz und Zuverlässigkeit) mit diesen Themen, so dass das Präsidium den alle Fachbereiche übergreifenden Arbeitskreis Datenschutz und IT-Sicherheit mit der Bearbeitung beauftragt hat. Weitere Informationen finden Sie unter https://pak-datenschutz.gi.de/
Über die Gesellschaft für Informatik e.V. (GI)
Die Gesellschaft für Informatik e.V. (GI) ist mit rund 20.000 persönlichen und 250 korporativen Mitgliedern die größte und wichtigste Fachgesellschaft für Informatik im deutschsprachigen Raum und vertritt seit 1969 die Interessen der Informatikerinnen und Informatiker in Wissenschaft, Wirtschaft, öffentlicher Verwaltung, Gesellschaft und Politik. Mit 14 Fachbereichen, über 30 aktiven Regionalgruppen und unzähligen Fachgruppen ist die GI Plattform und Sprachrohr für alle Disziplinen in der Informatik. Weitere Informationen finden Sie unter www.gi.de.
