Kritik am IT-Sicherheitsgesetz
Professor Alexander Roßnagel (öffnet in neuem Tab) von der Universität Kassel findet, dass der Name des Gesetzes mehr verspricht als seine Regelungen einlösen, Linus Neumann vom Chaos Computer Club (öffnet in neuem Tab) ist der Ansicht, dass das Gesetz das Problem der IT-Sicherheit mit Bürokratie erschlägt, und für Professor Gerrit Hornung (öffnet in neuem Tab) von der Universität Passau ist der Entwurf von Bundesinnenminister Thomas de Maiziére (öffnet in neuem Tab) schlichtweg eine „kleine Vorratsdatenspeicherung“. Obwohl alle geladenen Experten der Anhörung im Innenausschuss des Deutschen Bundestags am vergangenen Montag das IT-Sicherheitsgesetz (öffnet in neuem Tab) grundsätzlich begrüßten, sahen sie zum Teil erheblichen Änderungsbedarf.
Die Bundesregierung will mit dem IT-Sicherheitsgesetz eine signifikante Verbesserung der Sicherheit informationstechnischer Systeme in Deutschland erreichen. Die IT-Sicherheit von Unternehmen und der verstärkte Schutz der Bürgerinnen und Bürger im Internet sollen durch ein Bündel von Maßnahmen erreicht werden. Dazu gehört, dass Betreiber Kritischer Infrastrukturen (öffnet in neuem Tab) ein Mindestniveau an IT-Sicherheit einhalten und dem Bundesamt für Sicherheit in der Informationstechnik (öffnet in neuem Tab) (BSI) IT-Sicherheitsvorfälle melden müssen.
Was sind „Kritische Infrastrukturen“?
Die Mehrheit der im Innenausschuss (öffnet in neuem Tab) geladenen Experten halten die Definition des Begriffs „Kritische Infrastrukturen“ im IT-Sicherheitsgesetz allerdings nicht für hinreichend. Prof. Alexander Roßnagel vom Institut für Wirtschaftsrecht an der Universität Kassel (öffnet in neuem Tab) führt in seiner Stellungnahme (öffnet in neuem Tab) aus, es sei zweifelhaft, ob es ausreiche, die nähere Definition des abstrakten Begriffs „Kritische Infrastrukturen“ per Verordnung durch das Bundesinnenministerium zu bestimmen. Dagegen spreche, „dass die Adressaten des Gesetzes in diesem selbst nicht eindeutig benannt werden, obwohl das Gesetz für sie schwerwiegende Rechtsfolgen festlegt.“ Der Gesetzentwurf beinhaltet noch eine Reihe weiterer Formulierungen, die der Juraprofessor für ungenau und damit rechtlich problematisch hält. So werde beispielsweise mit der Formulierung, dass die Unternehmen den aktuellen „Stand der Technik“ lediglich „berücksichtigen“ müssten, die Einhaltung der Sicherheitsstandards nicht gewährleistet. „Berücksichtigen“ bedeute, dass von dem angestrebten Sicherheitsniveau nach unten abgewichen werden könne, die Einhaltung sei somit nicht verpflichtend.
Plädoyer für anonyme Meldepflicht
Im Fokus der Kritik der Experten stehen auch die Regelungen zur Meldepflicht, wenn Unternehmen Opfer von Cyberangriffen geworden sind. Dr. Axel Wehling (öffnet in neuem Tab) vom Gesamtverband der Deutschen Versicherungswirtschaft (öffnet in neuem Tab) forderte in der Anhörung eine „freiwillige und anonyme Meldepflicht“. Nur so könne eine „Kultur der Informationspflicht“ aufgebaut werden. Thomas Tschersich (öffnet in neuem Tab), Leiter der Abteilung Sicherheitsdienste der Deutschen Telekom AG, spricht sich in seiner Stellungnahme (öffnet in neuem Tab) gegen eine Absenkung der Meldeschwellen aus, nach der vorgesehen ist, dass bereits Sicherheitsverletzungen, die zu einer Störung führen könnten, meldepflichtig werden.
Die Leiterin der Abteilung Digitalisierung des BDI (öffnet in neuem Tab), Iris Plöger, fordert in ihrer Stellungnahme (öffnet in neuem Tab), dass die grundsätzliche Möglichkeit zur anonymisierten bzw. pseudonymisierten Meldung einer Störung für alle Kritischen Infrastrukturbetreiber gleichermaßen gelten müsse. Nach der im Gesetz vorgesehenen Regelung sei diese für die Energiewirtschaft jedoch völlig ausgeschlossen. Der BDI empfiehlt daher eine „Pseudonymisierung (öffnet in neuem Tab) der Meldepflicht via Treuhänder“. Der Industrieverband benennt in seiner Stellungnahme außerdem den zu erwartenden Mehraufwand, der den Firmen durch die Meldepflicht entstehen würde. Allein die Bürokratiekosten beliefen sich einer Berechnung von KPMG zu Folge auf insgesamt 1,1 Milliarden Euro im Jahr. Hinzu kämen erhöhte Personalkosten und finanzielle Belastungen aufgrund etwaiger Reputationsschäden. „Der Aufwand und Nutzen der Meldepflicht steht in keinem Verhältnis“, bilanzierte Iris Plöger in der Anhörung.
Ausweitung der Datenspeicherung
Insbesondere die Interessen der Kunden hatte hingegen Linus Neumann vom Chaos Computer Club (CCC) im Blick. Die Pläne der Bundesregierung, dass Telekommunikationsunternehmen (öffnet in neuem Tab) in noch mehr Fällen die Bestands- und Verkehrsdaten ihrer Kunden speichern sollen, um Cyberangriffe (öffnet in neuem Tab) aufzuklären, bezeichnete der IT-Experte als Unsinn. Bei Störungen handle es sich seiner Ansicht nach um akute Fälle, bei denen ein zurückliegender Datensatz gar nicht helfe beziehungsweise die Aufzeichnungen von wenigen Stunden oder Tagen ausreichend seien. Die beiden geladenen Rechtswissenschaftler waren ähnlicher Meinung. Prof. Gerrit Hornung sind die im IT-Sicherheitsgesetz (öffnet in neuem Tab) benannten Kriterien für das Sammeln von Daten zu vage. Prof. Alexander Roßnagel erklärte sich zwar damit einverstanden, dass Diensteanbieter Vorsorgemaßnahmen treffen könnten, plädierte aber für ein Stufensystem. Man dürfe nicht alle Daten aller Nutzer für einen unbestimmten Zeitraum aufheben, sondern lediglich die IP-Adressen der betroffenen Kunden im Falle eines tatsächlichen Angriffs speichern. Er sprach sich außerdem dafür aus, klare Eingriffsschwellen, spezielle Sicherheitsvorgaben und Ausnahmen für Berufsgeheimnisträger im IT-Sicherheitsgesetz zu definieren.
Sanktions- und Haftungsbestimmungen fehlen
Was den geladenen Experten darüber hinaus im IT-Sicherheitsgesetz fehlt, sind Sanktionsmöglichkeiten für den Fall, dass ein Unternehmen der vorgeschriebenen Meldepflicht nicht nachkommt oder seine IT-Systeme nicht dem Stand der Technik entsprechend schützt. Prof. Hornung wies darauf hin, dass die EU derartige Sanktionsmöglichkeiten in ihrer künftigen IT-Sicherheitsregelung vorsehe. Prof. Jochen Schiller (öffnet in neuem Tab), Leiter der Arbeitsgruppe Computersysteme und Telematik am Institut für Informatik der Freien Universität Berlin (öffnet in neuem Tab), spricht sich in seiner Stellungnahme (öffnet in neuem Tab) außerdem dafür aus, die Regelung für die Haftung bei Schäden anzupassen. „Wenn die im Entwurf gesetzten Mindeststandards, also der Stand der Technik, nicht erfüllt waren und ein Schaden entstanden ist, so ist auch folgerichtig, dass der (Mit-)Verursacher hierfür (mit-)haftet.“ Ähnlich sah das der Telekom-Vertreter Thomas Tschersich. Das Beheben von Sicherheitsrisiken, etwa durch Software-Updates oder eine Anpassung von Systemkonfigurationen, müsse in der Verantwortung der jeweiligen Anbieter liegen. Es wäre unbillig, dies den Telekommunikationsunternehmen aufzubürden, sagte der Telekom-Vertreter. Linus Neumann vertrat in der Anhörung die Ansicht, dass eine einfache Haftung von Hard- und Softwareproduzenten bei Fahrlässigkeit zu deutlich mehr IT-Sicherheit führen würde.
Analog zu der Haftungsfrage wendet sich die Deutsche Telekom gegen die Vorschrift, dass Telekommunikationsanbieter ihre Kunden über Störungen informieren müssen, die von dessen Datenverarbeitungssystemen (öffnet in neuem Tab) ausgehen. Wichtig sei im Störungsfall die Information aus erster Hand. Störungen von Datenverarbeitungssystemen müssten daher den Nutzern selbst bzw. von den Herstellern und Betreibern der Datenverarbeitungssysteme, also den Störern, gemeldet werden, heißt es in der Stellungnahme. Prof. Schiller entgegnete in der Anhörung darauf, dass die Kunden bei einem Schadensfall an ihrem Auto auch nicht direkt die Zulieferer kontaktieren, sondern ihren Händler ansprechen würden.
BSI sollte unabhängig werden
Ob das Bundesamt für Sicherheit in der Informationstechnik als zentrale Meldestelle für Cyberangriffe geeignet ist, bezweifelte in der Anhörung der Vertreter des Chaos Computer Clubs. Als dem Bundesinnenministerium unterstellte Behörde könne es zu Interessenkonflikten kommen, kritisierte Linus Neumann und verwies auf Medienmeldungen, dass das BSI an der Entwicklung des „Bundestrojaners (öffnet in neuem Tab)“ beteiligt gewesen sei. Er sprach sich dafür aus, dass das BSI eine unabhängige Bundesbehörde werden müsse. Dieser Meinung ist auch Prof. Schiller. Zur Steigerung der Akzeptanz des BSI plädiert er in seiner Stellungnahme dafür, die Behörde des Bundesinnenministeriums in eine neutrale, unabhängige Einrichtung mit entsprechender Ausstattung zu überführen, damit sie die im Gesetz geforderten Mindeststandards tatsächlich durchsetzen könne.
Der IT-Rechtler Prof. Hornung warnte in der Anhörung zum IT-Sicherheitsgesetz, das BSI dürfe sensible Informationen weder an das Bundeskriminalamt (öffnet in neuem Tab) (BKA) oder den Bundesnachrichtendienst (öffnet in neuem Tab) (BND) noch an Sicherheitsbehörden oder internationale Partner weitergeben. Er befürchte aber, dass die laut IT-Sicherheitsgesetz geplanten 50 neuen Stellen beim Bundesamt für Verfassungsschutz (öffnet in neuem Tab) (BfV) darauf hinweisen, dass dort ein „substanzieller Teil der Auswertung“ der Meldungen erfolgen solle.
Empfehlung der Redaktion
Autor:in
