Arbeitskreis Digitale Gesellschaft

SPD Schleswig-Holstein

20. Juni 2015

IT-Sicherheit
Das IT-​Sicherheitsgesetz hält nicht, was der Name verspricht

By: Perspecsys Photos - CC BY-SA 2.0

Der Innen­aus­schuss des Bun­des­ta­ges hat am 10. Juni 2015 mit der Koali­ti­ons­mehr­heit – und gegen die Stim­men der Oppo­si­ti­on – das modi­fi­zier­te IT-​Sicherheitsgesetz (Bun­des­tags­ruck­sa­che BT-​Drs. 18/​4096, geän­der­te Fas­sung 18/​5121) beschlos­sen. Der Innen­aus­schuss hat damit den Weg für das von der Bun­des­re­gie­rung ange­streb­te Gesetz geeb­net. Bereits am Frei­tag, dem 12. Juni 2015, hat auch der Bun­des­tag das Gesetz beschlos­sen, ohne dem Ent­schlie­ßungs­an­trag der Frak­ti­on Bünd­nis 90/​Die Grü­nen (BT-​Drs. 18/​5127) statt­zu­ge­ben.

Über die Zie­le des IT-​Sicherheitsgesetzes, die sich haupt­säch­lich an die (im Geset­zes­text nicht näher spe­zi­fi­zier­te Grup­pe) Betrei­ber kri­ti­scher Infra­struk­tu­ren rich­ten, haben wir im Bei­trag „IT-​​​Sicherheitsgesetz: Zwi­schen recht­li­cher und poli­zei­li­cher Sicher­heit“ vor weni­gen Wochen berich­tet. Eine Kon­kre­ti­sie­rung erfolg­te auch nicht im Rah­men des modi­fi­zier­ten IT-​Sicherheitsgesetzes und soll Gegen­stand einer Rechts­ver­ord­nung wer­den. Das Bun­des­mi­nis­te­ri­um des Innern wird ermäch­tigt, Kri­te­ri­en zur Bestim­mung der­je­ni­gen Anla­gen fest­zu­le­gen, die als kri­ti­sche Infra­struk­tu­ren im Sin­ne des BSI-​Gesetzes ein­zu­ord­nen sind (BT-​Drs. 18/​4096, S. 30).

Durch den Ände­rungs­an­trag sol­len die Betrei­ber kri­ti­scher Infra­struk­tu­ren bei der Siche­rung ihrer Sys­te­me, Kom­po­nen­ten und Pro­zes­se stär­ker als bis­her auf die Ein­hal­tung des Stan­des der Tech­nik ver­pflich­tet wer­den. Dem Antrag zufol­ge soll­ten im Gesetz unter ande­rem Buß­geld­vor­schrif­ten fest­ge­schrie­ben wer­den, die bei Nicht­ein­hal­tung der Pflich­ten der Diens­te­an­bie­ter für den Ein­satz tech­ni­scher und orga­ni­sa­to­ri­scher Schutz­maß­nah­men gel­ten. Buß­geld­be­wehrt ist jedoch auch der Ein­satz tech­ni­scher und orga­ni­sa­to­ri­scher Maß­nah­men, der nicht dem Stand der Tech­nik ent­spricht (BT-​Drs. 18/​4096, S. 35). Bereits am 8. Juni 2015 berich­te­te heise.de im Arti­kel „Bei Ver­stö­ßen gegen das IT-​Sicherheitsgesetz soll Buß­geld dro­hen“, dass Buß­gel­der i. H. v. bis zu 100.000 Euro bei Ver­nach­läs­si­gung der Berichts­pflich­ten vor­ge­schrie­ben wer­den soll­ten.

Die Stel­lung­nah­men der jewei­li­gen Par­tei­en zum Gesetz fasst die Pres­se­stel­le des Bun­des­ta­ges wie folgt zusam­men:

„Die CSU/​CSU-​Fraktion wer­te­te den Gesetz­ent­wurf als ‚wich­ti­gen Schritt zur Ver­bes­se­rung der IT-​Sicherheit in Deutsch­land‘. Sie ver­wies auf die Not­wen­dig­keit, mehr zum Schutz der IT-​Infrastruktur zu unter­neh­men. Dabei kon­zen­trie­re man sich in dem Gesetz­ent­wurf auf die kri­ti­sche Infra­struk­tur.

Die SPD-​Fraktion sprach von einem ‚guten Gesetz‘, das euro­pa­weit sehr beach­tet wer­de, weil Deutsch­land als eines der ers­ten Län­der die­sen Weg gehe. Sie hob zudem her­vor, dass der Ände­rungs­an­trag auch eine Eva­lua­ti­on der Neu­re­ge­lung nach vier Jah­ren unter Ein­be­zie­hung eines wis­sen­schaft­li­chen Sach­ver­stän­di­gen vor­sieht.

Die Frak­ti­on Die Lin­ke plä­dier­te dafür, in das Gesetz ein ‚Ver­bot des kom­mer­zi­el­len Han­dels mit Sicher­heits­lü­cken‘ auf­zu­neh­men. Ein grund­sätz­li­ches Pro­blem sei, wie man das BSI ‚auf­stel­len‘ wol­le. Es stel­le sich die Fra­ge, ob das Bun­des­amt nicht ‚unab­hän­gig gestellt‘ wer­den sol­le.

Die Frak­ti­on Bünd­nis 90/​Die Grü­nen for­der­te die schwarz-​rote Koali­ti­on auf, den Gesetz­ent­wurf noch ein­mal zu über­den­ken. Der Begriff ‚IT-​Sicherheitsgesetz‘ sei eine ‚Falsch-​Etikettierung‘ der Vor­la­ge. Deren Vor­schrif­ten reich­ten zur Lösung des Pro­blems nicht aus. Auch kom­me der Gesetz­ent­wurf min­des­tens fünf Jah­re zu spät.“

Die Frak­tio­nen von CDU/​CSU und SPD haben sich auf Ände­run­gen des Geset­zes­ent­wur­fes, auch auf die beson­ders kri­ti­sche Pas­sa­ge, laut der Tele­kom­mu­ni­ka­ti­ons­diens­te­an­bie­ter frei­wil­lig Vor­rats­da­ten spei­chern kön­nen, um Stö­run­gen kri­ti­scher Infra­struk­tu­ren abzu­weh­ren bzw. auf­zu­klä­ren, geei­nigt (BT-​Drs. 18/​4096, S. 35). Bereits zwei Tage vor der Ent­schei­dung des Innen­aus­schus­ses gab heise.de bekannt: „Die SPD hat­te […] ange­kün­digt, dies mit­tra­gen zu wol­len.“

Inwie­weit ande­re Kri­tik­punk­te an das IT-​Sicherheitsgesetz, wie bei­spiels­wei­se die unzu­rei­chen­de Berück­sich­ti­gung der Ver­wal­tung von Regie­rung und Par­la­ment, der öffent­li­chen Bun­des­ver­wal­tung und der von ihr ein­ge­setz­ten Tech­nik im BSI-​Gesetz (vgl. BT-​Drs. 18/​4096, S. 24), künf­tig Berück­sich­ti­gung fin­den, ist unge­wiss. Der aktu­el­le Hacker­an­griff auf den Deut­schen Bun­des­tag zeigt beson­ders deut­lich die Not­wen­dig­keit, auch die­se Ein­rich­tun­gen zur Ein­hal­tung von Min­dest­stan­dards an Infor­ma­ti­ons­si­cher­heit zu ver­pflich­ten und sie als Teil der kri­ti­schen Infra­struk­tu­ren zu qua­li­fi­zie­ren. Wie die Pres­se­stel­le des Bun­des­ta­ges bekannt gab:

„Mit Blick auf die ange­grif­fe­nen IT-​Systeme des Bun­des­tags nann­te es Die­ter Jan­e­cek (Bünd­nis 90/​Die Grü­nen) ‚ganz schön pein­lich‘, ein IT-​Sicherheitsgesetz zu ver­ab­schie­den, dass bei ande­ren für IT-​Sicherheit sor­gen soll, ‚es sel­ber aber nicht hin­zu­be­kom­men‘.“

Spä­tes­tens das vor­ge­schrie­be­ne Review des Geset­zes fünf Jah­re nach dem Inkraft­tre­ten der Rechts­ver­ord­nung soll­te hier eini­ge Ant­wor­ten geben.

Das Haupt­pro­blem des IT-​Sicherheitsgesetzes bleibt nach wie vor die Nomen­kla­tur: Man spricht von IT-​Sicherheit (oder von Cyber­si­cher­heit, wie der Bun­des­in­nen­mi­nis­ter am 12. Juni 2015 im Bun­des­tag), meint aber ledig­lich die IT-​Systemsicherheit, also nur eine klei­ne, auf tech­ni­sche Aspek­te beschränk­te Unter­men­ge der Infor­ma­ti­ons­si­cher­heit. Das dürf­te das Ziel eines bes­se­ren Schut­zes der Bür­ger kaum befrie­di­gen kön­nen. Wie der Sicher­heits­ex­per­te, Boris Piwin­ger, in einem aktu­el­len White­pa­per erklärt, Infor­ma­ti­ons­si­cher­heit sei nicht gleich IT-​Sicherheit. Der wesent­li­che Unter­schied ist, dass Infor­ma­ti­ons­si­cher­heit auch den mensch­li­chen, nicht nur den tech­ni­schen Fak­tor berück­sich­tigt, der für den Erfolg von Sicher­heits­vor­fäl­len eine wich­ti­ge Rol­le spielt.

Das IT-​Sicherheitsgesetz adres­siert nur einen klei­nen Aus­schnitt eines Aus­schnitts der Infor­ma­ti­ons­si­cher­heit. Es dürf­te daher als der ers­te Schritt in Rich­tung eines wir­kungs­vol­len Schut­zes der Bür­ger – und erst recht des Schut­zes der Wirt­schaft und der Funk­ti­ons­fä­hig­keit des Staa­tes, wie der Bun­des­in­nen­mi­nis­ter das Gesetz im Bun­des­tag begrün­de­te – ver­stan­den wer­den.

Aleksandra Sowa

Lei­te­te zusam­men mit dem deut­schen Kryp­to­lo­gen Hans Dob­ber­tin das Horst Görtz Insti­tut für Sicher­heit in der Infor­ma­ti­ons­tech­nik. Dozen­tin, Fach­buch­au­to­rin (u.a. „Manage­ment der Infor­ma­ti­ons­si­cher­heit“, „IT-​Revision, IT-​Audit und IT-​Compliance“), kürz­lich erschien im Dietz-​Verlag „Digi­tal Poli­tics — so ver­än­dert das Netz die Poli­tik“. Hier äußert sie ihre pri­va­te Mei­nung.#Foto by Mark Boll­horst (mark-bollhorst.de)

More Posts

Fol­low Me:
TwitterLinkedInGoogle Plus

Schlagwörter: , , , , ,

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.