20. Juni 2015
IT-Sicherheit
Das IT-Sicherheitsgesetz hält nicht, was der Name verspricht
Der Innenausschuss des Bundestages hat am 10. Juni 2015 mit der Koalitionsmehrheit – und gegen die Stimmen der Opposition – das modifizierte IT-Sicherheitsgesetz (Bundestagsrucksache BT-Drs. 18/4096, geänderte Fassung 18/5121) beschlossen. Der Innenausschuss hat damit den Weg für das von der Bundesregierung angestrebte Gesetz geebnet. Bereits am Freitag, dem 12. Juni 2015, hat auch der Bundestag das Gesetz beschlossen, ohne dem Entschließungsantrag der Fraktion Bündnis 90/Die Grünen (BT-Drs. 18/5127) stattzugeben.
Über die Ziele des IT-Sicherheitsgesetzes, die sich hauptsächlich an die (im Gesetzestext nicht näher spezifizierte Gruppe) Betreiber kritischer Infrastrukturen richten, haben wir im Beitrag „IT-Sicherheitsgesetz: Zwischen rechtlicher und polizeilicher Sicherheit“ vor wenigen Wochen berichtet. Eine Konkretisierung erfolgte auch nicht im Rahmen des modifizierten IT-Sicherheitsgesetzes und soll Gegenstand einer Rechtsverordnung werden. Das Bundesministerium des Innern wird ermächtigt, Kriterien zur Bestimmung derjenigen Anlagen festzulegen, die als kritische Infrastrukturen im Sinne des BSI-Gesetzes einzuordnen sind (BT-Drs. 18/4096, S. 30).
Durch den Änderungsantrag sollen die Betreiber kritischer Infrastrukturen bei der Sicherung ihrer Systeme, Komponenten und Prozesse stärker als bisher auf die Einhaltung des Standes der Technik verpflichtet werden. Dem Antrag zufolge sollten im Gesetz unter anderem Bußgeldvorschriften festgeschrieben werden, die bei Nichteinhaltung der Pflichten der Diensteanbieter für den Einsatz technischer und organisatorischer Schutzmaßnahmen gelten. Bußgeldbewehrt ist jedoch auch der Einsatz technischer und organisatorischer Maßnahmen, der nicht dem Stand der Technik entspricht (BT-Drs. 18/4096, S. 35). Bereits am 8. Juni 2015 berichtete heise.de im Artikel „Bei Verstößen gegen das IT-Sicherheitsgesetz soll Bußgeld drohen“, dass Bußgelder i. H. v. bis zu 100.000 Euro bei Vernachlässigung der Berichtspflichten vorgeschrieben werden sollten.
Die Stellungnahmen der jeweiligen Parteien zum Gesetz fasst die Pressestelle des Bundestages wie folgt zusammen:
„Die CSU/CSU-Fraktion wertete den Gesetzentwurf als ‚wichtigen Schritt zur Verbesserung der IT-Sicherheit in Deutschland‘. Sie verwies auf die Notwendigkeit, mehr zum Schutz der IT-Infrastruktur zu unternehmen. Dabei konzentriere man sich in dem Gesetzentwurf auf die kritische Infrastruktur.
Die SPD-Fraktion sprach von einem ‚guten Gesetz‘, das europaweit sehr beachtet werde, weil Deutschland als eines der ersten Länder diesen Weg gehe. Sie hob zudem hervor, dass der Änderungsantrag auch eine Evaluation der Neuregelung nach vier Jahren unter Einbeziehung eines wissenschaftlichen Sachverständigen vorsieht.
Die Fraktion Die Linke plädierte dafür, in das Gesetz ein ‚Verbot des kommerziellen Handels mit Sicherheitslücken‘ aufzunehmen. Ein grundsätzliches Problem sei, wie man das BSI ‚aufstellen‘ wolle. Es stelle sich die Frage, ob das Bundesamt nicht ‚unabhängig gestellt‘ werden solle.
Die Fraktion Bündnis 90/Die Grünen forderte die schwarz-rote Koalition auf, den Gesetzentwurf noch einmal zu überdenken. Der Begriff ‚IT-Sicherheitsgesetz‘ sei eine ‚Falsch-Etikettierung‘ der Vorlage. Deren Vorschriften reichten zur Lösung des Problems nicht aus. Auch komme der Gesetzentwurf mindestens fünf Jahre zu spät.“
Die Fraktionen von CDU/CSU und SPD haben sich auf Änderungen des Gesetzesentwurfes, auch auf die besonders kritische Passage, laut der Telekommunikationsdiensteanbieter freiwillig Vorratsdaten speichern können, um Störungen kritischer Infrastrukturen abzuwehren bzw. aufzuklären, geeinigt (BT-Drs. 18/4096, S. 35). Bereits zwei Tage vor der Entscheidung des Innenausschusses gab heise.de bekannt: „Die SPD hatte […] angekündigt, dies mittragen zu wollen.“
Inwieweit andere Kritikpunkte an das IT-Sicherheitsgesetz, wie beispielsweise die unzureichende Berücksichtigung der Verwaltung von Regierung und Parlament, der öffentlichen Bundesverwaltung und der von ihr eingesetzten Technik im BSI-Gesetz (vgl. BT-Drs. 18/4096, S. 24), künftig Berücksichtigung finden, ist ungewiss. Der aktuelle Hackerangriff auf den Deutschen Bundestag zeigt besonders deutlich die Notwendigkeit, auch diese Einrichtungen zur Einhaltung von Mindeststandards an Informationssicherheit zu verpflichten und sie als Teil der kritischen Infrastrukturen zu qualifizieren. Wie die Pressestelle des Bundestages bekannt gab:
„Mit Blick auf die angegriffenen IT-Systeme des Bundestags nannte es Dieter Janecek (Bündnis 90/Die Grünen) ‚ganz schön peinlich‘, ein IT-Sicherheitsgesetz zu verabschieden, dass bei anderen für IT-Sicherheit sorgen soll, ‚es selber aber nicht hinzubekommen‘.“
Spätestens das vorgeschriebene Review des Gesetzes fünf Jahre nach dem Inkrafttreten der Rechtsverordnung sollte hier einige Antworten geben.
Das Hauptproblem des IT-Sicherheitsgesetzes bleibt nach wie vor die Nomenklatur: Man spricht von IT-Sicherheit (oder von Cybersicherheit, wie der Bundesinnenminister am 12. Juni 2015 im Bundestag), meint aber lediglich die IT-Systemsicherheit, also nur eine kleine, auf technische Aspekte beschränkte Untermenge der Informationssicherheit. Das dürfte das Ziel eines besseren Schutzes der Bürger kaum befriedigen können. Wie der Sicherheitsexperte, Boris Piwinger, in einem aktuellen Whitepaper erklärt, Informationssicherheit sei nicht gleich IT-Sicherheit. Der wesentliche Unterschied ist, dass Informationssicherheit auch den menschlichen, nicht nur den technischen Faktor berücksichtigt, der für den Erfolg von Sicherheitsvorfällen eine wichtige Rolle spielt.
Das IT-Sicherheitsgesetz adressiert nur einen kleinen Ausschnitt eines Ausschnitts der Informationssicherheit. Es dürfte daher als der erste Schritt in Richtung eines wirkungsvollen Schutzes der Bürger – und erst recht des Schutzes der Wirtschaft und der Funktionsfähigkeit des Staates, wie der Bundesinnenminister das Gesetz im Bundestag begründete – verstanden werden.
Aleksandra Sowa
Leitete zusammen mit dem deutschen Kryptologen Hans Dobbertin das Horst Görtz Institut für Sicherheit in der Informationstechnik. Dozentin, Fachbuchautorin (u.a. "Management der Informationssicherheit", "IT-Revision, IT-Audit und IT-Compliance"). Im Dietz-Verlag erschienen: "Digital Politics - so verändert das Netz die Politik". Hier äußert sie ihre private Meinung. #Foto by Mark Bollhorst (mark-bollhorst.de)
Follow Me:
