Kritik am IT-Sicherheitsgesetz


IT-Sicherheitsvorfälle: Was konkret zu den Kritischen Infrastrukturen gehört, soll laut Entwurf in einer folgenden Rechtsverordnung festgeschrieben werden
Um den Schutz der Bürger vor Cyberkriminalität zu verbessern, sollen Betreiber von Webseiten sowie Access-Provider der Vorlage entsprechend verpflichtet werden, IT-Sicherheit "nach dem Stand der Technik" zu gewährleisten

(07.05.15) - Experten sehen Änderungs- und Ergänzungsbedarf bei dem von der Bundesregierung vorgelegten Entwurf eines IT-Sicherheitsgesetzes (18/4096). Während einer öffentlichen Anhörung des Innenausschusses begrüßte die überwiegende Mehrheit der geladenen Sachverständigen das Vorhaben der Regierung, gesetzliche Regelungen zur Verbesserung der IT-Sicherheit zu schaffen. Ziel der Regierungsinitiative ist es vor allem, "Kritische Infrastrukturen", also Einrichtungen, "die für das Funktionieren unseres Gemeinwesens zentral sind", wie die Regierung in dem Entwurf schreibt, besser vor Angriffen auf ihre informationstechnischen Systeme zu schützen. Dazu sollen deren Betreiber dem Entwurf zufolge künftig ein Mindestniveau an IT-Sicherheit einhalten und dem Bundesamt für Sicherheit in der Informationstechnik (BSI) IT-Sicherheitsvorfälle melden. Was konkret zu den Kritischen Infrastrukturen gehört, soll laut Entwurf in einer folgenden Rechtsverordnung festgeschrieben werden.

Um den Schutz der Bürger vor Cyberkriminalität zu verbessern, sollen Betreiber von Webseiten sowie Access-Provider der Vorlage entsprechend verpflichtet werden, IT-Sicherheit "nach dem Stand der Technik" zu gewährleisten. Zudem sollen sie IT-Sicherheitsvorfälle, die zu einem unerlaubten Zugriff auf Systeme der Nutzer oder einer Beeinträchtigung der Verfügbarkeit führen können, unverzüglich über die Bundesnetzagentur an das BSI melden und betroffene Nutzer über bekannte Störungen ihrer Systeme informieren.

Iris Plöger vom Bundesverband der Deutschen Industrie (BDI) kritisierte während der Anhörung, dass aus dem Entwurf nicht hervorgehe, welche Bereiche und Unternehmen zu den "Kritischen Infrastrukturen" gehören. Auch was die Meldepflicht angeht, so stünden "Aufwand und Nutzen in keinem Verhältnis", kritisierte sie. Zudem sei nicht nachvollziehbar, warum sich das Gesetz lediglich an private Betreiber kritischer Infrastrukturen richte. Der Kritik an der fehlenden Klarstellung, wer zu den Kritischen Infrastrukturen gehört, schloss sich Axel Wehling vom Gesamtverband der Deutschen Versicherungswirtschaft an. Skeptisch bewertete er auch die Regelung, wonach das BSI Meldungen über Angriffe an Dritte weitergeben könne. Eine solche Meldung, solle künftig tatsächlich möglich sein, müsse so erfolgen, "das kein Rückschluss auf das betroffenene Unternehmen möglich ist", forderte er.

Aus Sicht von Professor Gerrit Hornung von der Universität Passaus ist die Bestimmtheit bei der Beschreibung der Kritischen Infrastrukturen "gerade noch gewahrt". Dennoch sei es sinnvoll, die Kriterien für deren Auswahl in das Gesetz einzufügen, sagte er. Auch Professor Alexander Roßnagel von der Universität Kassel nannte die Definition der kritischen Infrastrukturen im Gesetz "ausreichend". Zugleich forderte er, die Information der Öffentlichkeit über Schutzlücken in IT-Systemen zu verbessern. "Die Information muss die Regel, die Verweigerung die Ausnahme sein", forderte Roßnagel. Der IT-Rechtsexperte Hornung bemängelte die fehlenden Sanktionen gegenüber den Unternehmen bei ausbleibender Information über erkannte Sicherheitslücken. Solche Sanktionen sehe auch die europäische IT-Sicherheitsregelung vor, die derzeit in Arbeit sei, sagte er.

Lesen Sie zum Thema "IT-Sicherheit" auch: IT SecCity.de (www.itseccity.de)

Den Fokus auf die Hersteller von Hart- und Softwareprodukten richtete Thomas Tschersich von der Deutschen Telekom AG. Man könne nicht Telekommunikationsanbietern aufbürden, Sicherheitsrisiken bei solchen Produkten zu beheben, sagte der Telekom-Vertreter. Zugleich nannte er die im Entwurf enthaltene Meldepflicht über unerlaubte Zugriffe auf Nutzersysteme "zielführend und sinnvoll". Eine Meldepflicht für "potentielle Möglichkeiten einer Verwundbarkeit" führe jedoch "ins Uferlose", befand Tschersich.

Als schärfster Kritiker der geplanten Regelung erwies sich Linus Neumann von Chaos Computer Club. Die dadurch geschaffene Bürokratie gehe zu Lasten pro-aktiver Schutzmaßnahmen, bemängelte er. Außerdem sehe der Entwurf lediglich Unternehmen als schützenswert an. Den großflächigen Angriffen auf Privatpersonen und den daraus resultierenden Schäden werde jedoch nicht entgegen getreten. Neumann wandte sich zugleich gegen die Installation des BSI als zentrale Meldestelle. Als dem Bundesinnenministerium unterstellte Behörde könne es zu Interessenkonflikten kommen, so Neumann unter Verweis auf Medienmeldungen, das BSI sei an der Entwicklung des "Bundestrojaners" beteiligt.

BSI-Präsident Michael Hange sagte hingegen, sein Amt sehe sich bereit für die aktiv-präventive Rolle, die das Gesetz dem BSI zuweise. Hange lobte den Entwurf. Er sei ein wichtiger Schritt zur Verbesserung der IT-Sicherheit "sowohl für Kritische Infrastrukturen aber auch für die Bürger als Internetnutzer".

Professor Jochen Schiller von der Freien Universität Berlin rückte kleine und mittelständische Unternehmen (KMU) in den Mittelpunkt des Interesses. Diese seien in dem Entwurf nicht erfasst, was aus seiner Sicht sogar nachvollziehbar ist. Dennoch dürfe man nicht der Fehleinschätzung unterliegen, KMU bedürften keines Schutzes. Es seien manchmal kleine Schräubchen, deren Manipulation das große Gebilde ins Wanken bringen könne, sagte Schiller und sprach sich für eine dahingehende Anpassung des Gesetzes "in einem weiteren Schritt" aus. (Deutscher Bundestag: ra)


Kostenloser Compliance-Newsletter
Ihr Compliance-Magazin.de-Newsletter hier >>>>>>


Meldungen: Bundestag, Bundesregierung, Bundesrat

  • Verbraucherschutz für Menschen mit Behinderungen

    Der Verbraucherzentrale Bundesverband (vzbv) ist nach Angaben der Bundesregierung an die Einhaltung der Bestimmungen zur Berücksichtigung der Belange von Menschen mit Behinderung und deren Organisationen gebunden.

  • Regierungsausgaben für Visagisten und Frisöre

    Die Bundesregierung macht in ihrer Antwort (20/9825) auf eine Kleine Anfrage der AfD-Fraktion (20/9504) Angaben zu den Kosten, die vom 12. Oktober bis 28. November 2023 aufgrund der Inanspruchnahme von Visagisten und Frisören durch Mitglieder der Bundesregierung, Staatssekretäre und Parlamentarische Staatssekretäre entstanden sind.

  • Benachteiligungsverbot & Mindestvergütungsanspruch

    Der Bundesrat hat keine Einwände gegen den Gesetzentwurf der Bundesregierung für ein Zweites Gesetz zur Änderung des Betriebsverfassungsgesetzes, wie aus einer Unterrichtung (20/9875) hervorgeht.

  • Union will Stärkung der Gesundheitswirtschaft

    Die Unionsfraktion fordert eine nachhaltige Stärkung der Gesundheitswirtschaft. Medizinprodukte leisteten einen wichtigen Beitrag für eine effiziente Gesundheitsversorgung und seien zugleich ein bedeutender Wirtschafts- und Arbeitsmarktfaktor, heißt es in einem Antrag (20/9735) der Fraktion.

  • Keine dauerhafte einheitliche Personenerkennung

    Die geplante Novelle zur Aktualisierung der EU-Verordnung über elektronische Identifizierungs-, Authentifizierungs- und Vertrauensdienste (electronic IDentification, Authentication and Trust Services, eIDAS) hat den Digitalausschuss beschäftigt.

Wir verwenden Cookies um unsere Website zu optimieren und Ihnen das bestmögliche Online-Erlebnis zu bieten. Mit dem Klick auf "Alle akzeptieren" erklären Sie sich damit einverstanden. Erweiterte Einstellungen