IT-Sicherheitsgesetz 2.0: Politik muss laut eco Reißleine ziehen

Vertrauen in digitale Kommunikation darf nicht verspielt werden, fordert der Verband der Internetwirtschaft (eco)

[datensicherheit.de, 26.02.2021] Der eco – Verband der Internetwirtschaft e.V. kritisiert nach eigenen Angaben die geplanten Neuregelungen zum IT-Sicherheitsgesetz 2.0. Der stellvertretende eco-Vorstandsvorsitzende, Klaus Landefeld, fragt in seinem Kommentar: „Wer überwacht die Überwacher, wenn die Bundesregierung ganz klar staatliches Hacking fördert?“

Foto: eco e.V.

Klaus Landefeld: Wer überwacht die Überwacher…?

eco kritisiert Vorhaben als „unverhältnismäßig und schädlich“

Das vom Bundeskabinett kurz vor dem Jahreswechsel im Dezember 2020 beschlossene Zweite Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz 2.0) soll unter anderem den Schutz der Bundesverwaltung, Kritischer Infrastrukturen (KRITIS), sowie von Unternehmen im besonderen öffentlichen Interesse und dem Verbraucherschutz regeln.
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) soll demnach in diesem Rahmen weitere Befugnisse erhalten, um IT-Unternehmen umfassend zu kontrollieren. Gleichzeitig aber solle das BSI der Öffentlichkeit wichtige Sicherheitsinformationen vorenthalten dürfen. Der eco kritisiert dieses Vorhaben als „unverhältnismäßig und schädlich für das allgemeine Vertrauen in IT-Systeme“.

eco warnt vor weiteren Planungs- und Rechtsunsicherheiten für Unternehmen

„Das IT-Sicherheitsgesetz 2.0 hätte einen sinnvollen Rechtsrahmen bilden können, um wirksam Cyber-Kriminalität zu bekämpfen und die Sicherheit digitaler Infrastrukturen zu erhöhen“, so Landefeld. Stattdessen rückten Sorgen um die Behördenwünsche in den Vordergrund, „wenn Technologie per Allgemeinverfügung als nicht vertrauenswürdig eingestuft und deren Einsatz weitgehend untersagt werden kann“.
So wolle das neue Gesetz nicht nur Betreiber Kritischer Infrastrukturen zur umfangreichen Dokumentation von IT-Sicherheitslücken verpflichten, sondern auch eine Vielzahl weiterer Unternehmen. Wer konkret unter die neu eingeführte Kategorie „Unternehmen von besonderem öffentlichen Interesse“ fällt, sei bislang jedoch nicht einmal abschließend definiert. Landefeld warnt: „Bei Unternehmen führt das zu weiteren Planungs- und Rechtsunsicherheiten.“

Staatliche Akteure erhalten Anreize, Softwarelücken geheimzuhalten, moniert der eco

Umgekehrt könne das BSI mit dem neuen Gesetz Informationen über Sicherheitslücken zurückhalten, „sofern es Sicherheitsbehörden gegenüber zur Verschwiegenheit verpflichtet ist“. Staatliche Akteure erhielten dadurch Anreize, Softwarelücken geheimzuhalten, um sich darüber weitere Informationen zu beschaffen oder diese gegebenenfalls für eigene Zwecke auszunutzen.
Dies wiederum schaffe Einfallstore für Cyber-Kriminelle und Industriespionage – es schwäche die allgemeine IT-Sicherheit erheblich. Auch könne das BSI Datenverkehr an von ihm benannte Server umleiten lassen, selbst Angriffe auf IT-Systeme vortäuschen und im Zuge dessen auch in diese Systeme eindringen.

eco-Forderung: Wertesystem einer digitalen Gesellschaft überdenken!

Landefeld: „Hier werden politische Interessen vor die IT-Sicherheit gestellt. Warum sind Unternehmen bei Sicherheitsvorfällen zu einer akribischen Meldepflicht an das BSI verpflichtet, aber staatliche Behörden dürfen wichtige Sicherheitsinformationen den Unternehmen vorenthalten? Wer überwacht die Überwacher, wenn die Bundesregierung ganz klar staatliches Hacking fördert?“
Der Trend dazu sei klar, dies sehe man auch schon beim geplanten BND-Gesetz. Faktisch dürfe der BND demnach 99,9 Prozent aller weltweiten Datenverkehre überwachen und nahezu nach Belieben in Computersysteme eindringen. Landefeld betont: „Wenn die Politik jetzt nicht gänzlich das Vertrauen in digitale Kommunikation und Dienste verspielen will, muss sie jetzt die Reißleine ziehen und das Wertesystem einer digitalen Gesellschaft überdenken.“

eco hatte Politik bereits vor vorschneller nationaler Regulierung gewarnt

Eine öffentliche Anhörung zum IT-Sicherheitsgesetz 2.0 sei für Montag, 1. März 2021, im Bundestag angesetzt und werde ab 14 Uhr live übertragen. Bereits im Vorfeld habe der Verband der Internetwirtschaft kritisiert, dass eine Beteiligung am Gesetzgebungsverfahren durch betroffene Unternehmen sowie Verbände und private Nutzer faktisch kaum möglich gewesen sei: „Ende vergangenen Jahres hatte das Bundesinnenministerium nach fast zwei Jahren Wartezeit einen knapp 100 Seiten umfassenden Referentenentwurf zum IT-Sicherheitsgesetz vorgelegt und eine Frist von lediglich 26 Stunden zur Kommentierung eingeräumt“, so der eco.
Weiter habe eco die Politik vor einer vorschnellen nationalen Regulierung gewarnt, „bevor auf europäischer Ebene nicht die Überarbeitung der NIS-Richtlinie abgeschlossen ist, welche ebenfalls im Dezember vorgelegt wurde“.

Weitere Informationen zum Thema:

datensicherheit.de, 16.12.2020
eco warnt vor Schwächung der Vertrauenswürdigkeit digitaler Kommunikation / Staatliche Überwachung statt Erhöhung der IT-Sicherheit in der eco-Kritik

datensicherheit.de, 10.12.2020
IT-Sicherheitsgesetz 2.0: eco warnt vor vorschneller nationaler Regulierung / Der Verband der Internetwirtschaft (eco) befürchtet hohes Risiko für Unternehmen und private Nutzer

datensicherheit.de, 15.05.2020
eco-Kommentar zum IT-Sicherheitsgesetz 2.0 / Scharfe Kritik des Verbands der Internetwirtschaft am Entwurf