[datensicherheit.de, 07.01.2026] Der eco – Verband der Internetwirtschaft e.V. nimmt den jüngsten Stromausfall in Berlin zum Anlass, in seiner aktuellen Stellungnahme auf die Verwundbarkeit Kritischer Infrastruktur (KRITIS) warnend hinzuweisen. Der Verband fordert in diesem Zusammenhang die zügige Verabschiedung des KRITIS-Dachgesetzes, um eben einen sektorenübergreifenden, praxistauglichen Rechtsrahmen für den physischen Schutz Kritischer Infrastrukturen zu schaffen.

Foto: eco

Klaus Landefeld fordert für den eco, den KRITIS-Schutz dauerhaft als prioritäres Thema auf der politischen Agenda zu verankern

KRITIS höchst gefährdet

„Der jüngste Stromausfall in Berlin macht erneut deutlich, wie verwundbar unsere kritischen Infrastrukturen sind – und wie eng physische Versorgungssicherheit und digitale Resilienz inzwischen miteinander verknüpft sind.“

• Für die Internetwirtschaft hätten Stromausfälle unmittelbare Auswirkungen auf Rechenzentren, Netze, Plattformen und digitale Dienste, welche für Wirtschaft, Verwaltung und Gesellschaft unverzichtbar seien.

Vor diesem Hintergrund fordert der eco, dass das KRITIS-Dachgesetz zügig verabschiedet und wirksam umgesetzt wird. Es brauche einen sektorenübergreifenden, praxistauglichen Rechtsrahmen, welcher „den physischen Schutz kritischer Infrastrukturen stärkt und gleichzeitig konsequent mit den Anforderungen der IT- und Cybersicherheit – insbesondere im Kontext von NIS-2 – verzahnt ist“.

Deutschland beim KRITIS-Schutz im unionsrechtswidrigen Umsetzungsverzug

Klaus Landefeld, eco-Vorstand für Infrastruktur und Netze, betont: „Der Stromausfall in Berlin macht unmissverständlich klar, dass kritische Infrastrukturen besser geschützt werden müssen – physisch wie digital!“

• Der KRITIS-Schutz müsse dauerhaft als prioritäres Thema auf der politischen Agenda verankert werden, um die Resilienz des Wirtschafts- und Digitalstandorts Deutschland zu gewährleisten.

Abschließend unterstreicht Landefeld den Handlungsbedarf: „Die Umsetzungsfrist der CER-Richtlinie (Critical Entities Resilience Directive), die im Dezember 2022 in Kraft getreten ist, endete bereits am 17. Oktober 2024; seither befindet sich Deutschland im unionsrechtswidrigen Umsetzungsverzug.“

Weitere Informationen zum Thema:

eco VERBAND DER INTERNETWIRTSCHAFT
Über uns: eco – Verband der Internetwirtschaft e.V. / Wir gestalten das Internet.

eco VERBAND DER INTERNETWIRTSCHAFT
Vorstand@eco: Klaus Landefeld – Stellv. Vorstandsvorsitzender, Vorstand Infrastruktur und Netze

Bundesministerium des Innern, 10.09.2025
Bundeskabinett beschließt Gesetzentwurf zum KRITIS-Dachgesetz / Mit dem KRITIS-Dachgesetz werden übergreifende Mindestanforderungen, verpflichtende Risikoanalysen und ein Störungsmonitoring für kritische Infrastrukturen geschaffen und die Abwehrfähigkeit und Resilienz gestärkt.

Bundesministerium des Innern, 18.01.2023
EU-Richtlinien zum Schutz Kritischer Infrastrukturen / EU-Mitgliedsstaaten müssen kritische Einrichtungen besser vor Naturgefahren, Sabotage und Cyberangriffen schützen.

OpenKRITIS
KRITIS-Dachgesetz

OpenKRITIS
EU RCE Resilienz (CER)

datensicherheit.de, 12.09.2025
Kabinettsbeschluss zum KRITIS-Dachgesetz: eco sieht Eile geboten – aber ohne doppelte Pflichten / Der eco begrüßt das Voranschreiten in geopolitisch angespannten Zeiten, moniert aber fehlende Rechtsverordnung zu Schwellenwerten, drohende Doppelregulierungen sowie unklare Zuständigkeiten

[datensicherheit.de, 23.12.2025] Auch der eco – Verband der Internetwirtschaft e.V. kritisiert die geplante Neuauflage der anlasslosen Vorratsdatenspeicherung durch Bundesjustizministerin Stefanie Hubig und fordert die dringende Nachbesserung des vorgelegten Gesetzentwurfs. Eine anlasslose und flächendeckende Vorratsdatenspeicherung sei mit der Rechtsprechung des Europäischer Gerichtshof (EuGH) nicht vereinbar.

Foto: eco

Klaus Landefeld unterstreicht: Eine dreimonatige, anlasslose und flächendeckende Vorratsdatenspeicherung ist mit der Rechtsprechung des EuGH nicht vereinbar!

eco moniert unklares Grundrechtsverständnis

Zur geplanten Neuauflage der anlasslosen Vorratsdatenspeicherung durch das Bundesjustizministerium führt Klaus Landefeld, eco-Vorstand aus: „Die Pläne von Bundesjustizministerin Hubig sind äußerst problematisch. Eine dreimonatige, anlasslose und flächendeckende Vorratsdatenspeicherung ist mit der Rechtsprechung des Europäischen Gerichtshofs nicht vereinbar!“

• Vor diesem Hintergrund sei auch das Grundrechtsverständnis der Justizministerin mindestens kritisch zu hinterfragen.

„Denn offensichtlich ist: Von den vom EuGH geforderten Einschränkungen, welche eine Vorratsdatenspeicherung im Einzelfall mit einer räumlich oder auf Personengruppen beschränkten Anordnung und unter Vorliegen eines konkreten Anlasses vorübergehend ermöglichen könnte, findet sich im diesem Gesetzentwurf keine Spur“, so Landefeld.

eco erinnert an Erkenntnisse des BKA zur Speicherdauer

Zur Verhältnismäßigkeit und zur rechtspolitischen Einordnung des Gesetzentwurfs stellt Landefeld klar: „Die Pläne der Justizministerin sind nicht nur unverhältnismäßig, sie sind aus der Zeit gefallen!“

• Neben diversen weiteren Studien habe selbst das Bundeskriminalamt (BKA) jüngst bestätigt, dass die Verfügbarkeit von IP-Adressen über drei bis vier Wochen hinaus keinen nennenswerten ermittlerischen Mehrwert mehr biete.

„Insofern fehlt abseits der freien Festlegung im Koalitionsvertrag jede Erläuterung, wozu eine derart lange Speicherfrist nötig sein soll. Gleichzeitig zeigt das europäische ,e-Evidence’-System, dass die Zukunft klar in Richtung einer anlassbezogenen elektronischen Beweissicherung und -herausgabe innerhalb weniger Tage weist. Die Zeichen der Zeit deuten insofern eindeutig in eine andere Richtung.“

eco für offene und profunde Diskussion über die Vorschläge

Kritisch beurteilt Landefeld ferner den Zeitpunkt und das politische Vorgehen des Bundesjustizministeriums: „Auf europäischer Ebene gibt es derzeit neue Initiativen für klare Regeln zur Ausgestaltung einer Vorratsdatenspeicherung im Einklang mit den Vorgaben des EuGH.“

• Hierzu sei bereits mit den weit abweichenden, bestehenden Regelungen der diversen Länder zu Umfang und Speicherfrist absehbar, das eine Einigung nur äußerst schwer zu erreichen sein werde.

„Dass das Bundesministerium der Justiz ausgerechnet in diese laufende Debatte mit einem offensichtlich grundrechtswidrigen Vorschlag eingreift, ist schwer nachvollziehbar!“ Auch der Veröffentlichungszeitpunkt kurz vor Weihnachten erwecke den Eindruck, dass keine offene und profunde Diskussion über die Vorschläge gewünscht sei.

eco warnt vor Wiederholung früherer Fehler bei Ausgestaltung der Speicherpflichten

Landefeld warnt zudem vor einer Wiederholung früherer Fehler bei der Ausgestaltung der Speicherpflichten: „Vergangene Gesetze zur Vorratsdatenspeicherung wurden zu Recht dafür kritisiert, dass sie einseitig Speicherpflichten auf Anbieter von Telekommunikations- und Internetzugangsdiensten abgewälzt haben.“

• Eine sachgerechte Differenzierung zwischen Bürgern und Berufsgeheimnisträgern wie Anwälten, Ärzten, Seelsorgern oder Steuerberatern habe nicht stattgefunden.

Diese Problematik drohe sich nun auch im aktuellen Gesetzentwurf zu wiederholen: „Es besteht die ernsthafte Sorge, dass das BMJV erneut den besonderen Schutz von Berufsgeheimnisträgern faktisch der Internetwirtschaft aufbürdet.“

eco befürchtet auch Millionen-Euro-Aufwand zu Lasten der Anbieter

Eine technische Unterscheidung zwischen „normalen Bürgern“ und „Berufsgeheimnisträgern“ sei zunächst nicht möglich. Um dies zu kompensieren, wären zusätzliche Maßnahmen erforderlich, welche ihrerseits datenschutzrechtlich hoch problematisch sein würden.

• Für die Anbieter wiederhole sich zudem das Trauma der Kostentragung für eine voraussichtlich erneut grundrechtswidrige Umsetzung:

Einmal mehr würden in dem Entwurf maximal aufwändige, Hunderte von Millionen schwere Anforderungen an Speicherung, Verarbeitung und Löschung gestellt, welche alleine die Anbieter zu tragen hätten und bei einer Aussetzung des Gesetzes nicht ersetzt bekämen.

eco sieht erneute „Schnellschüsse und überzogene Speicherfristen“ als besonders kritisch und bedauerlich an

Der eco weist darauf hin, dass die gesetzliche Verpflichtung zur Vorratsdatenspeicherung in Deutschland aufgrund europarechtlicher Bedenken ausgesetzt wurde. „Mit Urteil vom 22. September 2022 stellte der Europäischer Gerichtshof klar, dass die deutschen Regelungen zur anlasslosen Vorratsdatenspeicherung nicht mit dem Unionsrecht vereinbar sind.“

• Auf dieser Grundlage habe das Bundesverwaltungsgericht (BVerwG) im September 2023 die Speicherpflicht für Telekommunikationsanbieter endgültig für „unionsrechtswidrig“ erklärt.

Der eco hat die Klage der SpaceNet AG, einem Mitgliedsunternehmen des Verbandes, von Beginn an unterstützt und damit maßgeblich zur Klärung der Europarechtswidrigkeit beigetragen. Vor diesem Hintergrund bewertet der eco erneute „Schnellschüsse und überzogene Speicherfristen“ als besonders kritisch und bedauerlich.

Weitere Informationen zum Thema:

eco VERBAND DER INTERNETWIRTSCHAFT
Über uns: eco – Verband der Internetwirtschaft e.V. / Wir gestalten das Internet.

eco VERBAND DER INTERNETWIRTSCHAFT
Vorstand@eco: Klaus Landefeld – Stellv. Vorstandsvorsitzender, Vorstand Infrastruktur und Netze

Bundesministerium der Justiz und für Verbraucherschutz, 22.12.2025
Gesetz zur Einführung einer IP-Adressspeicherung und Weiterentwicklung der Befugnisse zur Datenerhebung im Strafverfahren

datensicherheit.de, 23.12.2025
Geplante IP-Speicherung: DAV kritisiert umbenannte Massenüberwachung / Der neue Name „IP-Speicherung“ kann laut DAV nicht darüber hinwegtäuschen, dass es sich um eine Vorratsdatenspeicherung handelt

datensicherheit.de, 29.10.2025
Vorratsdatenspeicherung mal wieder ante portas: eco warnt vor Rückschritt in der Digitalpolitik / Der eco – Verband der Internetwirtschaft e.V. fordert Rechtssicherheit, Verhältnismäßigkeit und Datenschutz als Leitlinien und stellt 5 Punkte für weitere Beratungen zum neuen Gesetzentwurf vor

datensicherheit.de, 25.08.2025
Pläne zur IP-Adressenspeicherung: eco kritisiert Rückschritt in die Überwachung / eco-Vorstandsvorsitzender Oliver Süme sieht klaren Verstoß gegen europäisches Recht, massive Grundrechtseingriffe und keinerlei echten Ermittlungsmehrwert

datensicherheit.de, 24.06.2025
Bürgerrechtler kritisieren vehement EU-Pläne für Vorratsdatenspeicherung 2.0 / Der Arbeitskreis Vorratsdatenspeicherung möchte ausdrücklich mit Sachverstand und nüchternen Argumenten gegen die kritisierten Pläne der EU-Kommission für eine neue Vorratsdatenspeicherung vorgehen

[datensicherheit.de, 18.12.2025] Der eco – Verband der Internetwirtschaft e.V. äußert sich kritisch zum aktuellen Gesetzesentwurf zur Modernisierung des Bundespolizeigesetzes (BPolG) – damit erweiterten sich die Überwachungsbefugnisse der Bundespolizei „erheblich“. Der eco warnt nun angesichts der ersten Lesung im Bundestag am 18. Dezember 2025 vor den Risiken für die IT-Sicherheit und die digitale Kommunikation.

Foto: eco

Klaus Landefeld: Sicherheitspolitik darf nicht bedeuten, dass der Staat selbst zum Risiko für die digitale Sicherheit wird!

Im Zentrum der eco-Kritik steht der neu gefasste § 40 BPolG-E zur Telekommunikationsüberwachung

Anlässlich der ersten Lesung des Gesetzentwurfs zur BPolG-Modernisierung warnt der eco: Der vorliegende Entwurf erweitere die Überwachungsbefugnisse der Bundespolizei erheblich – insbesondere durch den Einsatz von Quellen-Telekommunikationsüberwachung („Quellen-TKÜ“) und „Staatstrojanern“.

• „Sicherheitspolitik darf nicht bedeuten, dass der Staat selbst zum Risiko für die digitale Sicherheit wird!“, betont eco-Vorstand Klaus Landefeld. Er führt hierzu aus: „Der Einsatz von ,Staatstrojanern’ auf Basis von Sicherheitslücken schwächt nicht nur die digitale Sicherheit für Bürgerinnen, Bürger und Unternehmen, sondern gefährdet auch das Vertrauen in verschlüsselte Kommunikation!“

Im Zentrum der Kritik des Verbands steht demnach der neu gefasste § 40 BPolG-E zur Telekommunikationsüberwachung. Diese Norm schaffe eine eigenständige und umfassende Rechtsgrundlage für Überwachungsmaßnahmen der Bundespolizei im Bereich der „Gefahrenabwehr“ und ermögliche faktisch auch den Einsatz von „Quellen-TKÜ“ – also den Zugriff auf laufende Kommunikation direkt auf Endgeräten.

eco moniert Möglichkeit der schleichenden Einführung von Chat-Kontrollen

Der eco kritisiert diese „Möglichkeit der schleichenden Einführung von Chat-Kontrollen“, da der Entwurf eine Infrastruktur schaffe, welche zur Massenüberwachung missbraucht werden könnte.

• Gleichzeitig lasse der Gesetzentwurf zentrale verfassungsrechtliche Fragen offen und verlagerr wichtige Abwägungen zur Verhältnismäßigkeit in die Praxis. Der eco fordert darum „klare gesetzliche Grenzen für solche Maßnahmen, verbindliche Regeln zum Umgang mit Schwachstellen und eine stärkere Priorisierung von IT-Sicherheit vor Überwachungsinteressen“.

„Eine Aufweichung von Verschlüsselung ist grundrechtswidrig und sicherheitspolitisch gefährlich!“, gibt Landefeld abschließend zu bedenken. Ein ausführliches eco-Infopapier zum Gesetzentwurf der Bundesregierung zur BPolG-Modernisierung steht online zur Verfügung.

Weitere Informationen zum Thema:

eco VERBAND DER INTERNETWIRTSCHAFT
Über uns: eco – Verband der Internetwirtschaft e.V. / Wir gestalten das Internet.

eco VERBAND DER INTERNETWIRTSCHAFT
Vorstand@eco: Klaus Landefeld – Stellv. Vorstandsvorsitzender, Vorstand Infrastruktur und Netze

VERBAND DER INTERNETWIRTSCHAFT E.V. eco, 16.12.2025
Info-Papier zum Gesetzentwurf der Bundesregierung zur Modernisierung des Bundespolizeigesetzes

datensicherheit.de, 18.12.2025
Modernisierung des Bundespolizeigesetzes: DAV artikuliert Lob und Kritik / Der DAV begrüßt den beabsichtigten Schutz des Mandatsgeheimnisses und einzelne Regelungen zu sogenannten V-Leuten

datensicherheit.de, 10.06.2021
Staatstrojaner: Einsatz im Bundespolizeigesetz massiv ausgeweitet / Gregor Voht kritisiert unkontrollierte Ausweitung der Befugnisse zum Einsatz des Staatstrojaners als Verstoß gegen Bürgerrechte

datensicherheit.de, 22.03.2021
Bundespolizeigesetz: Professor Ulrich Kelber kritisiert Novelle / BfDI erinnert daran, dass Bundespolizei nur Sonderpolizei mit begrenztem Aufgabenspektrum ist

datensicherheit.de, 12.02.2021
Bundespolizeigesetz: DAV sieht Licht und Schatten / Rechtsanwältin Lea Voigt, Vorsitzende des DAV-Ausschusses „Gefahrenabwehrrecht“, nimmt Stellung und warnt vor Folgen der Quellen-TKÜ

[datensicherheit.de, 02.09.2025] Der eco – Verband der Internetwirtschaft e.V. hat am 1. September 2025 gemeldet, dass die Konsultationsfrist zur Erweiterung der Novelle des Telekommunikationsgesetzes (TKG) nun beendet ist – mit den Eckpunkten des Bundesministeriums für Digitales und Staatsmodernisierung (BMDS) seien wichtige Weichen für den Glasfaser- und Mobilfunkausbau gestellt worden. Der eco begrüßt demnach insbesondere die vorgesehenen Schritte zur Digitalisierung und Vereinheitlichung der Verfahren. Welche Chancen diese Eckpunkte bieten und wo Nachjustierungen notwendig sind, erörtert der stellvertretender eco-Vorstandsvorsitzende, Klaus Landefeld, in seiner aktuellen Stellungnahme.

Foto: eco e.V.

Klaus Landefeld: Entscheidend ist jetzt, Verfahren zu vereinfachen, Planungsrisiken zu reduzieren und den Ausbau digitaler Infrastrukturen zu beschleunigen!

Der Netzausbau braucht ein stabiles Fundament – keine Sandburg

Landefeld berichtet: „Am 31. August 2025 endete die Konsultationsfrist für die Erweiterung der TKG-Novelle – und damit die Möglichkeit, zu den BMDS-Eckpunkten offiziell Stellung zu nehmen.“

• Der eco sehe in diesen Eckpunkten des BMDS „wichtige Impulse für den Glasfaser- und Mobilfunkausbau in Deutschland“. Besonders positiv bewerte der eco die frühzeitige Konsultation der Branche und die geplante Verankerung digitaler, standardisierter Verfahren. Entscheidend sei nun, die Spielräume praxisnah auszugestalten, um Planungs- und Investitionssicherheit zu schaffen und zugleich fairen Wettbewerb zu sichern.

Landefeld gibt zu bedenken: „Mit den Eckpunkten setzt das BMDS richtige Weichen für den beschleunigten Netzausbau. Jetzt gilt es, die Verfahren konsequent zu digitalisieren und bürokratische Hürden abzubauen. Denn der Netzausbau braucht ein stabiles Fundament – keine Sandburg, die bei der ersten Welle zusammenfällt.“

Recht auf Vollausbau müsste durch klare Regeln und Sanktionen flankiert werden

Im Zentrum der Bewertung stehen dabei laut eco mehrere Schlüsselfelder: Für Genehmigungen fordert der Verband „bundesweit standardisierte digitale Antragswege und eine zentrale Schnittstelle für Baustellendaten“.

• Bei den gebäude-internen Netzen sei das vorgesehene Glasfaserbereitstellungsentgelt zwar grundsätzlich sinnvoll, dürfe aber nicht zu übermäßiger Bürokratie oder Kostenbelastungen für Mieter führen – für Bestandsgebäude schlägt der eco daher „praktikable Übergangsmodelle“ vor.

Ein Recht auf Vollausbau könne den Ausbau effizienter machen, müsse jedoch durch klare Regeln und Sanktionen flankiert werden, „damit Investitionen tatsächlich umgesetzt werden“. Beim Thema „Konzernklausel“ mahnt der eco an, dass ein Zugang für konzernverbundene Unternehmen nur unter strengen Nichtdiskriminierungsbedingungen möglich sein dürfe, um Marktabschottungen zu verhindern.

Der eco spricht sich für weitere Beschleunigungsmaßnahmen aus

Auch bei den Genehmigungsverfahren sieht der eco dringenden Handlungsbedarf: Das Anzeigeverfahren sollte als Regelfall etabliert werden, flankiert durch Sicherungsmechanismen. Gleichzeitig müssten Fristen klar und verbindlich festgelegt und eine bundesweit einheitliche digitale „One-Stop-Shop-Plattform“ geschaffen werden.

• Darüber hinaus spricht sich der eco für weitere Beschleunigungsmaßnahmen aus – „etwa prioritäre Stromanschlüsse für Mobilfunkmasten, die systematische Nutzung öffentlicher Liegenschaften und einen datensparsamen Umgang mit sensiblen Informationen im Gigabit-Grundbuch“.

Landefeld unterstreicht abschließend: „Die Eckpunkte des BMDS setzen wichtige Signale. Entscheidend ist jetzt, Verfahren zu vereinfachen, Planungsrisiken zu reduzieren und den Ausbau digitaler Infrastrukturen zu beschleunigen!“

Weitere Informationen zum Thema:

eco VERBAND DER INTERNETWIRTSCHAFT
Über uns: eco – Verband der Internetwirtschaft e.V. / Wir gestalten das Internet.

eco VERBAND DER INTERNETWIRTSCHAFT
Vorstand@eco

datensicherheit.de, 18.02.2021
BfDI-Kritik: 1.000 Tage DSGVO ohne Anpassung von TKG und TMG / Prof. Ulrich Kelber, der BfDI, moniert Rechtsunsicherheit für Unternehmen und Verbraucher

datensicherheit.de, 11.02.2012
BITKOM begrüßt in weiten Teilen Novelle des Telekommunikationsgesetzes / Neuregelungen förderten bundesweiten Ausbau schneller Internetzugänge

datensicherheit.de, 31.10.2011
Novellierung des Telekommunikationsgesetzes: Peter Schaar kritisiert Unterlassungen / Der Gesetzgeber habe wichtige Datenschutz-Aspekte unberücksichtigt gelassen

[datensicherheit.de, 08.08.2025] Der eco – Verband der Internetwirtschaft e.V. hat das Urteil des Bundesverfassungsgerichtes (BVerfG) vom 7. August 2025 wie folgt kommentiert: Dieses habe an diesem Tag zentrale Vorschriften zur Quellen-Telekommunikationsüberwachung (TKÜ) und zur Online-Durchsuchung veröffentlicht und dabei klare verfassungsrechtliche Grenzen gezogen. Dieses Urteil setze ein wichtiges Signal – auch mit Blick auf die digitale Sicherheit und den Umgang mit staatlicher Überwachung. Zu dem, was dieses Urteil bedeutet und warum der Gesetzgeber jetzt handeln muss, hat eco-Vorstand Klaus Landefeld in seiner aktuellen Stellungnahme ausgeführt.

Foto: eco

Klaus Landefeld: Eine zukunftsfähige Sicherheitsstrategie braucht u.a. verbindliche Regeln zum Schwachstellen-Management…

eco erkennt ein Stück überfällige Rechtssicherheit

Das BVerfG habe am 7. August 2025 seine Leitsätze zu zentralen Vorschriften der TKÜ und der Online-Durchsuchung veröffentlicht und dabei die verfassungsrechtlichen Grenzen dieser Maßnahmen klargestellt.

• Bei der sogenannten Quellen-TKÜ werde nicht der klassische Leitungsverkehr überwacht – stattdessen werde die Kommunikation direkt an der Quelle, also auf dem Endgerät, mitgelesen, noch bevor sie verschlüsselt werden kann. „Die heute veröffentlichte Entscheidung bringt ein Stück überfällige Rechtssicherheit in die Debatte um staatliche Überwachungsinstrumente, wirft aber auch neue Fragen insbesondere hinsichtlich der Wirkung des Eingriffes in moderne Kommunikationsmittel auf“, betont Landefeld.

Dass der Einsatz von Quellen-TKÜ bei leichteren Straftaten für unverhältnismäßig erklärt wurde, sei ein wichtiges Signal. „Auch die Feststellung, dass die Online-Durchsuchung ohne Zitierung des Fernmeldegeheimnisses verfassungswidrig ist, bestätigt die Notwendigkeit einer sorgfältigen Abwägung bei Grundrechtseingriffen.“

eco-Forderung nach zuverlässigem Schwachstellen-Management

Rechtlich sei damit so Manches klarer geworden – technisch bleibe das Risiko jedoch bestehen. Denn der Einsatz von „Staatstrojanern“ beruhe weiterhin auf einem Zielkonflikt: „Um Ermittlungen zu ermöglichen, hält der Staat gezielt Sicherheitslücken offen oder kauft sie ein. Damit setzt er bewusst alle IT-Systeme – und nicht nur die der mutmaßlichen Täter – einer erhöhten Angreifbarkeit aus. Der Staat aber darf nicht selbst zum Risiko für die digitale Sicherheit werden! Wer Schwachstellen nicht meldet, sondern instrumentalisiert, untergräbt das Vertrauen in digitale Infrastrukturen.“

• Der Gesetzgeber sei nun gefordert, nicht nur formale Nachbesserungen vorzunehmen, sondern diesen Zielkonflikt grundlegend aufzulösen. „Eine zukunftsfähige Sicherheitsstrategie braucht verbindliche Regeln zum Schwachstellen-Management, klare Transparenzpflichten bei Eingriffsbefugnissen und ein IT-Sicherheitsverständnis, das den grundlegenden Schutz der Bevölkerung über den Zugriff in wenigen Einzelfällen priorisiert“, fordert Landefeld.

Man möge sich die gerade aktuell diese Woche neu veröffentlichten Zahlen zum Einsatz der diversen „Staatstrojaner“ einmal ansehen: Für eine Handvoll Einsatzfälle pro Jahr werde die Cybersicherheit von rund 90 Millionen Bürgern und Unternehmen riskiert. „Wie kann das verhältnismäßig sein?“, so Landefeld abschließend.

Weitere Informationen zum Thema:

eco VERBAND DER INTERNETWIRTSCHAFT
Vorstand@eco

datensicherheit.de, 08.08.2025
Karlsruher Staatstrojaner-Urteil: Bitkom begrüßt Entscheidung des Bundesverfassungsgerichts / Die Karlsruher Richter betonen laut Bitkom zu Recht, dass der Eingriff in die digitale Privatsphäre nur bei schwersten Straftaten zulässig ist

datensicherheit.de, 08.08.2025
Staatstrojaner-Einsatz wird eingeschränkt: Digitalcourage meldet Erfolg vor Bundesverfassungsgericht / Die vom Digitalcourage e.V. initiierte und von zahlreichen Menschen unterstützte Verfassungsbeschwerde wird nach dem BVerfG-Urteil vom 7. August 2025 weitreichende Folgen für staatliche Überwachungsbefugnisse haben

datensicherheit.de, 07.08.2025
Bürger unter Generalverdacht: DAV kritisiert überbordende Befugnisse / Deutscher Anwaltverein (DAV) nimmt Stellung zum „Sicherheitspaket“ des Bundesinnenministeriums – Einsatz biometrischer Gesichtskontrolle und umstrittener Datenanalyse geplant

datensicherheit.de, 06.08.2025
Digitalcourage-Verfassungsbeschwerden: Entscheidungen des Bundesverfassungsgerichts am 7. August 2025 erwartet / Das Bundesverfassungsgericht entscheidet über zwei Digitalcourage-Verfassungsbeschwerden zu „Staatstrojanern“ und zum „Polizeigesetz NRW“

[datensicherheit.de, 17.04.2025] Auch der eco – Verband der Internetwirtschaft e.V. hat am 16. April 2025 zu dem Auslaufen der Finanzierung für das „CVE-Programm“ genommen – mit dem Wegfall der finanziellen Unterstützung durch die US-Regierung stehe das international etablierte „CVE-Projekt“ nun vor einem kritischen Einschnitt. Die drohende Abschaltung der CVE-Datenbank berge erhebliche Risiken für die Cyber-Sicherheit von Unternehmen weltweit. eco-Vorstand Klaus Landefeld warnt vor den Folgen für die IT-Sicherheitslage und betont die Notwendigkeit einer raschen, koordinierten Übergangslösung. Vor diesem Hintergrund sieht der eco einen „dringenden Handlungsbedarf“ und unterstreicht die zentrale Rolle der CVE-Infrastruktur für die digitale Sicherheit von Wirtschaft und Gesellschaft.

Foto: eco e.V.

Klaus Landefeld: Wir hoffen, dass die Übergangsphase möglichst kurz und ohne größere Zwischenfälle verläuft!

eco unterstützt Rettungsinitiativen wie die CVE-Stiftung

Zur Ankündigung des MITRE, die CVE-Datenbank offline zu nehmen, da die finanzielle Unterstützung der US-Regierung beendet wurde, kommentiert Landefeld: „Aus unserer Sicht ist es sehr bedauerlich, dass die US-Regierung das Funding für das ,CVE-Projekt’ des MITRE abrupt einstellt.“ Dieses sei ein wichtiger Baustein für Sicherheit in Software und Produkten, auf welchen sich Unternehmen weltweit verließen.

• Der eco unterstützt daher Rettungsinitiativen wie die CVE-Stiftung, die ihre bereits seit Längerem geplante Gründung vorgezogen hat und künftig regierungsunabhängig arbeiten will. Eine unterbrechungsfreie Sicherstellung des CVE-Systems sei für die Informationssicherheit der Mitgliedsunternehmen des eco von unschätzbarer Bedeutung, unterstreicht Landefeld:

„Wir hoffen, dass die Übergangsphase möglichst kurz und ohne größere Zwischenfälle verläuft und dass US-Behörden sich bei der Ausgestaltung dieser Übergangsphase eng mit MITRE austauschen und beispielsweise eine Übergangsregelung finden.“

Wegfall der CVE-Datenbank lässt Unternehmen im Unklaren darüber, ob Sicherheitslücken bereits bekannt sind und bekämpft werden

Der eco befürchtet, dass die Einstellung der Datenbank für Unternehmen und die öffentliche Verwaltung zu einer Herausforderung werden könnte. „Es sind bereits entsprechende Maßnahmen in Vorbereitung. Diese aber beziehen sich teilweise auf das ,CVE-Projekt’ und gehen so ins Leere, oder benötigen deutlich mehr Zeit, um wirksam werden zu können“, so Landefeld.

• Cyber-Sicherheit sei für eco primär eine Aufgabe, welche Unternehmen, Staat und Nutzer nur gemeinschaftlich herstellen könnten, „wenn alle Beteiligten gemäß ihren Kapazitäten, Möglichkeiten und Befugnisse einbringen“. Die Identifizierung und Beseitigung von Sicherheitslücken in Software und IT-Produkten sei ein wichtiger Baustein für Vertrauen und Sicherheit im Netz.

Mit dem bisherigen „CVE-Projekt“ habe eine weltweit einzigartige Datenbank existiert, „die diese Sicherheitslücken katalogisiert und so Unternehmen die Möglichkeit gegeben hat, systematisch dagegen vorzugehen“. Der Wegfall dieser Datenbank lasse Unternehmen im Unklaren darüber, „ob ihre Sicherheitslücken bereits andernorts bekannt sind und bekämpft werden“. Entsprechende Projekte bei der EU-Sicherheitsbehörde ENISA seien bereits angestoßen, würden aber noch einige Monate bis zur Wirksamkeit benötigen.

Nachtrag der ds-Redaktion [18.04.2025]:
MITRE CVE Program: Abschaltung verhindert / Das von der US-Regierung finanzierte CVE-Programm gilt als entscheidender Baustein zur globalen Aufdeckung von Softwarefehlern

Weitere Informationen zum Thema:

CVE
CVE® Program Mission: Identify, define, and catalog publicly disclosed cybersecurity vulnerabilities / There are currently over 274,000 CVE Records accessible via Download or Keyword Search above

enisa EUROPEAN UNION AGENCY FOR CYBERSECURITY
Vulnerability Disclosure / By setting rules for identifying, fixing, mitigating, and reporting new vulnerabilities before they are exploited, CVD is crucial for protecting users and strengthening cybersecurity in the EU.

connect, Leif Bärler, 16.04.2025
Globale Cybersicherheit in Gefahr / Finanzierung des CVE-Programms läuft aus / Das System zur Identifizierung von IT-Schwachstellen, das Common Vulnerabilities and Exposures (CVE)-Programm, steht mangels Finanzierung vor einer ungewissen Zukunft.

golem.de, Mike Faust, 16.04.2025
CVE-Finanzierung unklar: Datenbank für kritische Sicherheitslücken gefährdet / Für die Fortsetzung des CVE-Programms, der internationalen Datenbank für Sicherheitslücken, stehen keine finanziellen Mittel mehr zur Verfügung.

tenable, 15.04.2025
MITRE CVE Program Funding Set To Expire / MITRE’s CVE program has been an important pillar in cybersecurity for over two decades. The lack of clarity surrounding the future of the CVE program creates great uncertainty about how newly discovered vulnerabilities will be cataloged.

datensicherheit.de, 17.04.2025
MITRE CVE Program: Einstellung der Finanzierung zum 16. April 2025 / „CVE-Programm“ ermöglichte durch einheitlichen Taxonomie Nachverfolgung von über 250.000 CVEs bis Ende 2024

[datensicherheit.de, 06.11.2024] Für den eco – Verband der Internetwirtschaft e.V. stellt der Beschluss der Bundesregierung vom 6. November 2024 zum „KRITIS-Dachgesetz“ (KRITISDachG) einen wichtigen Schritt dar, um eben den Schutz Kritischer Infrastrukturen in Deutschland weiter zu stärken. Das Gesetz habe das Bundeskabinett passiert und schaffe damit neue Vorgaben für den physischen Schutz bedeutender und Kritischer Einrichtungen. „Da das „NIS-2-Umsetzungsgesetz“ (NIS2UmsuCG) bereits im Juli 2024 verabschiedet wurde und sich aktuell im parlamentarischen Verfahren befindet, betont die Internetwirtschaft jedoch die Notwendigkeit klarer Abgrenzungen und fordert eine Regulierung ohne Überschneidungen, um Doppelstrukturen zu vermeiden.“

Foto: eco e.V.

eco-Vorstand Klaus Landefeld: Internetwirtschaft braucht klar definierten und kohärenten Ordnungsrahmen, um Dienste effizient anbieten zu können!

eco drängt auf Gewährleistung, dass für bereits regulierte Anbieter keine zusätzlichen Pflichten oder doppelte Aufsicht entstehen

eco-Vorstand Klaus Landefeld kommentiert: „Es muss gewährleistet sein, dass Anbietern, die bereits durch andere Gesetze reguliert sind, durch das KRITIS-DachG keine zusätzlichen Pflichten oder doppelte Aufsicht entstehen!“ Der aktuelle Gesetzentwurf beseitige dieses Risiko jedoch nicht vollständig, da der Telekommunikations- und IT-Sektor nach wie vor teilweise vom Gesetz erfasst werde.

Für die Internetwirtschaft, darunter Rechenzentrumsbetreiber und Anbieter von „Cloud“-Diensten, bestünden mit dem NIS2UmsuCG bereits umfassende gesetzliche Vorgaben, ebenso wie für den Telekommunikationssektor unter dem TKG.

Unternehmen der Branche befürchteten nun, dass die im Gesetz festgelegten Zuständigkeiten wie zum gemeinsamen Betrieb eines Meldeportals nicht klar genug verteilt seien und zu Überschneidungen zwischen dem Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK), dem Bundesamt für Sicherheit in der Informationstechnik (BSI) und der Bundesnetzagentur führen könnten.

eco setzt sich weiterhin für klare Regulierungsstrategie ein

„Die Internetwirtschaft braucht einen klar definierten und kohärenten Ordnungsrahmen, um ihre Dienste effizient anzubieten“, unterstreicht Landefeld und führt weiter aus: „Wir begrüßen ausdrücklich, dass es zwischen dem NIS-2-Umsetzungsgesetz zur Cyber-Sicherheitsstärkung und dem KRITIS-Dachgesetz klare Übereinstimmungen für die Schaffung branchenspezifischer Sicherheitsstandards gibt.“

Aber einheitliche und transparente Aufsichtsstrukturen seien auch dabei von essenzieller Bedeutung – das ist immerhin ein erklärtes Ziel der europäischen Harmonisierung, welche in der NIS-2-Richtlinie angestrebt und durch den kürzlich veröffentlichten Durchführungsrechtsakt zumindest für die digitalen Diensteanbieter auch verwirklicht werde.

Der eco setzt sich demnach daher weiterhin für eine Regulierungsstrategie ein, welche klare Grenzen zwischen bestehenden und neuen Vorschriften zieht, um Unsicherheiten bei Unternehmen zu vermeiden und den Schutz Kritischer Infrastrukturen in Deutschland nachhaltig zu stärken.

Weitere Informationen zum Thema:

datensicherheit.de, 05.09.2023
KRITIS-Dachgesetz: eco moniert drohende Doppelregulierung und Rechtsunsicherheiten / KRITIS-DachG soll erstmals bundesweit einheitliche Vorgaben zum physischen Schutz kritischer Anlagen machen

[datensicherheit.de, 04.11.2024] Laut einer Meldung vom eco – Verband der Internetwirtschaft e.V. vom 4. November 2024 hat sich an diesem Tag der „Ausschuss für Inneres und Heimat“ mit den noch offenen Fragen zur Umsetzung der NIS-2-Richtlinie, deren Frist zur nationalen Umsetzung bereits am 17. Oktober 2024 verstrichen ist, befasst. Der eco drängt auf „eine zügige Verabschiedung des Gesetzes, um Rechtsklarheit für die rund 30.000 betroffenen Unternehmen zu schaffen“.

Foto: eco e.V.

Klaus Landefeld: Die Bundesregierung muss jetzt zügig handeln und die NIS-2-Richtlinie in Deutschland umsetzen!

Bereits verstrichene Frist zur Umsetzung schafft laut eco Unsicherheit für international tätige Unternehmen

eco-Vorstand Klaus Landefeld kommentiert: „Die Bundesregierung muss jetzt zügig handeln und die NIS-2-Richtlinie in Deutschland umsetzen. Die bereits verstrichene Frist zur Umsetzung schafft Unsicherheit für international tätige Unternehmen!“ Ein zentraler Aspekt der NIS-2-Richtlinie sei die Übertragung von Verantwortlichkeiten für Cyber-Sicherheit auf die Führungsebene der Unternehmen.

eco betont: Cybersecurity nicht länger eine rein technische Aufgabe

Landefeld unterstreicht: „Dieser Schritt ist von großer Bedeutung, denn Cybersecurity wird nicht länger als rein technische Aufgabe betrachtet. Vielmehr ist sie zu einer strategischen Herausforderung geworden, die die gesamte Unternehmensführung betrifft.“ Die gesetzliche Regelung sollte von den Unternehmen als Chance genutzt werden, um ihre Sicherheitskultur nachhaltig zu stärken.

eco warnt vor Gefährdung der Sicherheit Kritischer Infrastrukturen

Ein weiterer kritischer Punkt, der demnach auch in der Anhörung behandelt werden sollte, ist das IT-Risikomanagement. „Die drängenden Fragen hierzu sind für die praktische Umsetzung entscheidend. Solange die NIS-2-Richtlinie nicht umgesetzt wird, bleibt die Sicherheit Kritischer Infrastrukturen gefährdet.“ Laut Landefeld ist es ist unerlässlich, dass Unternehmen sich jetzt vorbereiten, um den neuen Anforderungen gerecht zu werden.

Weitere Informationen zum Thema:

datensicherheit.de, 24.10.2024
NIS-2 entfaltet Wirkung: Cyber-Resilienz plötzlich brennendes Thema im Top-Management / Mit Inkrafttreten der Anti-Hacker-Richtlinie NIS-2 wird der CISO zur gefragtesten Person der obersten Führungsebene

datensicherheit.de, 16.10.2024
NIS-2 Richtlinie: Unternehmen müssen von der Reaktion zur Aktion gelangen / Technische Anforderungen der NIS-2-Richtlinie alles Andere als eine leichte Übung zum Abhaken

datensicherheit.de, 30.09.2024
Von NIS zu NIS-2 – neue Herausforderungen speziell für Unternehmen Kritischer IT-Infrastruktur / Anstatt zu der von NIS angestrebten Vereinheitlichung kam es in der Praxis zur Fragmentierung auf verschiedenen Ebenen des EU-Binnenmarktes

[datensicherheit.de, 13.09.2024] Der eco – Verband der Internetwirtschaft e.V. meldet, dass der Bundestag demnach momentan über zwei Gesetzesentwürfe zu den Befugnissen des Bundeskriminalamts (BKA), der Bundespolizei und des Bundesamts für Migration und Flüchtlinge (BAMF) debattiert. In diesem Zusammenhang mahnt der eco nach eigenen Angaben zur Vorsicht bei der Umsetzung der geplanten Maßnahmen und Klaus Landefeld, eco-Vorstand, betont die Notwendigkeit eines ausgewogenen Ansatzes.

Foto: eco e.V.

Klaus Landefeld: Das Vorhaben betrifft den grundrechtsrelevanten Bereich der gesamten Bevölkerung und stärkt nicht gerade das Vertrauen in die Nutzung von Technologie und dem Internet!

eco mahnt zur Vorsicht bei der Umsetzung der geplanten Maßnahmen

Aktuell debattiere der Bundestag über zwei Gesetzesentwürfe, welche weitreichende Befugnisse für das Bundeskriminalamt (BKA), die Bundespolizei und das Bundesamt für Migration und Flüchtlinge (BAMF) vorsähen. Diese Entwürfe seien bereits in den Innenausschuss überwiesen worden und sollten dort umgehend beraten werden.

Der eco mahnt in diesem Zusammenhang zur Vorsicht bei der Umsetzung der geplanten Maßnahmen: „Sicherheitsinteressen sind insbesondere nach den jüngsten Anschlägen nachvollziehbar. Neue Kompetenzen für Sicherheitsbehörden müssen aber immer auch mit effektiven Schutzmaßnahmen einhergehen“, kommentiert Klaus Landefeld, eco-Vorstand, die Notwendigkeit eines ausgewogenen Ansatzes betonend – nur so könne das Vertrauen der Gesellschaft in moderne Technologien, insbesondere KI, aufrechterhalten werden.

eco fordert breite gesellschaftspolitische Debatte

Die Entwürfe sähen vor, dass das BKA und die Bundespolizei künftig biometrische Daten wie Gesichts- und Stimmprofile mit öffentlich zugänglichen personenbezogenen Daten aus dem Internet abgleichen könnten. Auch die Analyse dieser Daten durch KI-Technologien werde erlaubt. Landefeld warnt: „Diese weitreichenden Befugnisse bergen Risiken, da sie über die Ermittlung von Tatverdächtigen hinausgehen und zu einer umfassenderen Überwachung führen könnten.“

Besondere Sorge bereite die unklare Definition der „öffentlich zugänglichen Daten aus dem Internet“. Landefeld führt hierzu aus: „Insbesondere Bedenken hinsichtlich des Profilings beim Abgleich von Datenbanken und der Analyse durch KI müssen ernst genommen werden. Hier muss sichergestellt werden, dass keine Daten aus geschützten oder privaten Bereichen erfasst werden.“

eco moniert zu kleinen Zeitrahmen, um diese komplexen Fragen angemessen zu erörtern

Der eco fordert eine „präzise Regelung“, um Diskriminierung zu vermeiden und Missbrauch zu verhindern. Zudem müsse die gesellschaftliche Debatte über diese Maßnahmen umfassender geführt werden: „Das Vorhaben betrifft den grundrechtsrelevanten Bereich der gesamten Bevölkerung und stärkt nicht gerade das Vertrauen in die Nutzung von Technologie und dem Internet“, betont Landefeld abschließend.

Der Zeitrahmen für die aktuelle Debatte reiche nicht aus, um diese komplexen Fragen angemessen zu erörtern. Auch der weitere Schutz der Bürgerrechte im digitalen Bereich dürfe hierzu nicht im Schnellverfahren aufgeweicht werden.

[datensicherheit.de, 25.07.2024] Der eco – Verband der Internetwirtschaft e.V. erinnert in einer aktuellen Stellungnahme daran, dass die europäische NIS-2-Richtlinie ab Herbst 2024 in allen EU-Mitgliedsstaaten umgesetzt sein soll. Diese betreffe nun etwa 30.000 deutsche Unternehmen. Die Bundesregierung habe am 24. Juli 2024 vor dem nahenden Ende der Umsetzungsfrist nach mehreren Anläufen einen Gesetzentwurf im Kabinett verabschiedet. Der eco warnt, dass viele Unternehmen bislang nicht ausreichend vorbereitet seien, und fordert eine Verlängerung der Umsetzungsfristen.

Risiko, dass NIS-2-Regulierungsrahmen auf nationaler Ebene auseinanderfällt

„Die Bundesregierung wäre gut beraten, sich bei der nationalen Umsetzung der NIS-2-Richtlinie stärker an die europäischen Vorgaben zu halten“, kommentiert eco-Vorstand Klaus Landefeld. Das Risiko, dass der Regulierungsrahmen auseinanderfällt und für Deutschland andere Regeln gelten als für Europa, sei groß.

Insbesondere die Einstufung als „Betreiber kritischer Anlagen“ schaffe Unsicherheit für international tätige Unternehmen, welche in einzelnen EU-Mitgliedstaaten unterschiedliche Regeln befolgen müssten. Der eco hatte dies nach eigenen Angaben im Vorfeld der Verabschiedung im Rahmen seiner Stellungnahmen und Kurzkommentierung „scharf kritisiert“.

Unternehmen scheitern teilweise schon daran, ihre NIS-2-Betroffenheit zu ermitteln

Die kurze Umsetzungsfrist bereitet demnach ebenfalls Sorgen: „Viele Unternehmen wissen noch nicht, dass sie im Anwendungsbereich der Richtlinie und der daraus folgenden Gesetzgebung in Deutschland liegen. Sie haben sich noch nicht auf die künftigen Anforderungen der NIS-2-Richtlinie vorbereitet und scheitern teilweise schon daran, ihre eigene Betroffenheit zu ermitteln.“

„Dass die EU-Kommission kurzfristig nun noch Durchführungsrechtsakte speziell für die Anbieter digitaler Dienste veröffentlicht, die ebenfalls zu beachten sind, erzeugt zusätzlich Unsicherheit“, warnt Landefeld. Der Zeitplan, den Gesetzentwurf fristgerecht durchs Kabinett und das anschließende parlamentarische Verfahren zu bringen, sei mittlerweile äußerst eng – „und eine Fristüberschreitung des Startdatums 18. Oktober 2024 wahrscheinlich“.

Weitere Informationen zum Thema:

eco VERBAND DER INTERNETWIRTSCHAFT E.V., 03.07.2024
KURZKOMMENTIERUNG zum „Entwurf eines Gesetzes zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung (NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz)“ (Bearbeitungsstand 24.06.2024)

eco VERBAND DER INTERNETWIRTSCHAFT E.V., 28.05.2024
STELLUNGNAHME zum „Entwurf eines Gesetzes zur Umsetzung der NIS-2-Richtlinie und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung“ (NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz) des Bundesministeriums des Innern und für Heimat

datensicherheit.de, 11.07.2024
NIS-2: Europäisches Parlament verpflicht Unternehmen zum sorgfältigen Störungsmanagement / Nur wer jetzt vorausschauend plant und die NIS-2-Vorgaben umsetzt, wird langfristig auf der sicheren Seite stehen

datensicherheit.de, 03.07.2024
EU-Richtlinie NIS-2: Dirk Wockes Empfehlungen zur Zusammenstellung der eigenen Task Force / Um den Anforderungen der NIS-2-Richtlinie gerecht zu werden, ist es entscheidend, rechtzeitig ein Kernteam für Sicherheitsbelange zu bestimmen

datensicherheit.de, 25.06.2024
Ab Oktober 2024: NIS-2-Richtlinie erzwingt Veränderungen in betroffenen Unternehmen / Betroffene Unternehmen müssen jetzt proaktiv handeln, denn es sind spezifische Sicherheitsmaßnahmen zu implementieren, um Netz- und Informationssysteme zu schützen

datensicherheit.de, 05.06.2024
NIS-2-Umsetzung bisher nur durch jedes dritte Unternehmen / Bei einem weiteren Drittel ist die NIS-2-Umsetzung laut ESET-Umfrage noch in Planung