Kritik am IT-Sicherheitsgesetz


IT-Sicherheitsvorfälle: Was konkret zu den Kritischen Infrastrukturen gehört, soll laut Entwurf in einer folgenden Rechtsverordnung festgeschrieben werden
Um den Schutz der Bürger vor Cyberkriminalität zu verbessern, sollen Betreiber von Webseiten sowie Access-Provider der Vorlage entsprechend verpflichtet werden, IT-Sicherheit "nach dem Stand der Technik" zu gewährleisten

(07.05.15) - Experten sehen Änderungs- und Ergänzungsbedarf bei dem von der Bundesregierung vorgelegten Entwurf eines IT-Sicherheitsgesetzes (18/4096). Während einer öffentlichen Anhörung des Innenausschusses begrüßte die überwiegende Mehrheit der geladenen Sachverständigen das Vorhaben der Regierung, gesetzliche Regelungen zur Verbesserung der IT-Sicherheit zu schaffen. Ziel der Regierungsinitiative ist es vor allem, "Kritische Infrastrukturen", also Einrichtungen, "die für das Funktionieren unseres Gemeinwesens zentral sind", wie die Regierung in dem Entwurf schreibt, besser vor Angriffen auf ihre informationstechnischen Systeme zu schützen. Dazu sollen deren Betreiber dem Entwurf zufolge künftig ein Mindestniveau an IT-Sicherheit einhalten und dem Bundesamt für Sicherheit in der Informationstechnik (BSI) IT-Sicherheitsvorfälle melden. Was konkret zu den Kritischen Infrastrukturen gehört, soll laut Entwurf in einer folgenden Rechtsverordnung festgeschrieben werden.

Um den Schutz der Bürger vor Cyberkriminalität zu verbessern, sollen Betreiber von Webseiten sowie Access-Provider der Vorlage entsprechend verpflichtet werden, IT-Sicherheit "nach dem Stand der Technik" zu gewährleisten. Zudem sollen sie IT-Sicherheitsvorfälle, die zu einem unerlaubten Zugriff auf Systeme der Nutzer oder einer Beeinträchtigung der Verfügbarkeit führen können, unverzüglich über die Bundesnetzagentur an das BSI melden und betroffene Nutzer über bekannte Störungen ihrer Systeme informieren.

Iris Plöger vom Bundesverband der Deutschen Industrie (BDI) kritisierte während der Anhörung, dass aus dem Entwurf nicht hervorgehe, welche Bereiche und Unternehmen zu den "Kritischen Infrastrukturen" gehören. Auch was die Meldepflicht angeht, so stünden "Aufwand und Nutzen in keinem Verhältnis", kritisierte sie. Zudem sei nicht nachvollziehbar, warum sich das Gesetz lediglich an private Betreiber kritischer Infrastrukturen richte. Der Kritik an der fehlenden Klarstellung, wer zu den Kritischen Infrastrukturen gehört, schloss sich Axel Wehling vom Gesamtverband der Deutschen Versicherungswirtschaft an. Skeptisch bewertete er auch die Regelung, wonach das BSI Meldungen über Angriffe an Dritte weitergeben könne. Eine solche Meldung, solle künftig tatsächlich möglich sein, müsse so erfolgen, "das kein Rückschluss auf das betroffenene Unternehmen möglich ist", forderte er.

Aus Sicht von Professor Gerrit Hornung von der Universität Passaus ist die Bestimmtheit bei der Beschreibung der Kritischen Infrastrukturen "gerade noch gewahrt". Dennoch sei es sinnvoll, die Kriterien für deren Auswahl in das Gesetz einzufügen, sagte er. Auch Professor Alexander Roßnagel von der Universität Kassel nannte die Definition der kritischen Infrastrukturen im Gesetz "ausreichend". Zugleich forderte er, die Information der Öffentlichkeit über Schutzlücken in IT-Systemen zu verbessern. "Die Information muss die Regel, die Verweigerung die Ausnahme sein", forderte Roßnagel. Der IT-Rechtsexperte Hornung bemängelte die fehlenden Sanktionen gegenüber den Unternehmen bei ausbleibender Information über erkannte Sicherheitslücken. Solche Sanktionen sehe auch die europäische IT-Sicherheitsregelung vor, die derzeit in Arbeit sei, sagte er.

Lesen Sie zum Thema "IT-Sicherheit" auch: IT SecCity.de (www.itseccity.de)

Den Fokus auf die Hersteller von Hart- und Softwareprodukten richtete Thomas Tschersich von der Deutschen Telekom AG. Man könne nicht Telekommunikationsanbietern aufbürden, Sicherheitsrisiken bei solchen Produkten zu beheben, sagte der Telekom-Vertreter. Zugleich nannte er die im Entwurf enthaltene Meldepflicht über unerlaubte Zugriffe auf Nutzersysteme "zielführend und sinnvoll". Eine Meldepflicht für "potentielle Möglichkeiten einer Verwundbarkeit" führe jedoch "ins Uferlose", befand Tschersich.

Als schärfster Kritiker der geplanten Regelung erwies sich Linus Neumann von Chaos Computer Club. Die dadurch geschaffene Bürokratie gehe zu Lasten pro-aktiver Schutzmaßnahmen, bemängelte er. Außerdem sehe der Entwurf lediglich Unternehmen als schützenswert an. Den großflächigen Angriffen auf Privatpersonen und den daraus resultierenden Schäden werde jedoch nicht entgegen getreten. Neumann wandte sich zugleich gegen die Installation des BSI als zentrale Meldestelle. Als dem Bundesinnenministerium unterstellte Behörde könne es zu Interessenkonflikten kommen, so Neumann unter Verweis auf Medienmeldungen, das BSI sei an der Entwicklung des "Bundestrojaners" beteiligt.

BSI-Präsident Michael Hange sagte hingegen, sein Amt sehe sich bereit für die aktiv-präventive Rolle, die das Gesetz dem BSI zuweise. Hange lobte den Entwurf. Er sei ein wichtiger Schritt zur Verbesserung der IT-Sicherheit "sowohl für Kritische Infrastrukturen aber auch für die Bürger als Internetnutzer".

Professor Jochen Schiller von der Freien Universität Berlin rückte kleine und mittelständische Unternehmen (KMU) in den Mittelpunkt des Interesses. Diese seien in dem Entwurf nicht erfasst, was aus seiner Sicht sogar nachvollziehbar ist. Dennoch dürfe man nicht der Fehleinschätzung unterliegen, KMU bedürften keines Schutzes. Es seien manchmal kleine Schräubchen, deren Manipulation das große Gebilde ins Wanken bringen könne, sagte Schiller und sprach sich für eine dahingehende Anpassung des Gesetzes "in einem weiteren Schritt" aus. (Deutscher Bundestag: ra)


Kostenloser Compliance-Newsletter
Ihr Compliance-Magazin.de-Newsletter hier >>>>>>


Meldungen: Bundestag, Bundesregierung, Bundesrat

  • Lobbygesellschaft für Digitale Transformation

    Die Bundesregierung gestaltet nach eigener Darstellung die digitale Transformation im Sinne der Bürger durch digitalpolitische Initiativen aktiv mit. Dazu würden bestehende Verfahren kontinuierlich modernisiert und implementiert im Hinblick auf aktuelle technische Entwicklungen, heißt es in der Antwort (20/13814) der Bundesregierung auf eine Kleine Anfrage (20/13448) der AfD-Fraktion.

  • AfD fordert Stopp der Wärmewende

    Die AfD-Fraktion will durch einen Stopp der Wärmewende Wohnen wieder bezahlbar machen. In einem Antrag (20/13764) wird insbesondere eine Absenkung der Energiestandards bei Neubauten verlangt.

  • AfD-Fraktion hält EU-Richtlinie für "rechtswidrig"

    Für die AfD-Fraktion greift eine EU-Richtlinie "rechtswidrig in die Grundrechte der Bürger ein". Das schreibt sie in einem Antrag (20/13799), in dem sie darauf abzielt, dass das EU-Parlament und der Rat der EU am 24. April 2024 die Richtlinie über die Abschöpfung und Einziehung von Vermögenswerten beschlossen hätten.

  • Umsetzung der "eIDAS 2.0"-Verordnung

    Um die Umsetzung der "eIDAS 2.0"-Verordnung geht es in einem Antrag der CDU/CSU-Fraktion (20/13735). Wie die Fraktion darin ausführt, wird mit eIDAS 2.0 "eine persönliche europäische digitale Brieftasche, die EUDI-Wallet" geschaffen.

  • Neufassung der Energieauditpflicht

    Der Ausschuss für Klimaschutz und Energie im Rahmen einer Sachverständigen-Anhörung mit dem Gesetzentwurf der Bundesregierung "zur Änderung des Gesetzes über Energiedienstleistungen und andere Effizienzmaßnahmen, zur Änderung des Energieeffizienzgesetzes und zur Änderung des Energieverbrauchskennzeichnungsgesetzes (20/11852) befasst. Im Fokus stand dabei vor allem die Neufassung der Energieauditpflicht.

Wahrnehmung von Urheberrechten Steuerbelastung in Deutschland

Wir verwenden Cookies um unsere Website zu optimieren und Ihnen das bestmögliche Online-Erlebnis zu bieten. Mit dem Klick auf "Alle akzeptieren" erklären Sie sich damit einverstanden. Erweiterte Einstellungen