IT-Sicherheitsgesetz im Kabinett beschlossen – Die kritischen Punkte zusammengefasst

IT-Sicherheitsgesetz im Kabinett beschlossen

– Die kritischen Punkte zusammengefasst

https://netzpolitik.org/2014/it-sicherheitsgesetz-im-kabinett-beschlossen-die-kritischen-punkte-zusammengefasst/

FAQ Netzneutralität

IT-Sicherheitsgesetz im Kabinett beschlossen

– Die kritischen Punkte zusammengefasst

von am 17. Dezember 2014, 12:00 in Deutschland / 2 Kommentare
Nicht wie im Bild: Die Bürger werden weiterhin bei den meisten Vorfällen im Dunkeln gelassen - via bsi-fuer-buerger.deNicht wie im Bild: Die Bürger werden weiterhin bei den meisten Vorfällen im Dunkeln gelassen – via bsi-fuer-buerger.de

Heute wurde im Kabinett das IT-Sicherheitsgesetz beschlossen. Beim Bundesinnenministerium war zuvor nur ein Gesetzesentwurf aus dem August verfügbar, wir haben Anfang November den aktuellsten uns vorliegenden Entwurf veröffentlicht. Ein Vergleich der beiden Versionen findet sich bei dem IT-Sicherheitsbeauftragten der Max-Planck-Gesellschaft Rainer Gerling.

Es gibt viele Punkte im IT-Sicherheitsgesetz, die problematisch sind. Die wesentlichen, die sich auch in der heute verabschiedeten Version finden, sind hier noch einmal zusammengefasst:

  • Das BSI bekommt die Aufgabe, Sicherheitslücken zu sammeln und auszuwerten [§8b], muss sie aber nicht zwingend veröffentlichen — zumindest nicht gegenüber der breiten Bevölkerung.
  • Es gibt eine Meldepflicht für Sicherheitsvorfälle bei Unternehmen, aber keine konsequente. Standardfall sind anonyme Meldungen [§8b(4)], bei denen die Information der Betroffenen nicht sichergestellt ist, nicht einmal das BSI erfährt den Namen des betroffenen Unternehmens. Darüberhinaus greift jegliche Meldepflicht erst bei der Bereitstellung “Kritischer Infrastrukturen“, also Wasser, Energie, Telekommunikation [§8c].
  • Namentliche Meldung muss erst ab dem Ausfall kritischer Infrastruktur erfolgen, nicht bei einem Angriff oder Schaden im Allgemeinen. Also dann, wenn großflächig das Licht ausgeht und sowieso jeder mitbekommen würde, dass etwas nicht in Ordnung ist. Das bedeutet auch, dass beispielsweise ein massenhafter Datenabfluss aus einem Energieunternehmen gar nicht von Regelungen des IT-Sicherheitsgesetzes betroffen wäre, da der Betrieb dennoch funktioniert. Aus Ministeriumskreisen hieß es, die Unternehmen hätten diese Vereinbarung “sehr goutiert.”
  • Was letztlich ein “kritischer Vorfall” und eine “erhebliche Störung” sind, die zu einer anonymen Meldung verpflichten, wird diskutiert werden müssen. Angeblich sollen das Betreiber und BSI zusammen festlegen, da die Betreiber am besten wüssten, welches ihre kritischen Betriebsprozesse seien.
  • Durch anonyme Meldungen entsteht auch kein öffentlicher Druck für die Unternehmen, ihre Sicherheitsvorkehrungen zu verbessern, Sanktionen sind ebenso nicht vorgesehen. Hier hofft man darauf, dass bereits andere gesetzliche Regelungen greifen und die Branchen selbst derartige Regelungen treffen. Branchen könnten eigene Standards erarbeiten und vom BSI anerkennen lassen.
  • In Zukunft soll das BKA für sogenannte “Hackertools” und deren Verfolgung zuständig sein und mehr Kompetenzen im Bereich Internetstraftaten bekommen. Damit würde vor der Erforschung und Veröffentlichung von Sicherheitslücken und Exploits weiter abgeschreckt [Artikel 7].
  • BKA, BBK und Verfassungsschutz sollen neben dem BSI mehr Mittel Kompetenzen bekommen, vor allem bei Eingriffen in Systeme des Bundes und kritische Infrastrukturen [Artikel 7].

Was verspricht man sich von einem IT-Sicherheitsgesetz, dass nur wenig konkrete Konsequenzen haben wird und dem man den Druck der Industrie, so wenig wie möglich zur Verantwortung gezogen werden zu können, überdeutlich anmerkt?

Die Antwort: Ein “verbessertes Bild zur IT-Sicherheitslage” in Deutschland. Der Gesetzentwurf der Bundesregierung spricht davon, dass bei 2000 Betreibern kritischer Infrastruktur vermutlich maximal sieben Meldungen pro Betreiber und Jahr anfallen. Bekommt man so also mehr Meldungen über IT-Sicherheitsvorfälle als in den vergangenen Jahren, hat das nebenbei den Effekt, dass man in Lageberichten noch besser die Gefahren aus dem Internet beschwören kann, um Maßnahmen zu dessen Überwachung und Regulierung zu rechtfertigen.

Einen Teilerfolg in der abgestimmten Entwurfsversion gibt es jedoch zu verzeichnen, um nicht alles schwarz zu malen. Die Speicherberechtigung von Telemedienanbietern, Nutzerdaten bis zu sechs Monate lang zu protokollieren, um Fehler zu erkennen und zu beheben, ist aus der jetzigen Gesetzesfassung gestrichen worden [Artikel 4]. Wir hatten zuvor darüber berichtet, dass es in den Ressorts Diskussionen dazu gab, ob das eine neue Form von Vorratsdatenspeicherung sein könnte. Unseren Informationen zufolge verschwand die Berechtigung wieder, da man sich innerhalb der Bundesregierung nicht einigen konnte. Ganz vom Tisch sei das Thema aber noch nicht, die Industrie mache großen Druck in diese Richtung — natürlich nur, um sich besser präventiv vor Angriffen schützen zu können…

Unserer Einschätzung nach greift das IT-Sicherheitsgesetz an vielen Stellen zu kurz. Vor allem was die Meldepflichten, aber auch was die überhaupt betroffenen Unternehmen angeht. Ob das Gesetz also nicht nur eine Simulation von IT-Sicherheit generieren wird, werden wir beobachten. Zunächst aber einmal die Pressekonferenz von Innenminister de Maizière verfolgen, der das Gesetz der Öffentlichkeit präsentieren will, zusammen mit einem Lagebericht zur IT-Sicherheit in Deutschland, der durch BSI-Präsident Michael Hange präsentiert werden wird.

via netnet

Advertisements

Kommentar verfassen

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden / Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden / Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden / Ändern )

Google+ Foto

Du kommentierst mit Deinem Google+-Konto. Abmelden / Ändern )

Verbinde mit %s