Zum Hauptinhalt springen
17.12.2020

Das IT-Sicherheitsgesetz 2.0

Anlass

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) soll in Zukunft neue, zum Teil kontrovers diskutierte, Befugnisse erhalten. Das geht aus dem am 16.12.2020 vom Bundeskabinett veröffentlichten [I] Entwurf für das IT-Sicherheitsgesetz 2.0 hervor (siehe Primärquelle). Das Gesetz soll das BSI stärken, den digitalen Schutz kritischer Infrastrukturen und Unternehmen verbessern und auch regeln, welche Auflagen Hersteller von Produkten, die in kritischen Infrastrukturen eingesetzt werden, erfüllen müssen. Dieser – offensichtlich auf die Debatte über Huaweis Beteiligung beim Ausbau des 5G-Netzes bezogene – Teil des Gesetzes wurde erst in späteren Versionen aufgenommen und kontrovers diskutiert.

Nach fast zwei Jahren Bearbeitungszeit wurde der Gesetzesentwurf schlussendlich sehr schnell beschlossen. Daran gab es einige Kritik: Verbände bemängelten, dass sie für ihre Stellungnahmen zu einem fast 100-seitigen Gesetz nur wenige Tage Zeit hatten. Auch am Gesetz selbst wurde bei den Vorgängerversionen an vielen Stellen noch Verbesserungsbedarf gesehen.

So sind die zusätzlichen Befugnisse für das BSI weitreichend: Das Amt – das 799 neue Personalstellen bekommen soll – kann unter anderem auf Grundlage des Gesetzes Protokolldaten der Online-Kommunikation von Internetnutzern für bis zu zwölf Monate speichern, aktiv nach Sicherheitslücken suchen und muss diese sogar, wenn „überwiegende Sicherheitsinteressen“ bestehen, nicht an die für das System Verantwortlichen zu melden. Insbesondere dieses Offenhalten von Sicherheitslücken wurde in der Vergangenheit heftig kritisiert, da so die allgemeine IT-Sicherheit geschwächt wird.

Kritisiert wurde auch, dass die im ersten IT-Sicherheitsgesetz [II] festgelegte wissenschaftliche Evaluation nicht erfolgt ist.

Übersicht

     

  • Dr. Simon Assion, Rechtsanwalt mit Spezialisierung auf Informations- und Kommunikationsrecht in der Kanzlei Bird&Bird und Mitbegründer von „Telemedicus“, einem „juristischen Internetprojekt zu allen Rechtsfragen der Informationsgesellschaft“
  •  

  • Dr. Dennis-Kenji Kipker, Wissenschaftlicher Geschäftsführer am Institut für Informationsrecht (IGMR), Universität Bremen
  •  

Statements

Dr. Simon Assion

Rechtsanwalt mit Spezialisierung auf Informations- und Kommunikationsrecht in der Kanzlei Bird&Bird und Mitbegründer von „Telemedicus“, einem „juristischen Internetprojekt zu allen Rechtsfragen der Informationsgesellschaft“

„Das IT-Sicherheitsrecht in Deutschland hat ein Update gebraucht, und das Gesetz ist sicherlich ein Schritt in die richtige Richtung. Einige Punkte sind aber kritisch, beispielsweise der Ausbau des BSI zu einer Behörde mit polizeiähnlichen Funktionen.“

„Das BSI kann nicht beides gleichzeitig sein: Freund und Helfer bei aktuellen IT-Sicherheitsproblemen und Aufsichtsbehörde, die IT-Sicherheitslücken auch sanktioniert.“

„Die besondere Bedeutung des BSI für die IT-Sicherheit in Deutschland beruhte bisher stark darauf, dass das BSI zwar vielen Unternehmen bei IT-Sicherheitsproblemen zur Seite gesprungen ist, aber nicht als Aufsichtsbehörde für diese zuständig war. Dies war wichtig für das Vertrauen der Unternehmen bei der Zusammenarbeit, zum Beispiel bei der Offenlegung von Sicherheitslücken. Mit dem neuen Gesetz wird sich das ein Stück weit ändern. Ob die Effektivität des BSI darunter leidet, wird man sehen. “

Auf die Frage, inwieweit die Fristen zur Stellungnahme zum Gesetzentwurf für die Verbände nicht zu kurz waren und inwiefern das für den Gesetzgebungsprozess problematisch ist:
„Die Stellungnahmefristen waren viel zu kurz. Andererseits wurden frühere Fassungen des IT-Sicherheitsgesetzes auch immer wieder ‚geleakt‘, sodass die angehörten Verbände sich bereits frühzeitig vorbereiten konnten. Wer allerdings bis zur offiziellen Stellungnahmefrist abgewartet hat, hatte das Nachsehen.“

„So kurze Stellungnahmefristen gehören nicht zu einer funktionierenden Demokratie.“

Auf die Frage, inwieweit die Kritik von Verbänden, Expert*innen und Zivilgesellschaft berücksichtigt wurde:
„Viele kritische Punkte sind weggefallen und verbessert worden. Beispielsweise enthielten die früheren Entwurfsfassungen des Gesetzes eine Regelung, nach der die Anbieter von Internetseiten und sonstigen ‚digitalen Dienstleistungen‘ dazu verpflichtet werden sollten, es unmittelbar an das Bundeskriminalamt zu melden, wenn Dritte auf ihren Angeboten rechtswidrig erlangte Daten veröffentlichen. Diese Regelung hätte erheblichen Überwachungsdruck erzeugt. Richtigerweise hat die Bundesregierung diese Regelung noch gestrichen. Aber da ist noch Luft nach oben.“

Dr. Dennis-Kenji Kipker

Wissenschaftlicher Geschäftsführer am Institut für Informationsrecht (IGMR), Universität Bremen

„So gut die hinter dem IT-Sicherheitsgesetz 2.0 (IT-SiG 2.0) stehende Idee letztlich auch sein mag: Dieses Gesetz wirft mehr Schatten als Licht. Inhaltlich wurden über Jahre hinweg viele Punkte kritisiert, wirklich aufgegriffen wurde diese Kritik aber nicht. Begonnen bei den umfassenden Datensammelbefugnissen, über den Hackerparagraphen mit seinen unangekündigten Infiltrationsmöglichkeiten, die schwammige Definition der Unternehmen im öffentlichen Interesse bis hin zur Lieferkettenregelung, die die unzureichende digitale Souveränität mit einem Gesetz erzwingen will, ohne auf die Umsetzbarkeit zu achten. Ein paternalistisches System und nationale Alleingänge werden leider mehr und mehr großgeschrieben. Bestes Beispiel ist in diesem Zusammenhang auch das fragwürdige IT-Sicherheitskennzeichen, das offensichtlich mit EU-Recht kollidiert.“

„Das BSI ist die zentrale Anlaufstelle für die IT-Sicherheit in Deutschland und in dieser Funktion muss es seinen Aufgaben grundsätzlich auch nachkommen können. Ohne eine angemessene Personaldecke ist dies nicht möglich. Die Frage ist aber, ob das BSI immer mehr Befugnisse erhalten muss, oder ob man diese nicht auch bei bereichsspezifischen Behörden verorten kann, die näher an den Sachverhalten dran sind. Zu stark eingeschränkt im Hinblick auf ihre Befugnisse war die Behörde in der Vergangenheit jedenfalls nicht, denn mit dem ersten IT-SiG kamen schon viele Kompetenzen hinzu.“

Auf die Frage, inwieweit die Fristen zur Stellungnahme zum Gesetzentwurf für die Verbände nicht zu kurz waren und inwiefern das für den Gesetzgebungsprozess problematisch ist:
„Leider muss man auch an dieser Stelle sagen: So geht es nicht. Aber dahingehend dürfte meine Meinung bei Weitem nicht die einzige sein. Diese Art, Gesetze zu machen, ist aber nichts Neues und das erlebt man immer wieder. Zu gerne erinnere ich mich an die Anpassung des bereichsspezifischen Bundesdatenschutzrechts an die EU DS-GVO, bei der das Gesetz in einer Nacht-und-Nebel-Aktion tatsächlich mitten in der Nacht in der letzten Sitzung vor der Sommerpause 2019 den Bundestag passiert hat. Aber das ist nicht der einzige Punkt. Wir brauchen an dieser Stelle einfach mehr Transparenz, auch in der Bestellung von Sachverständigen und in der Würdigung ihrer Stellungnahmen. Ich halte es aber für unwahrscheinlich, dass sich da auf absehbare Zeit etwas ändern wird, was höchst bedauerlich ist.“

„Es ist zu sagen, dass es sich bei der beschlossenen Version nicht um das Ende des Gesetzgebungsprozesses handelt, und ‚final‘ insoweit natürlich relativ ist. Gleichwohl kann davon ausgegangen werden, dass das verabschiedete Gesetz diesem Regierungsentwurf in vielen Punkten zumindest ähnlich sein wird. Nach einer ersten Durchsicht kann ich nicht sagen, dass sich in dieser Version gegenüber dem Diskussionsentwurf signifikante Änderungen ergeben haben. Auch die Punkte, die ich in meiner Stellungnahme für die Universität Bremen aufgegriffen habe, sind unverändert geblieben. Es bleibt aber zu hoffen, dass die Klausel zur Evaluierung dazu beiträgt, unzureichende oder überschießende gesetzliche Regelungen nach Inkrafttreten zu einem späteren Zeitpunkt neu zu bewerten.“

Auf die Frage, wie das Offenhalten von Sicherheitslücken zu beurteilen ist:
„Das ist ein Thema, das nicht nur allein mit dem IT-SiG 2.0 zu tun hat, denn es betrifft den scheinbar unauflöslichen Konflikt zwischen Freiheit und Sicherheit. Relevant ist diese Diskussion auch, wenn staatliche Einrichtungen auf dem grauen Markt Zero Day Exploits (ein Angriff, der eine Sicherheitslücke ausnutzt, bevor der Softwarehersteller die Lücke schließen kann; Anm. d. Red.) aufkaufen. Dabei kommt es jedoch tatsächlich auf die konkrete Perspektive an, denn das BSI schafft ja keine neuen Sicherheitslücken und nutzt diese auch nicht aus, um IT-Systeme zu infiltrieren und Daten abzugreifen. Insoweit kann – auf Einzelfälle beschränkt – durchaus ein Interesse daran bestehen, bestimmte Vorfälle nicht immer und sofort zu melden. Das muss jedoch, wie festgestellt, eine Einzelfallentscheidung sein, die nur nach sorgfältiger Interessenabwägung getroffen werden kann.“

Auf die Frage, inwiefern das Thema der Beteiligung Huaweis am Ausbau des 5G-Netzes in Deutschland überhaupt eine Frage der IT-Sicherheit ist und nicht eher eine politische:
„Letztlich muss man leider sagen: Deutschland hat es über Jahre versäumt, die vielzitierte digitale Souveränität zu fördern. Stattdessen stand über 20 Jahre lang eine Politik im Mittelpunkt, die den Ausverkauf auch von digitalen Schlüsselindustrien duldete oder gar guthieß. Bestes Beispiel in diesem Zusammenhang ist zweifellos der Telekommunikationssektor: Waren bis in die frühen 2000er deutsche und europäische Mobiltelefone noch breit auf dem Markt vertreten, ist heutzutage nichts mehr davon übrig. Und nun versucht man, diese unternehmerischen und politischen Fehlentscheidungen aus der Vergangenheit mit allen nur erdenklichen Mitteln so schnell wie möglich zu korrigieren, ungeachtet dessen, ob Regelungen überhaupt praktikabel sind. Das geht weder rasch durch Gesetzgebung noch durch Förderprojekte, sondern wird sich sukzessiv und auch durch den Markt und das Verbraucherverhalten gesteuert entwickeln müssen. Insoweit hat das Thema Huawei eigentlich nichts mit dem IT-Sicherheitsgesetz zu tun.“

Angaben zu möglichen Interessenkonflikten

Dr. Simon Assion: „Als Rechtsanwalt berate ich verschiedene Unternehmen, die von diesem Gesetz betroffen sein werden.“

Dr. Dennis-Kenji Kipker: „Es bestehen keine Interessenkonflikte.“

Primärquelle

Bundesregierung: Entwurf eines Zweiten Gesetzes zur Erhöhung der Sicherheit informationstechnischer Systeme.

Literaturstellen, die vom SMC zitiert wurden

[I] Bundesministerium des Innern, für Bau und Heimat (16.12.2020): Kabinett beschließt Entwurf für IT-Sicherheitsgesetz 2.0. Pressemitteilung.

[II] Bundesgesetzblatt (2015): Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz).