Bundestag beschloss IT- Sicherheitsgesetz 2.0

IT-Sicherheitsgesetz 2.0

Bundestag beschloss IT- Sicherheitsgesetz 2.0

Berlin, 24.4.2021

Das heute im Bundestag beschlossene zweite Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz 2.0) wird weiterhin scharf kritisiert. Für zahlreiche Gegner dieses Gesetzes steht fest: Das Bundesamt für Sicherheit in der Informationstechnik (BSI) soll zu einer mächtigen Cyberbehörde mit Hackerbefugnissen aufgerüstet werden. Mit 799 neuen Stellen, die mit 74,24 Millionen Euro Personalkosten zu Buche schlagen, soll das Amt ein wesentlicher Akteur im Kampf gegen Botnetze, vernachlässigte Geräte im Internet der Dinge und Verbreiter von Schadsoftware werden. Eine positive Resonanz ist nicht erkennbar.

Wir beantworten die wichtigsten Fragen.

Warum brauchen wir dieses Gesetz? Dazu stellte Bundesinnenminister Horst Seehofer (CSU) fest:“Die Gefährdung im Cyberraum ist sehr hoch“, und die Angriffe würden immer intelligenter, der Schaden werde immer größer. „Wir müssen unsere Schutzmechanismen anpassen.“

Was ist das IT-Sicherheitsgesetz 2.0? Es regelt, wie die Betreiber kritischer Infrastrukturen (KRITIS) ihre IT-Sicherheitsmaßnahmen auf dem Laufenden halten. Außerdem werden die Kompetenzen des BSI (Bundesamt für Sicherheit im Internet) erheblich gestärkt.

Welche Unternehmen und Organisationen sind betroffen? Alle Unternehmen und Organisationen, die als Betreiber kritischer Infrastrukturen gewertet werden. Das sind Organisationen und Einrichtungen, die für das staatliche Gemeinwesen bedeutsam sind, weil durch ihren Ausfall nachhaltige Versorgungsengpässe entstehen können oder die öffentliche Sicherheit nicht mehr gewährleistet werden kann.
In Deutschland gehören folgende Unternehmen und Organisationen dazu:

• Energie: Elektrizität, Gas, Mineralöl, Fernwärme
• Gesundheit: Krankenhäuser, Arzneimittel und Impfstoffe, Forschungseinrichtungen
• Staat und Verwaltung: Verwaltung, Justiz, Notfallschutz (Katastrophenschutz) und Parlament
• Ernährung: Ernährungswirtschaft, Lebensmittelhandel
• Transport und Verkehr: Luftfahrt, See- und Binnenschifffahrt, Bahnverkehr, Straßenverkehr und Logistik
• Finanz- und Versicherungswesen: Banken, Börsen, Versicherungen, Finanzdienstleister
• Informationstechnik: Telekommunikation, Informationstechnik
• Medien und Kultur: Rundfunk, Presse, Kulturgüter und symbolträchtige Bauwerke
• Wasser: Wasserversorgung, Abwasserbeseitigung

Welche Folgen hat das für die Unternehmen und Organisationen? Die Betreiber kritischer Infrastrukturen sind verpflichtet, Systeme zur Angriffserkennung einzusetzen. Sogenannte Intrusion Detection Systems (IDS) sind algorithmisch basierte Systematiken und Software, die anhand von Log-Dateien Angriffe auf ein System erkennt und konkretisiert. Über eine dem BSI bekannte Kontaktperson (auch: Funktionspostfach) muss das KRITIS- Mitglied außergewöhnliche Störungen und andere Risikoquellen melden. Die Unternehmen sind außerdem verpflichtet Reaktionspläne und Präventionsmaßnahmen für den Fall einer massiven Versorgungsstörung auszuarbeiten. Die System-Absicherung der KRITIS Betreiber muss entsprechend auditiert werden und gegenüber dem BSI alle zwei Jahre nachgewiesen werden.

Wer kritisiert was?

Bitkom: Das IT-Sicherheitsgesetz 2.0 schafft eine Kombination aus technischer Zertifizierungsmaschinerie und politisch-regulatorischem Gutdünken mit fragwürdigem Mehrwert für die IT-Sicherheit. Rechts-, Planungs- und Investitionsunsicherheiten werden als Kollateralschäden in Kauf genommen, vor allem mit Blick auf den 5G-Netzausbau. Das wird der Zukunftsfähigkeit des Standorts schaden.

Mario Brandenburg. Der technologiepolitische Sprecher und Obmann im Ausschuss Digitale Agenda der Freien Demokraten im Deutschen Bundestag: „ Wir als Freie Demokraten und viele Expert:innen fordern schon lange ein unabhängiges BSI, welches nicht durch das BMI kontrolliert wird. Nur so kann eine schlagkräftige, vertrauenswürdige und sichere Behörde aufgebaut werden. Auch fordern wir ein verpflichtendes IT-Sicherheitszertifikat auf europäischer Ebene und lehnen den wenig durchdachten und bürokratiefördernden deutschen Alleingang ab.”

Klaus Landefeld, stellvertretender Vorstandsvorsitzender des eco, moniert: „Hier werden politische Interessen vor die IT-Sicherheit gestellt. Warum sind Unternehmen bei Sicherheitsvorfällen zu einer akribischen Meldepflicht an das BSI verpflichtet, aber staatliche Behörden dürfen wichtige Sicherheitsinformationen den Unternehmen vorenthalten? Wer überwacht die Überwacher, wenn die Bundesregierung ganz klar staatliches Hacking fördert?“ Landefeld meint, das IT-Sicherheitsgesetz 2.0 dürfe nicht isoliert gesehen werden. Dieses Gesetz sieht er als Bestandteil des Trends zu noch mehr Überwachungsbegehrlichkeiten. Weiteres Beispiel hierfür sei das geplante BND-Gesetz.

Ähnlich äußerte sich Manuel Atuf von der Arbeitsgemeinschaft Kritische Infrastruktur. Er bemängelte die völlige “Strategie- und Ziellosigkeit des gesamten Verfahrens”. Weiter kritisierte Atuf, dass die Chance vertan worden sei, das BSI unabhängig aufzustellen. Nun sei das Amt nicht mehr als ein “Handlanger der Sicherheitsbehörden und Nachrichtendienste”.

Für die Reform stimmten die Regierungsfraktionen von CDU/CSU und SPD. Die Opposition war geschlossen dagegen, ihre Anträge fanden aber keine Mehrheit.