Stellungnahme zum ITSIG2: „Sicherheit gestalten statt Unsicherheit verwalten”

Stellungnahme zum ITSIG2: „Sicherheit gestalten statt Unsicherheit verwalten”

Heute findet die öffentliche Anhörung im Innenausschuss des Deutschen Bundestags zum Entwurf des Zweiten Gesetzes zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz 2.0) statt. Der Chaos Computer Club (CCC) veröffentlicht seine 44-seitige Stellungnahme zum Gesetzentwurf.

Im Anschluss an die Anhörung zum Telekommunikationsmodernisierungsgesetz findet heute die Anhörung zum IT-Sicherheitsgesetz 2.0 statt, zu der ebenfalls ein Vertreter des CCC als Sachverständiger geladen ist.

Sicherheit gestalten statt Unsicherheit verwalten

Wie schon beim ersten IT-Sicherheitsgesetz sind viele der im Gesetzesentwurf vorgeschlagenen Maßnahmen nicht zielführend, um IT-Sicherheit tatsächlich und nachhaltig zu erhöhen. Stattdessen führt das Bundesministerium des Innern, für Bau und Heimat (BMI) seine fehlgeleitete Strategie der Bürokratisierung fort.

Auf die gesetzlich vorgeschriebene Evaluierung des ersten IT-Sicherheitsgesetzes wurde verzichtet. So konnte offenbar auch nicht das Wissen Anwendung finden, dass das Gesetz kein Schritt in die richtige Richtung war. Stattdessen läuft man weiter in die falsche Richtung.

Vertrauensverlust durch zweifelhaften Umgang mit Schwachstellen

Der CCC fordert seit Langem, dass das BSI eine unabhängige Behörde mit kompromisslosem IT-Sicherheits-Auftrag werden soll. Stattdessen macht das BMI mit dem IT-Sicherheitsgesetz 2.0 keinen Hehl mehr daraus, dass der sicherheitsstiftende Auftrag des BSI gegenläufigen Interessen des BMI an IT-Unsicherheiten untergeordnet wird: Das BSI soll zur aktiven Suche nach Schwachstellen ermächtigt, gleichzeitig aber nicht zu deren Meldung und Beseitigung verpflichtet werden.

„Unter keinen Umständen sollte das BSI jemals berechtigt sein, bei Kenntnis von Schwachstellen etwas anderes zu tun, als die Betroffenen zu informieren, auf eine Beseitigung hinzuarbeiten und zu gegebenem Zeitpunkt die Öffentlichkeit zu warnen.” sagte Linus Neumann, Sprecher des Chaos Computer Clubs.

Überbordende Befugnisse zum Eingriff in IT-Systeme

Zur Bekämpfung von nicht hinreichend definierten „Schadprogrammen” sollen dem BSI weitreichende Befugnisse zum Eingriff in die Integrität informationstechnischer Systeme gewährt werden. Für diesen Eingriff sind kaum Einschränkungen, keine Transparenzpflichten, und auch keine unabhängige Aufsicht vorgesehen. Selbst die Haftungsfrage wird nicht geklärt.

Eingriffe in das Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme müssen jedoch von eng definierten Voraussetzungen, ausführlicher Transparenz und streng eingegrenzten Zielen flankiert werden.

Definition „nicht vertrauenswürdiger Anbieter” greift ins Leere

Mit schwammigen Regeln zum Umgang mit nicht vertrauenswürdigen Anbieterinnen möchte die Bundesregierung der weltweit seit 2018 emotional und von Fakten weitgehend unbelastet geführten Diskussion über die Rolle chinesischer Netzwerkausrüstungsunternehmen begegnen.

Dabei werden unrealistische Angriffsszenarien konkret benannt, naheliegene Risiken jedoch explizit von der Betrachtung ausgeschlossen. Weiterhin wird die Diskussion geführt, ohne dass der Öffentlichkeit konkrete Beweise für mangelnde Vertrauenswürdigkeit vorliegen. Zugleich ignoriert die Bundesregierung seit vielen Jahren Beweise für mangelnde Vertrauenswürdigkeit US-amerikanischer Herstellerinnen.

Diese Diskussion ist ein herausragendes Beispiel für die Hilflosigkeit, Strategielosigkeit und Ahnungslosigkeit der deutschen IT-Sicherheitspolitik.

Ressourcenverschwendung durch „IT-Sicherheitskennzeichen”

Für mehr IT-Sicherheit sollen Herstellerinnen sich künftig freiwillig selbst mit einem IT-Sicherheitskennzeichen auszeichnen dürfen. Dies wünschen sich insbesondere deutsche Herstellerinnen schon seit längerem, um die Preise ihrer Produkte rechtfertigen zu können.

Schlappe 25 Stellen im BSI werden hierfür veranschlagt, obwohl noch nicht einmal eine unabhängige Prüfung vorgesehen ist. Zielführender wäre die Ausweitung der Produkthaftung auf den Bereich der IT-Sicherheit und die Einführung eines Mindestzeitraums für Updates, damit mangelnde Qualität künftig nicht mehr als Preis- und Marktvorteil zum Nachteil der IT-Sicherheit missverstanden werden kann.

Falscher Fokus auf „Unternehmen im besonderen öffentlichen Interesse”

Nachdem mit dem ersten IT-Sicherheitsgesetz kritische Infrastrukturen zum Fokus der Tätigkeit des BSI wurden, soll das BSI nun auch für Kriegswaffenherstellerinnnen, mit Gefahrenstoffen hantierende Unternehmen sowie für die nach ihrer inländischen Wertschöpfung größten Unternehmen in Deutschland zuständig sein.

Der Chaos Computer Club zweifelt daran, dass gerade diese Unternehmen nicht über eigene Ressourcen im Bereich der IT-Sicherheit verfügen. Das BSI soll sich lieber auf die Förderung und Bereitstellung einer auf kompromisslose IT-Sicherheit ausgelegten Infrastruktur für Bürgerinnen und kleinere Unternehmen konzentrieren.

Vorgeschichte

Die Bemühungen des BMI, eine öffentliche Diskussion und zivilgesellschaftliche Beteiligung zu verhindern, haben bei diesem Gesetzentwurf eine neue Qualität erreicht. Höhepunkt dieser Bemühungen war das Einräumen einer Frist von 28 Stunden zum Kommentieren eines um 16 Seiten erweiterten Referentinnenentwurfs für ein zweites IT-Sicherheitsgesetz.

Der Chaos Computer Club hat dieses Vorgehen öffentlich streng kritisiert und gehört zu den Unterzeichnerinnen eines offenen Briefes, in dem eine Vielzahl digitalpolitischer Organisationen „Angemessene Fristen statt Scheinbeteiligung“ fordern.

Links

Quelle: https://www.ccc.de/de/updates/2021/stellungnahme-zum-itsig2