Deutsche Märkte geschlossen
  • Nikkei 225

    29.663,50
    +697,49 (+2,41%)
     
  • Dow Jones 30

    31.637,56
    +705,19 (+2,28%)
     
  • BTC-EUR

    40.164,81
    +3.591,93 (+9,82%)
     
  • CMC Crypto 200

    967,79
    +39,56 (+4,26%)
     
  • Nasdaq Compositive

    13.567,61
    +375,27 (+2,84%)
     
  • S&P 500

    3.909,77
    +98,62 (+2,59%)
     

Viel Bürokratie, wenig Sicherheitsgewinn: Verbände und Experten kritisieren IT-Sicherheitsgesetz

Hoppe, Till
·Lesedauer: 3 Min.

Wirtschaft und Experten klagen über die mangelnde Mitsprachemöglichkeit bei dem Sicherheitsgesetz. Die Bundesregierung will es trotzdem im Eilverfahren verabschieden.

Die Bundesregierung hat es jetzt eilig: Rund zwei Jahre arbeitete das federführende Innenministerium am Entwurf des Zweiten IT-Sicherheitsgesetzes, nun soll es im Eilverfahren verabschiedet werden – trotz scharfer Kritik von Wirtschaft und Experten, die über mangelnde Möglichkeiten zur Mitsprache klagen.

Das Gesetzesvorhaben bringe viel Bürokratie mit sich, aber wenig Sicherheitsgewinn, bemängeln etwa BDI, der Automobilverband VDA und das Deutsche Verkehrsforum unisono. Sie fordern erhebliche Nachbesserungen an dem Entwurf.

Aber die Große Koalition scheint entschlossen, das Gesetz noch im ersten Quartal in Bundestag und Bundesrat zu verabschieden. Der Regierungsentwurf sei „eine gute Grundlage“, um das Gesetzgebungsverfahren zum Abschluss zu bringen, sagt der digitalpolitische Sprecher der Unionsfraktion, Tankred Schipanski.

Innenminister Horst Seehofer (CSU) hatte den Entwurf Ende November veröffentlicht. Zuvor hatten die beteiligten Ministerien verbissen über das Prüfverfahren verhandelt, das für Ausrüster der neuen 5G-Mobilfunknetze gelten soll – insbesondere chinesische Anbieter wie Huawei. Diese sollen kritische Komponenten künftig vom Bundesamt für Sicherheit in der Informationstechnik (BSI) zertifizieren lassen müssen und überdies eine Garantieerklärung abgeben, keine Hintertüren eingebaut zu haben.

Der Streit überdeckte andere Bestimmungen in den Gesetzesplänen, die aus Sicht der Industrie problematisch sind. So sollen nicht nur die Betreiber kritischer Infrastrukturen wie Strom-, Wasser- oder Telekommunikationsnetze, sondern auch Großunternehmen aus anderen Bereichen etliche Pflichten auferlegt werden.

Unternehmen „von erheblicher volkswirtschaftlicher Bedeutung“ sollen dem BSI gegenüber darlegen müssen, welche Maßnahmen sie zur Verbesserung ihrer IT-Sicherheit vorgesehen haben. Das Amt soll dann zusätzliche Maßnahmen für die Unternehmen anordnen können. Zudem sollen die Firmen verpflichtet werden, Cyberangriffe unverzüglich an das BSI zu melden.

Statt „überbordender Verpflichtungen für Unternehmen“, kritisiert Iris Plöger, Mitglied der BDI-Hauptgeschäftsführung, brauche es eine enge Kooperation zwischen dem Staat und den Firmen. Florian Eck, Geschäftsführer des Deutschen Verkehrsforums, rügte, das Vorhaben stehe „im Gegensatz zum politisch diskutierten Belastungsmoratorium“ für die Wirtschaft und bringe überdies keinen erkennbaren Sicherheitsgewinn.

Auch Manuel Atug, Sprecher der unabhängigen Expertengruppe „AG Kritis“, kritisiert umfangreiche Dokumentations- und Berichtspflichten durch das Gesetz. „Diese erhöhen nicht die Sicherheit, im Gegenteil: Sie halten die IT-Verantwortlichen davon ab, ihre eigentliche Arbeit zu machen.“

Industrie fordert mehr Unterstützung vom BSI

Die Industrie fordert im Gegenzug für die Pflichten mehr Unterstützung durch das BSI: Die Bonner Behörde solle zentrale Meldestelle für Cybersicherheitsvorfälle werden und die Unternehmen tagesaktuell über Angriffstaktiken informieren, forderte Plöger.

Für Befremden sorgt in der Wirtschaft eine weitere Bestimmung: Demnach soll das BSI die Anwender über Sicherheitslücken in IT-Systemen nur dann informieren müssen, wenn dem nicht „überwiegende Sicherheitsinteressen“ entgegenstehen.

Innenminister Seehofer wolle „das Wissen über Sicherheitslücken für die Sicherheitsbehörden bunkern“, kritisierte der FDP-Digitalpolitiker Manuel Höferlin. Auch Plöger warnt vor einer „offenen Flanke, die auch Cyberkriminelle ausnutzen können“. Experten befürchten, die ohnehin begrenzte Bereitschaft der Unternehmen zur Zusammenarbeit mit dem BSI werde weiter untergraben, wenn diese befürchten müssten, dass Informationen über Schwachstellen bei den Geheimdiensten landeten.

Für wenig zielführend halten die Kritiker ein weiteres Vorhaben des Gesetzes 2.0: die Einführung eines IT-Sicherheitskennzeichens für bestimmte Hard- und Softwareprodukte, das aber freiwillig sein soll. „Anstatt irgendeine statische Information an ein Produkt zu heften, braucht es Update- und Warnpflichten und eine entsprechende Haftung für grob fahrlässig herbeigeführte Schäden aufgrund veralteter Software“, fordert Höferlin. Experte Atug zieht ein ernüchterndes Fazit: „Ich kann in dem Gesetz keine Strategie erkennen, wie die IT-Sicherheit in Deutschland verbessert werden kann.“