Das IT-Sicherheitsgesetz 2.0 »Ein Sicherheits­­gesetz mit Internetpolizei und Beugehaft«

Auf Hersteller von IT-Einrichtungen, die als sogenannte KRITIS-Kernkomponenten eingestuft werden, kommen umfangreichste Melde- und Dokumentationspflichten zu. Andererseits müssen die Behörden selbst nicht ihnen bekannte Sicherheitslücken veröffentlichen.
Auf Hersteller von IT-Einrichtungen, die als sogenannte KRITIS-Kernkomponenten eingestuft werden, kommen umfangreichste Melde- und Dokumentationspflichten zu. Andererseits müssen die Behörden selbst ihnen bekannte Sicherheitslücken nicht veröffentlichen.

Im Interview erklärt IT-Security-Experte Professor Dr. Hartmut Pohl die gravierenden Umwälzungen, die das »IT-Sicherheits­gesetz 2.0« in seiner bekannt gewordenen Fassung für Wirtschaft, Gesellschaft und Technik bringen wird, wo es zu kurz greift und über das Ziel hinausschießt.

Markt&Technik: Herr Professor Pohl, in der Presse ist im Zusammenhang mit dem bekannt gewordenen Entwurf des IT-Sicherheitsgesetzes 2.0 immer davon die Rede, es solle das Bundesamt für Sicherheit in der Informationstechnik (BSI) zur Hackerbehörde ausgebaut werden. Ist das auch Ihre Conclusio?

Professor Dr. Hartmut Pohl: Nein, ist sie nicht. Man muss sehen, dass damit das erste umfassendere nationale IT-Sicherheitsgesetz geschaffen wird, etwas, das eine moderne Gesellschaft im Informationszeitalter dringend braucht. Allerdings hätte der Gesetzentwurf, würde er so beschlossen, tiefgreifende Auswirkungen auf Wirtschaft, Technologie und die Gesellschaft sowie auf bestimmte Grundrechte. Die muss man kritisch hinterfragen.

Beginnen wir einmal mit dem BSI. Welche Rolle soll es künftig bekommen?

Die Rolle des BSI muss angesichts der Cyber-Bedrohungen gestärkt werden. Nur: Bei den im Gesetzentwurf geforderten Zuständigkeiten könnte das BSI überfrachtet werden und ein Bürokratieaufbau eingeleitet werden, schließlich gehen die Überlegungen in Richtung einer Internetpolizei. Die vorgesehenen Aufgaben dürften kaum von einer einzigen Behörde von ca. 1800 Mitarbeitern in Bonn und Freital bei Dresden zu bewältigen sein. Es bedarf eines massiven Unterbaus – zwar digitalisiert, aber gewiss vergleichbar den Polizeigliederungen. Eine Analyse des bisherigen IT-Sicherheitsgesetzes hat es nicht gegeben; woher weiß man da, welche Maßnahmen man jetzt ergreifen soll?

Eine Abstimmung mit internationalen Normen fand nicht statt, rein deutsche Begriffe wie „kritische Infrastruktur“ und „Unternehmen im besonderen öffentlichen Interesse“, wozu auch die Müllabfuhr gehören soll, spielen eine zentrale Rolle, ohne dass man sich um die Einbettung des Ganzen in internationale Gepflogen- und Begrifflichkeiten bemüht hätte. Ein sehr uneinheitliches Maßnahmen- und Denkgebäude, das mit nationalem Bauchnabelblick in die Landschaft gestellt werden soll und schon den Grundstein für seine x-te Revision legt.

Was sind denn noch wichtige Kernbereiche, die Ihnen im Gesetz auffallen?

Wie gesagt, der Ausbau des BSI auf 1800 Mitarbeiter, dann soll der Adressatenkreis der Security-relevanten Unternehmen stark erweitert und – recht willkürlich – an der Börsennotierung festgemacht werden. Die Straftatbestände werden stark erweitert, die Bußgelder werden in von der DSGVO bekannte astronomische Höhen gehievt und es sollen in Teilen Grundrechte wie das Recht auf Aussageverweigerung eingeschränkt werden und Behörden ohne richterlichen Beschluss Durchsuchungserlaubnisse erhalten. Das BSI soll umfassende Rechte bei der Aufklärung und Behebung von Security-Gefährdungen erhalten, nur: Es soll die bekannt gewordenen Sicherheitslücken nicht veröffentlichen müssen. Damit bleiben deutsche Unternehmen und Bürger der Sabotage, Spionage und Schädigung durch fremde Nachrichtendienste und die organisierte Kriminalität schutzlos ausgeliefert.

Es wird Security-mäßig eine Art Zweiklassengesellschaft geschaffen, in der einige Bescheid wissen und die meisten aber nicht. Ich halte das für eine massive Sicherheitslücke im Gesetz selbst. Wenn wir ein nationales Sicherheitsgesetz mit Internetpolizei bekommen, soll diese Internetpolizei bitte die Bürger auch warnen müssen, wenn ihr illegale Wege der Kriminellen bekannt werden. Diese Informationen nur an BND und Verfassungsschutz weiterzugeben, damit die Staatstrojaner bauen können, ist für den Schutz der Bürger völlig unzureichend.

In die Verbesserung des IT-Schutzes soll sich das BSI auch aktiv einschalten?

Es soll Sicherheitslücken in Produkten in Kooperation mit Herstellern suchen und schließen, von Servern und Smart­phones bis zu Industrial Control-Systems. Hier glaube ich, dass die Kooperation mit betroffenen Firmen und Behörden zu einer erheblichen Steigerung der IT-Sicherheit der Bundesverwaltung und der KRITIS-Betreiber führen wird. Die dem BSI anheim gelegte Blockade und Umleitung krimineller Geräte, das Recht des BSI, Provider zum Einspielen von Patches und Löschung von Schadsoftware zu verpflichten, wird, glaube ich, eher staatliche Befugnisse als die IT-Sicher­heit erweitern. Zumal erfahrungsgemäß um 20 Prozent aller Patches wieder Fehler oder neue Sicherheitslücken enthalten.

Was sagt das Gesetz zu KRITIS-Unternehmen?

Das fängt schon bei den Definitionen an: Es ist von KRITIS-Kernkomponenten die Rede, das sind IT-Produkte, die für den Betrieb von kritischen Infrastrukturen besonders entwickelt oder geändert werden. IT-Produkte wiederum sind nach dieser Definition Softwareprodukte sowie alle einzelnen oder miteinander verbundenen Hardwareprodukte und Hardware­komponenten inklusive der zur einwandfreien Funktion eingesetzten Software. Diese Definition ist undifferenziert und veraltet. Ungeregelt bleiben Sicherheitslücken in Firmware, Microcode und Hardware.

Hersteller von KRITIS-Kernkomponenten, also IT-Einrichtungen, die zum Betrieb kritischer Infrastrukturen eingesetzt werden, bekommen Meldepflichten verordnet. Diese Hersteller haben Störungen unverzüglich zu melden, wenn die Anwendung zu einer erheblichen Beeinträchtigung der Funktionsfähigkeit von kritischen Infrastrukturen führen kann. Die Meldung muss Angaben zu der Störung, zu möglichen grenzüberschreitenden Auswirkungen sowie zu den technischen Rahmenbedingungen, insbesondere der vermuteten oder tatsächlichen Ursache sowie zu den Auswirkungen der Störung enthalten.

Solche zu KRITIS erklärten Unternehmen dürfen ihre KRITIS-Kernkomponenten nur von solchen Herstellern beziehen, die vor dem erstmaligen Einsatz der Komponenten eine Vertrauenswürdigkeitserklärung gegenüber dem Betreiber der kritischen Infrastruktur abgeben haben. Diese Verpflichtung erstreckt sich auf die gesamte Lieferkette des Herstellers.

Das Bundesministerium des Innern, für Bau und Heimat erlässt die Mindestanforderungen für die Vertrauenswürdigkeitserklärung durch Allgemeinverfügung. Angesichts der globalen Verknüpfung der Lieferketten und der deutschen Orientierung an westlicher bzw. östlicher Technik erscheint dies nicht seriös darstellbar. Hier hilft nur das Bekenntnis und nachfolgend die Errichtung einer nationalen Software- und Hardware-IT-Industrie von der Chipentwicklung über UEFI/BIOS, Betriebssystem und Anwendungssoftware. Die Orientierung der IT-Sicher­heit an der Börsennotierung und Überlegungen zur Einzelfallentscheidung erscheinen nicht sachgerecht. Aber der Plan, Medien und Kultur als KRITIS zu definieren? Ich bitte Sie!

Was befürchten Sie?

Die willkürliche, erhebliche Ausdehnung der KRITIS-Unternehmen wird zu einer immensen Bürokratisierung und Aufblähung des ganzen Sicherheitskomplexes führen. Auf der anderen Seite hat man das Naheliegendste versäumt.