Was ist das „IT-Sicherheitsgesetz“?
Das „Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme“ (kurz IT-Sicherheitsgesetz) kommt aus dem Machtbereich von Innenminister de Maizière. Es ist laut Innenministerium eins der ersten konkreten Ergebnisse der „Digitalen Agenda“ der Bundesregierung.
Was regelt das IT-Sicherheitsgesetz?
- IT-Sicherheit „kritischer Infrastrukturen“, wie etwa Energieversorgung, Telekom und Internet-Provider
- einzuhaltende Mindeststandards für IT-Sicherheit
- neue Meldepflichten von IT-Betreibern zu sicherheitsrelevanten Vorfällen
- das Bundesamt für Sicherheit in der Informationstechnik (kurz BSI, hat am Staatstrojaner mitentwickelt) bekommt die neue Aufgabe einer Meldestelle für Sicherheitsvorfälle
- das BSI wird eine Art „Stiftung IT-Warentest“, kann von sich aus Produkte bewerten
- Telekom- und Telemedien-Anbieter müssen Sicherheit „nach Stand der Technik“ anbieten. Das betrifft im Prinzip jeden „geschäftsmäßigen“ Website- oder Shop-Betreiber.
- Diese Online-Anbieter haben neue Warnpflichten, falls ihnen Mißbrauch auffällt – damit sie dazu in der Lage sind, müssen natürlich die Kunden intensiver überwacht werden als bisher. Kritiker nennen das eine verdeckte Vorratsdatenspeicherung.
- das Bundeskriminalamt soll für Computerdelikte zuständig werden
Wie weit ist das IT-Sicherheitsgesetz?
Es wurde vom Bundeskabinett, also der netzfeindlichen Zusammenkunft von cdU, csU, sPD, aka Bundesregierung, am 17. Dezember 2014 im Entwurf beschlossen.
Am Freitag, 20. März 2015, gab es die erste Lesung im Bundestag.
Was macht das IT-Sicherheitsgesetz?
Gesetzestechnisch gibt es, falls das Vorhaben durchkommt, gar kein eigenständiges „Sicherheitsgesetz“. Es werden lediglich in diversen Gesetzen Teile geändert oder neu hinzugefügt.
Vor allem im BSI-Gesetz kommt etwa die Definition „kritischer Infrastrukturen“ hinzu (BSI §2 Absatz 10), sowie der neu zugedachte Job als Zentrale Meldestelle (§4). Im lesenswerten §8a bis d dann die Pflichten der kritischen Infrastrukturbetreiber. So gibt es künftig alle 2 Jahre BSI-Sicherheitsaudits bei der Telekom etc. §8c BSI nach Änderung erlöst Kleinstunternehmen, kleinere und mittlere Unternehmen von diesen ganzen Pflichten.
Ins neue Telemediengesetz rutscht eine Pflicht für als sicher anerkannte Verschlüsselungsverfahren, damit niemand unerlaubt eine Webseite, einen Webshop steuern kann. Webmasters Liebling, der unverschlüsselte FTP-Serverupload, ist somit endgültig für die Tonne.
Auch Freifunker sind betroffen: im Telekommunikationsgesetz ein ganz langer neu gefasster §109 Absatz 5 zu Sicherheit und Störungen, die ausnahmslos jeder Betreiber zu erfüllen hat. Nutzern müssen ferner Selbsthilfemöglichkeiten zu Störungsbeseitigungen vorgeschlagen werden.
Außerdem gibts mehr Geld für den BSI-Präsidenten, er rutscht in die Besoldungsgruppe B 7.
Was passiert auf EU-Ebene?
Die europäische Kommission arbeitet an einer Richtlinie zur Verbesserung der Netzwerk- und Informationssystemsicherheit (NIS). Laut Innenminister ist das IT-Sicherheitsgesetz eine vorweggenommene Umsetzung dieser EU-Richtlinie.
Warum gibts Kritik am Sicherheitsgesetz?
-
wegen verdeckter Vorratsdatenspeicherung: Unter dem Deckmantel der Störungserkennung werden bereits jetzt Kommunikationsdaten genutzt, um Internet-Anschlussinhaber wegen angeblicher Urheberrechtsverletzungen millionenfach abzumahnen und um tausendfach Auskünfte an Sicherheitsbehörden zu erteilen, die Unschuldige der Gefahr eines falschen Verdachts aussetzen (wie etwa Funkzellenabfragen, Bestandsdatenauskünfte).
Das sagte der Themenbeauftragte für Datenschutz der Piratenpartei und Abgeordnete im schleswig-holsteinischen Landtag, Patrick Breyer. Die ausufernde Datenspeicherung zur Störungserkennung in Paragraf 100 des Telekommunikationsgesetzes muss massiv zurückgestutzt werden, statt sie – wie von de Maizière gefordert – noch auszuweiten. Diese freiwillige Vorratsdatenspeicherung der Telekoms ist für die Freiheit der Telekommunikation und die Sicherheit unserer Daten genauso schädlich wie eine staatlich erzwungene Vorratsdatenspeicherung.
-
wegen blindem Aktionismus: Das kritisiert Stefan Körner, Bundesvorsitzender der Piratenpartei. „Das IT-Sicherheitsgesetz schießt um 180 Grad am Ziel, IT-Sicherheit zu erhöhen, vorbei. Es stellt sich sogar die Frage, ob das Gesetz wirklich und überhaupt die IT-Sicherheit zum Ziel hat.
Es fehlen klare Definitionen, was ein sicherheitskritischer Vorfall ist. Es fehlen konsequente Meldepflichten. Öffentliche Institutionen, die genauso zum Ziel von Angriffen werden können, werden sogar vollständig ausgenommen.
Es fehlt Transparenz bei der Information über Sicherheitslücken, insbesondere für Endverbraucher, deren persönliche Daten bei großangelegten Diebstählen zuerst betroffen sind. Über einen Schutz von Whistleblowern, die aus Organisationen heraus auf Sicherheitslücken hinweisen könnten, wird erst gar nicht nachgedacht.
Stattdessen bringt uns das IT-Sicherheitsgesetz eine Vorratsdatenspeicherung durch die Hintertür und dem BKA, welches mit Trojanern unsere persönlichste Kommunikation ausspionieren will, mehr Geld.
Körner: „Wir brauchen den Dialog darüber, wie wir unsere kritischen Infrastrukturen auch in Zeiten der Digitalisierung schützen können und wollen. Statt in blindem Aktionismus ein am Ende doch wieder unbrauchbares Neuland-Gesetz zu verabschieden, wäre es dringend geboten insbesondere beim Thema IT-Sicherheit, nicht nur Unternehmen, sondern auch die Hacker-Community mit ihren Erfahrungen und ihrem Wissen in den Dialog mit einzubeziehen.“
Kommentare sind geschlossen.