Hände tippen auf einem Laptop | Bildquelle: picture alliance / Silas Stein/d

Eckpunkte für IT-Gesetz Löschpflicht, Gütesiegel und BSI-Stärkung

Stand: 22.02.2019 17:35 Uhr

Nach den jüngsten Datendiebstählen hat das Innenministerium ein internes Eckpunktepapier verfasst, das dem ARD-Hauptstadtstudio vorliegt. Die Ideen sollen in ein IT-Sicherheitsgesetz münden.

Von Michael Stempfle, ARD-Hauptstadtstudio

Bürger, staatliche Unternehmen und die Wirtschaft zu schützen - Bundesinnenminister Horst Seehofer will mit seinem Gesetzentwurf allen drei Anforderungen gerecht werden. Damit geht der Innenminister deutlich weiter als sein Vorgänger Thomas de Maizière, der mit dem ersten IT-Sicherheitsgesetz 2015 in erster Linie Unternehmen der sogenannten kritischen Infrastruktur schützen wollte, zum Beispiel Banken, Transport- oder Energieunternehmen.

Seehofer plant präventive und repressive Maßnahmen und setzt unter anderem auf ein bekanntes Instrument: auf das sogenannte Gütesiegel. Die Idee: Das Bundesamt für Sicherheit in der Informationstechnik (BSI) formuliert für die Hersteller von IT-Produkten Vorgaben. Dabei geht es um Mindestanforderungen an Sicherheit. Wenn die IT-Produkte dann auf den Markt kommen, sollen sie vom BSI ein Siegel bekommen. Die Verbraucher sollen schnell sehen können, ob die Produkte die Mindeststandards erfüllen oder nicht.

Gütesiegel haben Tücken

Linus Neumann | Bildquelle: picture alliance / dpa
galerie

CCC-Experte Linus Neumann sieht Probleme durch freiwillige Vorgaben für die Hersteller.

Doch so gut diese Idee klingen mag, sie hat ihre Tücken. Das hat die Richtlinie gezeigt, die bereits jetzt für Router gilt. "Es hat erst einmal rund zwei Jahre gedauert, bis die Richtlinie erstellt wurde", sagt Linus Neumann vom Chaos Computer Club. "Und jetzt sind die Vorgaben für die Hersteller noch nicht einmal verpflichtend, sondern freiwillig." Die Hersteller entscheiden also selbst, ob sie sich an die Richtlinie halten oder nicht.

Das Gütesiegel, so wie vom Innenministerium geplant, benenne also nur Anforderungen, mehr nicht, so Neumann vom CCC. Gütesiegel würden auch nicht unabhängig überprüft, kritisiert er. Produkte, die das Siegel nicht tragen, sind dann weiterhin auf dem Markt. Das Problem: Nur wenn es einheitliche EU-Vorgaben gäbe, könnte das BSI sie für die Hersteller verpflichtend einführen. Doch so weit ist die EU noch nicht.

Der Chaos Computer Club verweist zudem auf die Bedeutung von Updates in diesem Zusammenhang. Immer wieder kommen neue Produkte, neue Softwareversionen und neue Schwachstellen auf den Markt. Entscheidend ist nach Ansicht des CCC, dass Sicherheitslücken dann auch behoben werden. Die Forderung des CCC: Hersteller sollen zu solchen Updates verpflichtet werden und haften müssen. Sollten Geräte nicht mehr reparierbar sein, sollte es auch die Möglichkeit geben, das betroffene Produkt aus dem Verkehr zu ziehen

Repressive Maßnahmen

Bundesinnenminister Horst Seehofer spricht bei einer Pressekonferenz | Bildquelle: dpa
galerie

Bundesinnenminister Seehofer will auch das Strafrecht anpassen.

Darüber hinaus will Seehofer aber auch das Strafrecht anpassen und verschärfen. Schwere Fälle von Computerstraftaten wie etwa Angriffe gegen Unternehmen der kritischen Infrastruktur oder im Auftrag einer "fremden Macht", sollen im Gesetz klarer definiert und im Rahmen von Ermittlungsverfahren dann besser geahndet werden können.

Bei der Bekämpfung von Cyberkriminalität wollen die Experten im Bundesinnenministerium unter anderem auf ein Instrument setzen, das in den USA längst gang und gäbe ist: Die "Übernahme der digitalen Identität" von Beschuldigten. Vereinfacht ausgedrückt läuft das so: Dabei übernehmen Ermittler das Online-Profil eines Beschuldigten - vorausgesetzt, er stimmt zu. Dann können die Ermittler verdeckt mit den Kontakten des Beschuldigten kommunizieren.

Das Bundesinnenministerium zieht in dem Eckpunktepapier auch ganz konkret Lehren aus dem Datendiebstahl, bei dem ab 1. Dezember 2018 peu à peu private Daten von Politikern, Journalisten und Prominenten illegal veröffentlicht wurden. Eines der Probleme, die sich bei der Aufarbeitung des Falles ergaben: Es dauerte viele Wochen, bis die Daten im Netz gelöscht werden konnten.

Künftig will das Bundesinnenministerium Provider verpflichten, Daten zu löschen, die aus Straftaten herrühren. Auch sollen Provider gesetzlich verpflichtet werden können, Cybercrime-Verdachtsfälle zu melden. Ausländische Internetdienstleister sollen zur Errichtung von Kontaktstellen verpflichtet werden.

Schutz des Staates

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) in Köln | Bildquelle: dpa
galerie

Das BSI soll gestärkt werden.

Vor allem das Bundesamt für Sicherheit in der Informationstechnik bekommt viele neue Aufgaben, um den Staat "stark" zu machen. Das BSI soll zunehmend eine "Ordnungsbehörde" werden, die zum Beispiel auch Ordnungswidrigkeiten nachgehen und Bußgelder verhängen kann.

Das Amt soll "in besonderen Gefahrenlagen" mehr "Weisungsrechte" bekommen - vor allem gegenüber all den Unternehmen, die zur kritischen Infrastruktur gehören.

Schutz der Wirtschaft

Der Gesetzentwurf nimmt auch die Unternehmen stärker in die Pflicht. Bislang sind vor allem Unternehmen der kritischen Infrastruktur verpflichtet, Hackerangriffe beim BSI zu melden. Die Idee dahinter: Das Bundesamt kann mit den Erkenntnissen aus den Cyberattacken Rückschlüsse ziehen und andere Unternehmen vor ähnlichen Angriffen warnen. Noch halten sich viele Betriebe mit solchen Meldungen ans BSI aber zurück. Häufig befürchten sie ein Bekanntwerden des Angriffs und damit auch einen Imageschaden für ihren Betrieb. Nun will Seehofer diese Meldepflichten ausweiten.

Überhaupt soll die Zusammenarbeit zwischen Staat und Wirtschaft nach dem Willen des Bundesinnenministers intensiviert werden. So ist von einer gemeinsamen Datenbank die Rede, die das elektronische Melden von IT-Sicherheitsvorfällen ermöglichen soll, von "Anreizen zur freiwilligen Meldung" und von weiteren Befugnissen zur Informationsgewinnung der Wirtschaft.

Linus Neumann vom CCC hat Bedenken, ob die vielen Vorschriften an die Unternehmen die richtige Lösung sind. Er verweist auf eine bislang unveröffentlichte Studie, die zu dem Ergebnis kommt: Unternehmen versuchen in der Tat, sich an die Vorgaben zu halten. So sichern sie beispielsweise ihre Zugänge ins interne Netz gut. "Die Studie zeigt, dass die Vorgaben zulasten anderer relevanter Sicherheitsmaßnahmen überbewertet werden: Die Ressourcen werden in das Einhalten der Bürokratie investiert und nicht in ein kompetentes und agiles Sicherheitskonzept", so Neumann.

Über dieses Thema berichtete Deutschlandfunk Kultur am 26. Januar 2019 um 23:20 Uhr.

Darstellung: