Abo
  • Services:
Anzeige
Als Behörde des Bundesinneministeriums lehnt der CCC das BSI als zentrale Meldestelle ab.
Als Behörde des Bundesinneministeriums lehnt der CCC das BSI als zentrale Meldestelle ab. (Bild: Qualle/Lizenz: CC BY-SA 3.0)

IT-Sicherheitsgesetz: CCC lehnt BSI als Meldestelle ab

Als Behörde des Bundesinneministeriums lehnt der CCC das BSI als zentrale Meldestelle ab.
Als Behörde des Bundesinneministeriums lehnt der CCC das BSI als zentrale Meldestelle ab. (Bild: Qualle/Lizenz: CC BY-SA 3.0)

Wer soll welche Schwachstellen melden und an wen: Sachverständige haben im Bundestag über das neue IT-Sicherheitsgesetz diskutiert und viele Ungereimtheiten gefunden. Eins ist laut dem Chaos Computer Club aber sicher: Das BSI eignet sich als zentrale Meldestelle nicht.

Anzeige

Einig waren sie sich alle Diskussionsteilnehmer im Bundestag: Ein neues IT-Sicherheitsgesetz muss her. Die Details hingegen müssten nochmal überdacht werden. Die Sachverständigen debattierten am 20. April über das geplante Gesetz und die Definition kritischer Infrastrukturen und kritisierten unter anderem die Meldepflicht. Geladen waren Vertreter der Industrie und unabhängige Sachverständige, darunter auch Linus Neumann, der Sprecher des Chaos Computer Club (CCC).

Neumann zweifelte an der Unabhängigkeit des Bundesamts für Sicherheit in der Informationstechnik (BSI), das internen Dokumenten zufolge 2008 einer Mitarbeit an dem Bundestrojaner zugestimmt hatte, weil die Behörde "entscheidende Beiträge zur IT-Verlässlichkeit und IT-Sicherheit" der Remote Forensic Software beitragen könne. Da das BSI dem Bundesinnenministerium unterstellt sei, sei die Behörde in einem Interessenkonflikt und deshalb als zentrale Meldestelle für Schwachstellen ungeeignet, sagte Neumann. Das BSI müsse eine unabhängige Bundesbehörde werden.

Keine Weitergabe von Daten

Gerrit Hornung vom Lehrstuhl für öffentliches Recht, IT-Recht und Rechtsinformatik an der Universität Passau betonte, das BSI dürfe keine sensiblen Informationen an das BKA oder den BND weitergeben und vor allem nicht an internationale Organisationen, die sie ausnützen könnten. Das geplante Gesetz sieht aktuell vor, dass das BSI Meldungen über Angriffe an Dritte weitergeben darf.

Ohnehin sei die in der geplanten Regelung verankerte Meldepflicht nur unzureichend definiert. Der " Aufwand und Nutzen der Meldepflicht stehe in keinem Verhältnis", sagte Iris Plöger vom Bundesverband der Deutschen Industrie (BDI). Sie kritisierte auch, dass das Gesetz keine genaue Definition für einen meldepflichtigen "erheblichen Vorfall" enthalte. Nicht nur private Unternehmen, sondern auch öffentliche Einrichtungen müssten Vorfälle melden, forderte sie zudem. Der BDI setze sich weiterhin für eine freiwillige Meldepflicht ein und unterstütze den Ausbau von Initiativen wie dem Cert (Computer Emergency Response Team).

Freiwille Meldepflicht funktioniert nicht

Axel Wehling vom Gesamtverband der Deutschen Versicherungswirtschaft forderte ebenfalls eine "freiwillige und vor allem anonyme Meldepflicht". Nur so könne eine "Kultur der Informationspflicht" aufgebaut werden. Er forderte jedoch, das BSI als zentrale Instanz einzusetzen, um Konkurrenz zu vermeiden.

Die aktuelle freiwillige Meldepflicht funktioniere aber offenbar nicht, sonst müsste sie nicht in dem Gesetz verankert werden, merkte CCC-Sprecher Neumann an. Vor allem der Schutz von Privatpersonen werde durch das Gesetz unzureichend abgedeckt. Neumann wies zudem auf ein weiteres Risiko in dem Gesetzentwurf hin: das Sammeln von Verkehrsdaten für die Störungsaufklärung. Dafür gebe es aus technischer Perspektive keine sinnvolle Begründung. Er forderte eine massive Einschränkung der gesammelten Daten, die auch nur zweckgebunden und stufenweise weitergegeben werden dürften. Eine Zweckbindungsregelung und eine Obergrenze für gespeicherte Daten fordert auch Hornung, der kritisierte, dass der Gesetzentwurf Erforderlichkeitskriterien nicht ausreichend definiere.

Mehr Informationen für die Öffentlichkeit

Alexander Roßnagel vom Institut für Wirtschaftsrecht an der Universität Kassel forderte ebenfalls, die Öffentlichkeit über Schwachstellen besser zu Informieren: "Die Information muss die Regel, die Verweigerung die Ausnahme sein". Dem pflichtete Thomas Tschersich von der Telekom bei, schränkte aber zugleich ein, die Informationspflicht dürfe nicht für potentielle Sicherheitslücken gelten. Die Meldepflicht müsste in einem sinnvollen Maße austariert werden, sie führe sonst "ins Uferlose".

Tschersich wies auch darauf hin, dass etwa Telekommunikationsanbietern nicht die gesamte Bürde der Behebung von Sicherheitslücken auferlegt werden könne, und verwies auf die Verantwortung der Hard- und Softwarehersteller. Kunden würden bei einem Schadensfall an Fahrzeugen auch nicht die Zulieferer kontaktieren, sondern sich an ihre Händler wende, konterte Jochen Schiller vom Institute of Computer Science an der Freien Universität Berlin.

Bessere Definition kritischer Infrastrukturen

Fast unisono bemängelten die Experten, dass das geplante Gesetz den Begriff "kritische Infrastrukturen" nicht ausreichend definiere. Während Schiller auch kleine und mittlere Unternehmen als schutzbedürftig erachtet, fragte er auch, ob nicht beispielsweise die Lebensmittelindustrie als kritische Infrastruktur einzuordnen sei. Tschersich plädierte dafür, zunächst branchenspezifisch zu prüfen, welche Unternehmen unter den Begriff der Grundversorgung fallen sollen. Daraus solle dann eine Definition abgeleitet werden. Er schloss auch spätere Korrekturen nicht aus.


eye home zur Startseite
attitudinized 21. Apr 2015

Noch ein unnützes Gesetz mehr, als ob es davon nicht schon genug geben würde.

deutscher_michel 21. Apr 2015

Man merkt mal wieder dass Internet alles Neuland ist .. wieder ist alles völlig...



Anzeige

Stellenmarkt
  1. Fraunhofer-Institut für Angewandte Informationstechnik FIT, Sankt Augustin
  2. Hauni Maschinenbau GmbH, Hamburg
  3. Deutsche Telekom AG, Darmstadt
  4. über Robert Half Technology, Düsseldorf


Anzeige
Spiele-Angebote
  1. 299,99€
  2. 699,00€

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Mehr dazu im aktuellen Whitepaper von IBM
  2. Tipps für IT-Engagement in Fernost
  3. Globale SAP-Anwendungsunterstützung durch Outsourcing


  1. Summit Ridge

    Das kann AMDs CPU-Architektur Zen

  2. Sandscout

    Angriff auf Apples Sandkasten

  3. Analogue Nt mini

    Neue NES-Famicom-Konsole kostet 450 US-Dollar

  4. Ministertreffen

    Kryptische Vorschläge zur Entschlüsselung von Kommunikation

  5. Microsoft

    Outlook 2016 versteht Ünicöde nicht so richtig

  6. Urheberrecht

    Der Abmahnerabmahner

  7. Raumfahrt

    Raketenstufen als Wohnung im Weltraum

  8. F1 2016 im Test

    Balsam für die Rennfahrer-Seele

  9. Anti-Tracking-Tool

    Mozilla beteiligt sich an Burdas Browser Cliqz

  10. Displays

    120 Hz für Notebooks, weniger Rand für Smartphones und TVs



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Virtual Reality: Das große Experimentieren hat begonnen
Virtual Reality
Das große Experimentieren hat begonnen
  1. Holodeck-Hackathon Endlich Platz für VR
  2. Gamedeck VR Holodeck braucht Unterstützer
  3. VR One Plus VR-Headset von Zeiss nimmt mehr Smartphones auf

Radeon RX 470 im Test: Die 1080p-Karte für High statt Ultra
Radeon RX 470 im Test
Die 1080p-Karte für High statt Ultra
  1. Radeons RX 480 Die Designs von AMDs Partnern takten höher - und konstanter
  2. Radeon Software 16.7.2 Neuer Grafiktreiber macht die RX 480 etwas schneller
  3. Radeon RX 480 erneut vermessen Treiber reduziert Stromstärke auf PEG-Slot

Garmin Vivosmart HR+ im Hands on: Das Sport-Computerchen
Garmin Vivosmart HR+ im Hands on
Das Sport-Computerchen
  1. Polar M600 Sechs LEDs für eine Pulsmessung
  2. Kluge Uhren Weltweiter Smartwatch-Markt bricht um ein Drittel ein
  3. Garmin Edge 820 Radcomputer zeigt Position der Tourbegleiter

  1. Outlook ist eh ein Oldie ohnegleichen im Office...

    cicero | 03:53

  2. glaube ich nicht

    cicero | 03:49

  3. Re: Ob so ein Umbau im Weltraum wirklich möglich...

    Komischer_Phreak | 03:47

  4. Re: So wie man MS halt kennt...

    AIM-9 Sidewinder | 03:46

  5. Re: Find ich eine super Idee!

    Komischer_Phreak | 03:43


  1. 02:45

  2. 17:30

  3. 17:15

  4. 17:04

  5. 16:55

  6. 14:52

  7. 14:26

  8. 14:00


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel