Expertenanhörung: Das IT-Unsicherheitsgesetz 2.0

In einem waren sich alle Experten in einer Bundestags-Anhörung zum IT-Sicherheitsgesetz 2.0 einig: Es darf so nicht verabschiedet werden.

Ein Bericht von veröffentlicht am
IT-Sicherheit 2.0
IT-Sicherheit 2.0 (Bild: Steve Buissinne/Pixabay)

Thematisch passend konnte die Expertenanhörung zum IT-Sicherheitsgesetz 2.0 im Bundestag wegen technischer Probleme erst zehn Minuten später beginnen. Erst dann konnten sich die per Video zugeschalteten Experten und Abgeordneten gegenseitig hören - die Kritik an dem Gesetzesentwurf und der Digitalisierung fiel umso verheerender aus. Selbst die von der Koalitionsfraktion geladenen Sachverständigen sprachen von einem "Unsicherheitsgesetz".

Stellenmarkt
  1. Security Monitoring Expert (m/w/d)
    Deichmann SE, Essen
  2. User Interface Designer (m/w/d) - Designstudio Siemens
    BSH Hausgeräte Gruppe, München
Detailsuche

Statt die Vorteile der Digitalisierung nutzen zu können, habe man vor allem mit den Nachteilen wie Ransomware oder Datenlecks zu kämpfen, fasste Linus Neumann, Sprecher des Chaos Computer Clubs (CCC) die Situation zusammen. Das liege daran, dass nicht kompromisslos auf IT-Sicherheit gesetzt werde.

Im Gegenteil, das Bundesinnenministerium lege mit Staatstrojanern, Crypto Wars oder Behörden wie der Zitis, die explizit für IT-Unsicherheit sorge, immer wieder neue Brände - das Bundesamt für Sicherheit in der Informationstechnik (BSI) sorge allein auf weiter Flur für Sicherheit, erklärte Neumann. Doch dieses solle laut dem Gesetzesentwurf bei "überwiegenden Sicherheitsinteressen" daran gehindert werden, Sicherheitslücken zu melden und zu schließen. "Da müssen wir überlegen, ob wir zukünftig noch Leute mit Sicherheitslücken zum BSI schicken können", sagte Neumann.

CDU: Es ist nicht alles schlecht am IT-Sicherheitsgesetz 2.0

Der CDU-Abgeordnete Christoph Bernstiel betonte hingegen, dass das Gesetz nicht so schlecht sei wie von den Fachleuten dargestellt. Die von vielen Verbänden kritisierte extrem kurze Anhörungsfrist begründete er mit einer noch vor der Bundestagswahl geplanten Verabschiedung. An dem Gesetz habe sich jedoch im Vergleich zu geleakten Entwürfen ohnehin nicht viel geändert. "Wenn der ein oder andere damit überfordert wurde, dann tut mir das natürlich leid", sagte Bernstiel.

Golem Karrierewelt
  1. Adobe Premiere Pro Grundkurs: virtueller Zwei-Tage-Workshop
    19./20.01.2023, Virtuell
  2. DP-203 Data Engineering on Microsoft Azure: virtueller Vier-Tage-Workshop
    24.-27.01.2023, virtuell
Weitere IT-Trainings

"Und ich dachte es geht um IT-Sicherheit", entgegnete der FDP-Abgeordnete Manuel Höferlin. Dabei gehe es der Union nach eigener Aussage nur darum, das Gesetz noch schnell zu verabschieden. Würden - wie vom Gesetz vorgesehen - jedoch Sicherheitslücken zurückgehalten, schade dies der IT-Sicherheit der Zivilgesellschaft weltweit, betonte der Sicherheitsexperte Manuel Atug von der AG Kritis.

Das BSI müsse daher unabhängig sein und ausnahmslos alle Sicherheitsbehörden müssten dazu verpflichtet werden, Sicherheitslücken an das BSI zu melden, sagte Atug. Diese müssten dann an den jeweiligen Hersteller oder Maintainer im Sinne der Responsible Disclousure gemeldet werden. Selbst dann könnten die Geheimdienste und Sicherheitsbehörden die Sicherheitslücken nutzen, da das Einspielen von Patches im Bereich der kritischen Infrastruktur (Kritis) oft lang dauere.

Fachleute wollen echten Verbraucherschutz

Der Chaos Computer Club fordere seit langem eine Produkthaftung und ein Mindesthaltbarkeitsdatum, sagte Neumann. Denn bisher sei es ein Marktvorteil, wenn Unternehmen die Kosten für Sicherheit und Updates sparen würden. Diese seien dann jedoch ein Sicherheitsrisiko für ihre Nutzer, aber auch für die Allgemeinheit, beispielsweise als Botnetzwerke. Eine so umfangreiche Haftungsfreiheit gebe es sonst nirgends.

Hacking & Security: Das umfassende Handbuch. 2. aktualisierte Auflage des IT-Standardwerks (Deutsch) Gebundene Ausgabe

Das IT-Sicherheitskennzeichen, das mit dem IT-Sicherheitsgesetz eingeführt werden solle, ändere daran jedoch nichts, betonte Neumann. Im Gegenteil, ergänzte Atug: Die nicht technikaffinen Personen würde das Kennzeichen entweder nicht interessieren oder sie würden am Scannen des QR-Codes scheitern, über den sich die Verbraucher die Sicherheitsinformationen des BSI zu dem jeweiligen zertifizierten Produkt anzeigen lassen könnten.

Ohnehin sei die Freiwilligkeit ein Problem: Unsichere Produkte würden sich schlicht nicht zertifizieren lassen, andere nur für einen Teil des Zeitraums, in dem sie die Geräte wirklich unterstützen würden. Den Verbrauchern helfe das alles nicht, konstatierte Atug.

Mittelständler werden alleingelassen

Auch die fehlende Evaluierung des IT-Sicherheitsgesetzes 1 wurde kritisiert. Diese stand zwar im Gesetz, wurde jedoch nie umgesetzt. Das sei insbesondere bei einem Gesetz, dessen Kosten mit jährlich 200 Millionen Euro für die Wirtschaft beziffert würden und das 1.600 neue Planstellen schaffe, wünschenswert gewesen, sagte Sven Herpig von der Stiftung Neue Verantwortung.

Dem neuen Gesetz fehle es daher an Empirie, sagte Atug. So habe sich bei den Grenzziehungen nicht viel geändert: Weniger als 50 von 4.000 Wasserwerken werden als kritische Infrastruktur eingestuft.

Die Wirtschaft solle nicht weiter als Gegner wahrgenommen werden, sondern in die Beratungen rund um das IT-Sicherheitsgesetz 2.0 einbezogen werden, forderte Sebastian Artz für den Branchenverband Bitkom. Auch Linus Neumann kritisierte, dass der Mittelstand bisher in Sachen IT-Sicherheit alleingelassen würde. Hier brauche es dringend Konzepte und Angebote, beispielsweise auditierte Open-Source-Software.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


wurstdings 03. Mär 2021

Ha! Ich hatte noch kurz überlegt dieser Antwort vorzugreifen. Aber traurigerweise ist es...

DarkSpir 02. Mär 2021

Der Mann hat Soziologie und Politikwissenschaft auf Magister studiert und dann als PR...

Bonarewitz 02. Mär 2021

Die PARTEI ist sehr gut. Für Deutschland reichts.



Aktuell auf der Startseite von Golem.de
Metaverse
EU blamiert sich mit interaktiver Onlineparty

Rund 387.000 Euro an Kosten, fünf Besucher auf der Onlineparty: Ein EU-Projekt wollte junge Menschen als Büroklammer tanzen lassen.

Metaverse: EU blamiert sich mit interaktiver Onlineparty
Artikel
  1. Elektromobilität: Hyundai zeigt Elektrosportwagen Ioniq 5 N
    Elektromobilität
    Hyundai zeigt Elektrosportwagen Ioniq 5 N

    Hyundai hat erstmals ein Video mit dem Ioniq 5 N veröffentlicht. Das besonders sportliche Fahrzeug soll die N-Marke beleben.

  2. High Purity in der Produktion: Unter Druck reinigen
    High Purity in der Produktion
    Unter Druck reinigen

    Ob Autos, Elektronik, Medizin oder Halbleiter: Die Reinhaltung bis in den Nanobereich wird immer wichtiger. Das stellt hohe Anforderung an Monitoring und Prozesslenkung.
    Ein Bericht von Detlev Prutz

  3. Patches: Anti-Ruckel-Updates für Pokémon und Callisto zeigen Wirkung
    Patches
    Anti-Ruckel-Updates für Pokémon und Callisto zeigen Wirkung

    Warum nicht gleich so? Für die von Bugs geplagten Computerspiele Pokémon Karmesin/Purpur und The Callisto Protocol gibt es Updates.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • PS5-Bundle vorbestellbar • Amazon-Geräte bis -53% • Mindstar: AMD-Ryzen-CPUs zu Bestpreisen • Alternate: Kingston FURY Beast RGB 32GB DDR5-4800 146,89€ • Advent-Tagesdeals bei MediaMarkt/Saturn: u. a. SanDisk Ultra microSDXC 512GB 39€ • Thrustmaster Ferrari GTE Wheel 87,60€ [Werbung]
    •  /