Expertenanhörung: Das IT-Unsicherheitsgesetz 2.0

In einem waren sich alle Experten in einer Bundestags-Anhörung zum IT-Sicherheitsgesetz 2.0 einig: Es darf so nicht verabschiedet werden.

Artikel von veröffentlicht am
IT-Sicherheit 2.0
IT-Sicherheit 2.0 (Bild: Steve Buissinne/Pixabay)

Thematisch passend konnte die Expertenanhörung zum IT-Sicherheitsgesetz 2.0 im Bundestag wegen technischer Probleme erst zehn Minuten später beginnen. Erst dann konnten sich die per Video zugeschalteten Experten und Abgeordneten gegenseitig hören - die Kritik an dem Gesetzesentwurf und der Digitalisierung fiel umso verheerender aus. Selbst die von der Koalitionsfraktion geladenen Sachverständigen sprachen von einem "Unsicherheitsgesetz".

Stellenmarkt
  1. Cloud / DevOps Engineer (m/w/d)
    Fresenius SE & Co. KGaA, Bad Homburg vor der Höhe
  2. Mitarbeiter IT-Basis-Support (m/w/d)
    Vitakraft pet care GmbH & Co. KG, Bremen
Detailsuche

Statt die Vorteile der Digitalisierung nutzen zu können, habe man vor allem mit den Nachteilen wie Ransomware oder Datenlecks zu kämpfen, fasste Linus Neumann, Sprecher des Chaos Computer Clubs (CCC) die Situation zusammen. Das liege daran, dass nicht kompromisslos auf IT-Sicherheit gesetzt werde.

Im Gegenteil, das Bundesinnenministerium lege mit Staatstrojanern, Crypto Wars oder Behörden wie der Zitis, die explizit für IT-Unsicherheit sorge, immer wieder neue Brände - das Bundesamt für Sicherheit in der Informationstechnik (BSI) sorge allein auf weiter Flur für Sicherheit, erklärte Neumann. Doch dieses solle laut dem Gesetzesentwurf bei "überwiegenden Sicherheitsinteressen" daran gehindert werden, Sicherheitslücken zu melden und zu schließen. "Da müssen wir überlegen, ob wir zukünftig noch Leute mit Sicherheitslücken zum BSI schicken können", sagte Neumann.

CDU: Es ist nicht alles schlecht am IT-Sicherheitsgesetz 2.0

Der CDU-Abgeordnete Christoph Bernstiel betonte hingegen, dass das Gesetz nicht so schlecht sei wie von den Fachleuten dargestellt. Die von vielen Verbänden kritisierte extrem kurze Anhörungsfrist begründete er mit einer noch vor der Bundestagswahl geplanten Verabschiedung. An dem Gesetz habe sich jedoch im Vergleich zu geleakten Entwürfen ohnehin nicht viel geändert. "Wenn der ein oder andere damit überfordert wurde, dann tut mir das natürlich leid", sagte Bernstiel.

Golem Akademie
  1. LDAP Identitätsmanagement Fundamentals: virtueller Drei-Tage-Workshop
    , Virtuell
  2. AZ-104 Microsoft Azure Administrator: virtueller Vier-Tage-Workshop
    13.–16. Dezember 2021, virtuell
Weitere IT-Trainings

"Und ich dachte es geht um IT-Sicherheit", entgegnete der FDP-Abgeordnete Manuel Höferlin. Dabei gehe es der Union nach eigener Aussage nur darum, das Gesetz noch schnell zu verabschieden. Würden - wie vom Gesetz vorgesehen - jedoch Sicherheitslücken zurückgehalten, schade dies der IT-Sicherheit der Zivilgesellschaft weltweit, betonte der Sicherheitsexperte Manuel Atug von der AG Kritis.

Das BSI müsse daher unabhängig sein und ausnahmslos alle Sicherheitsbehörden müssten dazu verpflichtet werden, Sicherheitslücken an das BSI zu melden, sagte Atug. Diese müssten dann an den jeweiligen Hersteller oder Maintainer im Sinne der Responsible Disclousure gemeldet werden. Selbst dann könnten die Geheimdienste und Sicherheitsbehörden die Sicherheitslücken nutzen, da das Einspielen von Patches im Bereich der kritischen Infrastruktur (Kritis) oft lang dauere.

Fachleute wollen echten Verbraucherschutz

Der Chaos Computer Club fordere seit langem eine Produkthaftung und ein Mindesthaltbarkeitsdatum, sagte Neumann. Denn bisher sei es ein Marktvorteil, wenn Unternehmen die Kosten für Sicherheit und Updates sparen würden. Diese seien dann jedoch ein Sicherheitsrisiko für ihre Nutzer, aber auch für die Allgemeinheit, beispielsweise als Botnetzwerke. Eine so umfangreiche Haftungsfreiheit gebe es sonst nirgends.

Hacking & Security: Das umfassende Handbuch. 2. aktualisierte Auflage des IT-Standardwerks (Deutsch) Gebundene Ausgabe

Das IT-Sicherheitskennzeichen, das mit dem IT-Sicherheitsgesetz eingeführt werden solle, ändere daran jedoch nichts, betonte Neumann. Im Gegenteil, ergänzte Atug: Die nicht technikaffinen Personen würde das Kennzeichen entweder nicht interessieren oder sie würden am Scannen des QR-Codes scheitern, über den sich die Verbraucher die Sicherheitsinformationen des BSI zu dem jeweiligen zertifizierten Produkt anzeigen lassen könnten.

Ohnehin sei die Freiwilligkeit ein Problem: Unsichere Produkte würden sich schlicht nicht zertifizieren lassen, andere nur für einen Teil des Zeitraums, in dem sie die Geräte wirklich unterstützen würden. Den Verbrauchern helfe das alles nicht, konstatierte Atug.

Mittelständler werden alleingelassen

Auch die fehlende Evaluierung des IT-Sicherheitsgesetzes 1 wurde kritisiert. Diese stand zwar im Gesetz, wurde jedoch nie umgesetzt. Das sei insbesondere bei einem Gesetz, dessen Kosten mit jährlich 200 Millionen Euro für die Wirtschaft beziffert würden und das 1.600 neue Planstellen schaffe, wünschenswert gewesen, sagte Sven Herpig von der Stiftung Neue Verantwortung.

Dem neuen Gesetz fehle es daher an Empirie, sagte Atug. So habe sich bei den Grenzziehungen nicht viel geändert: Weniger als 50 von 4.000 Wasserwerken werden als kritische Infrastruktur eingestuft.

Die Wirtschaft solle nicht weiter als Gegner wahrgenommen werden, sondern in die Beratungen rund um das IT-Sicherheitsgesetz 2.0 einbezogen werden, forderte Sebastian Artz für den Branchenverband Bitkom. Auch Linus Neumann kritisierte, dass der Mittelstand bisher in Sachen IT-Sicherheit alleingelassen würde. Hier brauche es dringend Konzepte und Angebote, beispielsweise auditierte Open-Source-Software.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


wurstdings 03. Mär 2021

Ha! Ich hatte noch kurz überlegt dieser Antwort vorzugreifen. Aber traurigerweise ist es...

DarkSpir 02. Mär 2021

Der Mann hat Soziologie und Politikwissenschaft auf Magister studiert und dann als PR...

Bonarewitz 02. Mär 2021

Die PARTEI ist sehr gut. Für Deutschland reichts.

schnedan 02. Mär 2021

Ich nehme es zunehmend als Problem wahr: Experte im Agrarausschuss: "max X Gramm Dünger...



Aktuell auf der Startseite von Golem.de
Resident Evil (1996)
Grauenhaft gut

Resident Evil zeigte vor 25 Jahren, wie Horror im Videospiel auszusehen hat. Wir schauen uns den Klassiker im Golem retro_ an.

Resident Evil (1996): Grauenhaft gut
Artikel
  1. Streaming: Chromecast erhält spezielle Youtube-Fernbedienung
    Streaming
    Chromecast erhält spezielle Youtube-Fernbedienung

    Die Steuerung von Youtube auf einem Chromecast soll mit einer neuen Funktion deutlich komfortabler werden.

  2. Studie: Kinder erhalten Smartphone meist zwischen 6 und 11 Jahren
    Studie
    Kinder erhalten Smartphone meist zwischen 6 und 11 Jahren

    Nur eine sehr geringe Minderheit der Eltern will ihrem Kind erst mit 15 Jahren ein Smartphone zur Verfügung stellen.

  3. Google: Kopfhörer verlieren Google-Assistant-Support auf iPhones
    Google
    Kopfhörer verlieren Google-Assistant-Support auf iPhones

    Wer Google Assistant am Kopfhörer benutzen will, ist künftig auf ein Android-Gerät angewiesen.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Saturn-Advent: Samsung Portable SSD T5 1 TB 84€ • ViewSonic VX2718-2KPC-MHD (WQHD, 165 Hz) 229€ • EPOS Sennheiser GSP 670 199€ • EK Water Blocks Elite Aurum 360 D-RGB All in One 205,89€ • KFA2 Geforce RTX 3070 OC 8 GB 1.019€ • Alternate (u. a. AKRacing Core SX 269,98€) [Werbung]
    •  /