IT-Sicherheitsgesetz 2.0: Mehr Befugnisse für Sicherheitsbehörden

Das Bundesinnenministerium will die Befugnisse der Sicherheitsbehörden massiv ausweiten. Nachdem ein Gesetzentwurf den Geheimdiensten Verfassungsschutz und Bundesnachrichtendienst den Einsatz von Staatstrojanern zur Online-Durchsuchung erlauben soll, sind nun das Bundesamt für Sicherheit in der Informationstechnik (BSI) sowie die Strafverfolgungsbehörden dran. Der Entwurf für ein IT-Sicherheitsgesetz 2.0 aus dem Innenministerium sieht mehrere neue Straftatsbestände sowie offensive Befugnisse für das BSI vor. Der Gesetzentwurf wurde von Netzpolitik.org veröffentlicht. Das Vorgängergesetz wurde vor vier Jahren verabschiedet.

Virtuelle Identitäten übernehmen

Stellenmarkt

1. BSH Hausgeräte GmbH, Giengen
2. SSI SCHÄFER Automation GmbH, Giebelstadt bei Würzburg

Laut dem Gesetzentwurf handelt es sich bei Identitätsdiebstahl um ein Massenphänomen und Massenproblem. Dem soll das BSI mit der "Pflege und Weiterentwicklung sicherer Identitäten" begegnen.

Allerdings sollen die Staatsanwaltschaft sowie die Behörden und Beamten des Polizeidienstes Nutzerkonten oder Funktionen, mit denen dauerhaft eine virtuelle Identität unterhalten wird, übernehmen dürfen. Dies soll auch gegen den Willen des Inhabers und bei Straftaten, die mittels Telekommunikation begangen werden, möglich sein. Weiter heißt es im Gesetzentwurf: "Sie dürfen unter dieser virtuellen Identität mit Dritten in Kontakt treten." Dies sei wichtig, "weil in den entsprechenden Szenen den langjährig aktiven Accounts ein großes Vertrauen entgegengebracht wird."

"Der Verdächtige ist verpflichtet, die zur Nutzung der virtuellen Identität erforderlichen Zugangsdaten herauszugeben." Die gewonnenen Informationen dürften allerdings nur mit Zustimmung des Verdächtigen gegen diesen verwendet werden.

Alter Wein in neuen Schläuchen

Golem Akademie

1. IT-Sicherheit für Webentwickler
   31. Mai - 1. Juni 2021, online
2. Microsoft 365 Security Workshop
   9.-11. Juni 2021, Online

Weitere IT-Trainings

Auch einige alte Bekannte finden sich im Gesetzentwurf wieder. Darunter der kürzlich vom Bundesrat eingebrachte neue Straftatbestand für die Betreiber von Handelsplattformen im Darknet, der sich fast Wortgleich und ebenfalls als Paragraf 126a im Entwurf des IT-Sicherheitsgesetzes 2.0 wiederfindet. Dieser war von Juristen und der Tor-Community massiv kritisiert worden. "Die Verhaltensweisen, um die es den Verfassern des Gesetzentwurfs offiziell geht, sind typischerweise bereits heute strafbar - als Beihilfehandlungen zu den eigentlichen Straftaten", kritisiert der Jurist und Richter am Landgericht Berlin Ulf Buermeyer. Allerdings könnten mit dem neuen Straftatbestand mehr Überwachungsmaßnahmen durchgeführt werden - für die wiederum ein Verdacht ausreiche.

Ähnlich sieht es mit dem neuen Straftatbestand der "unbefugten Nutzung von IT-Systemen" aus. Dieser wurde bereits mehrfach als sogenannter digitaler Hausfriedensbruch vorgeschlagen, obwohl "das geltende Strafrecht die kriminellen und strafwürdigen Sachverhalte bereits erfasst", so der Bundesgerichtshof.

Das BSI darf befugt in IT-Systeme eindringen

Zwar soll das unbefugte Eindringen in IT-Systeme unter Strafe gestellt werden (was es de facto bereits ist), das BSI soll jedoch befugt werden, in fremde IT-Systeme einzudringen, um Patches zu installieren oder Schadsoftware zu entfernen. Dies sei insbesondere zur effektiven Bekämpfung von Botnetzen notwendig. Das BSI soll auch aktiv nach solchen unsicheren Geräten suchen dürfen und sich beispielsweise mit unsicheren Passwörtern wie "0000" oder "admin" anmelden dürfen.

Um die von Sicherheitslücken oder Sicherheitsvorfällen Betroffenen benachrichtigen zu können, soll das BSI zukünftig auch die Bestandsdaten, also beispielsweise Name und Adresse, bei den Telekommunikationsanbietern abfragen dürfen.