Abo
  • Services:

IT-Sicherheitsgesetz: CCC lehnt BSI als Meldestelle ab

Wer soll welche Schwachstellen melden und an wen: Sachverständige haben im Bundestag über das neue IT-Sicherheitsgesetz diskutiert und viele Ungereimtheiten gefunden. Eins ist laut dem Chaos Computer Club aber sicher: Das BSI eignet sich als zentrale Meldestelle nicht.

Artikel veröffentlicht am ,
Als Behörde des Bundesinneministeriums lehnt der CCC das BSI als zentrale Meldestelle ab.
Als Behörde des Bundesinneministeriums lehnt der CCC das BSI als zentrale Meldestelle ab. (Bild: Qualle/Lizenz: CC BY-SA 3.0)

Einig waren sie sich alle Diskussionsteilnehmer im Bundestag: Ein neues IT-Sicherheitsgesetz muss her. Die Details hingegen müssten nochmal überdacht werden. Die Sachverständigen debattierten am 20. April über das geplante Gesetz und die Definition kritischer Infrastrukturen und kritisierten unter anderem die Meldepflicht. Geladen waren Vertreter der Industrie und unabhängige Sachverständige, darunter auch Linus Neumann, der Sprecher des Chaos Computer Club (CCC).

Stellenmarkt
  1. über duerenhoff GmbH, Hanau
  2. Bosch Gruppe, Stuttgart

Neumann zweifelte an der Unabhängigkeit des Bundesamts für Sicherheit in der Informationstechnik (BSI), das internen Dokumenten zufolge 2008 einer Mitarbeit an dem Bundestrojaner zugestimmt hatte, weil die Behörde "entscheidende Beiträge zur IT-Verlässlichkeit und IT-Sicherheit" der Remote Forensic Software beitragen könne. Da das BSI dem Bundesinnenministerium unterstellt sei, sei die Behörde in einem Interessenkonflikt und deshalb als zentrale Meldestelle für Schwachstellen ungeeignet, sagte Neumann. Das BSI müsse eine unabhängige Bundesbehörde werden.

Keine Weitergabe von Daten

Gerrit Hornung vom Lehrstuhl für öffentliches Recht, IT-Recht und Rechtsinformatik an der Universität Passau betonte, das BSI dürfe keine sensiblen Informationen an das BKA oder den BND weitergeben und vor allem nicht an internationale Organisationen, die sie ausnützen könnten. Das geplante Gesetz sieht aktuell vor, dass das BSI Meldungen über Angriffe an Dritte weitergeben darf.

Ohnehin sei die in der geplanten Regelung verankerte Meldepflicht nur unzureichend definiert. Der " Aufwand und Nutzen der Meldepflicht stehe in keinem Verhältnis", sagte Iris Plöger vom Bundesverband der Deutschen Industrie (BDI). Sie kritisierte auch, dass das Gesetz keine genaue Definition für einen meldepflichtigen "erheblichen Vorfall" enthalte. Nicht nur private Unternehmen, sondern auch öffentliche Einrichtungen müssten Vorfälle melden, forderte sie zudem. Der BDI setze sich weiterhin für eine freiwillige Meldepflicht ein und unterstütze den Ausbau von Initiativen wie dem Cert (Computer Emergency Response Team).

Freiwille Meldepflicht funktioniert nicht

Axel Wehling vom Gesamtverband der Deutschen Versicherungswirtschaft forderte ebenfalls eine "freiwillige und vor allem anonyme Meldepflicht". Nur so könne eine "Kultur der Informationspflicht" aufgebaut werden. Er forderte jedoch, das BSI als zentrale Instanz einzusetzen, um Konkurrenz zu vermeiden.

Die aktuelle freiwillige Meldepflicht funktioniere aber offenbar nicht, sonst müsste sie nicht in dem Gesetz verankert werden, merkte CCC-Sprecher Neumann an. Vor allem der Schutz von Privatpersonen werde durch das Gesetz unzureichend abgedeckt. Neumann wies zudem auf ein weiteres Risiko in dem Gesetzentwurf hin: das Sammeln von Verkehrsdaten für die Störungsaufklärung. Dafür gebe es aus technischer Perspektive keine sinnvolle Begründung. Er forderte eine massive Einschränkung der gesammelten Daten, die auch nur zweckgebunden und stufenweise weitergegeben werden dürften. Eine Zweckbindungsregelung und eine Obergrenze für gespeicherte Daten fordert auch Hornung, der kritisierte, dass der Gesetzentwurf Erforderlichkeitskriterien nicht ausreichend definiere.

Mehr Informationen für die Öffentlichkeit

Alexander Roßnagel vom Institut für Wirtschaftsrecht an der Universität Kassel forderte ebenfalls, die Öffentlichkeit über Schwachstellen besser zu Informieren: "Die Information muss die Regel, die Verweigerung die Ausnahme sein". Dem pflichtete Thomas Tschersich von der Telekom bei, schränkte aber zugleich ein, die Informationspflicht dürfe nicht für potentielle Sicherheitslücken gelten. Die Meldepflicht müsste in einem sinnvollen Maße austariert werden, sie führe sonst "ins Uferlose".

Tschersich wies auch darauf hin, dass etwa Telekommunikationsanbietern nicht die gesamte Bürde der Behebung von Sicherheitslücken auferlegt werden könne, und verwies auf die Verantwortung der Hard- und Softwarehersteller. Kunden würden bei einem Schadensfall an Fahrzeugen auch nicht die Zulieferer kontaktieren, sondern sich an ihre Händler wende, konterte Jochen Schiller vom Institute of Computer Science an der Freien Universität Berlin.

Bessere Definition kritischer Infrastrukturen

Fast unisono bemängelten die Experten, dass das geplante Gesetz den Begriff "kritische Infrastrukturen" nicht ausreichend definiere. Während Schiller auch kleine und mittlere Unternehmen als schutzbedürftig erachtet, fragte er auch, ob nicht beispielsweise die Lebensmittelindustrie als kritische Infrastruktur einzuordnen sei. Tschersich plädierte dafür, zunächst branchenspezifisch zu prüfen, welche Unternehmen unter den Begriff der Grundversorgung fallen sollen. Daraus solle dann eine Definition abgeleitet werden. Er schloss auch spätere Korrekturen nicht aus.



Anzeige
Spiele-Angebote
  1. 3,86€
  2. (-8%) 54,99€
  3. 18,49€
  4. (-68%) 15,99€

Anonymer Nutzer 21. Apr 2015

Noch ein unnützes Gesetz mehr, als ob es davon nicht schon genug geben würde.

deutscher_michel 21. Apr 2015

Man merkt mal wieder dass Internet alles Neuland ist .. wieder ist alles völlig...


Folgen Sie uns
       


Shadow Ghost - Test

Wir testen die Streamingbox Shadow Ghost und finden Bildartefakte und andere unschöne Fehler. Der Streamingdienst hat mit der richtigen Hardware aber Potenzial.

Shadow Ghost - Test Video aufrufen
Sailfish X im Test: Die Android-Alternative mit ein bisschen Android
Sailfish X im Test
Die Android-Alternative mit ein bisschen Android

Seit kurzem ist Sailfish OS mit Android-Unterstützung für weitere Xperia-Smartphones von Sony verfügbar. Fünf Jahre nach unserem letzten Test wird es Zeit, dass wir uns das alternative Mobile-Betriebssystem wieder einmal anschauen und testen, wie es auf einem ursprünglichen Android-Gerät läuft.
Ein Test von Tobias Költzsch

  1. Android, Debian, Sailfish OS Gemini PDA bekommt Dreifach-Boot-Option

Tom Clancy's The Division 2 im Test: Richtig guter Loot-Shooter
Tom Clancy's The Division 2 im Test
Richtig guter Loot-Shooter

Ubisofts neuer Online-Shooter beweist, dass komplexe Live-Spiele durchaus von Anfang an überzeugen können. Bis auf die schwache Geschichte und Gegner, denen selbst Dauerbeschuss kaum etwas anhaben kann, ist The Division 2 ein spektakuläres Spiel.
Von Jan Bojaryn

  1. Netztest Connect Netztest urteilt trotz Funklöchern zweimal sehr gut
  2. Netztest Chip verteilt viel Lob trotz Funklöchern

Uploadfilter: Der Generalangriff auf das Web 2.0
Uploadfilter
Der Generalangriff auf das Web 2.0

Die EU-Urheberrechtsreform könnte Plattformen mit nutzergenerierten Inhalten stark behindern. Die Verfechter von Uploadfiltern zeigen dabei ein Verständnis des Netzes, das mit der Realität wenig zu tun hat. Statt Lizenzen könnte es einen anderen Ausweg geben.
Eine Analyse von Friedhelm Greis

  1. Uploadfilter EU-Kommission bezeichnet Reformkritiker als "Mob"
  2. EU-Urheberrecht Die verdorbene Reform
  3. Leistungsschutzrecht und Uploadfilter EU-Unterhändler einigen sich auf Urheberrechtsreform

    •  /