Abo
  • Services:

IT-Sicherheitsgesetz: CCC lehnt BSI als Meldestelle ab

Wer soll welche Schwachstellen melden und an wen: Sachverständige haben im Bundestag über das neue IT-Sicherheitsgesetz diskutiert und viele Ungereimtheiten gefunden. Eins ist laut dem Chaos Computer Club aber sicher: Das BSI eignet sich als zentrale Meldestelle nicht.

Artikel veröffentlicht am ,
Als Behörde des Bundesinneministeriums lehnt der CCC das BSI als zentrale Meldestelle ab.
Als Behörde des Bundesinneministeriums lehnt der CCC das BSI als zentrale Meldestelle ab. (Bild: Qualle/Lizenz: CC BY-SA 3.0)

Einig waren sie sich alle Diskussionsteilnehmer im Bundestag: Ein neues IT-Sicherheitsgesetz muss her. Die Details hingegen müssten nochmal überdacht werden. Die Sachverständigen debattierten am 20. April über das geplante Gesetz und die Definition kritischer Infrastrukturen und kritisierten unter anderem die Meldepflicht. Geladen waren Vertreter der Industrie und unabhängige Sachverständige, darunter auch Linus Neumann, der Sprecher des Chaos Computer Club (CCC).

Stellenmarkt
  1. SICK AG, Waldkirch bei Freiburg im Breisgau
  2. SCHWENK Zement KG, Ulm

Neumann zweifelte an der Unabhängigkeit des Bundesamts für Sicherheit in der Informationstechnik (BSI), das internen Dokumenten zufolge 2008 einer Mitarbeit an dem Bundestrojaner zugestimmt hatte, weil die Behörde "entscheidende Beiträge zur IT-Verlässlichkeit und IT-Sicherheit" der Remote Forensic Software beitragen könne. Da das BSI dem Bundesinnenministerium unterstellt sei, sei die Behörde in einem Interessenkonflikt und deshalb als zentrale Meldestelle für Schwachstellen ungeeignet, sagte Neumann. Das BSI müsse eine unabhängige Bundesbehörde werden.

Keine Weitergabe von Daten

Gerrit Hornung vom Lehrstuhl für öffentliches Recht, IT-Recht und Rechtsinformatik an der Universität Passau betonte, das BSI dürfe keine sensiblen Informationen an das BKA oder den BND weitergeben und vor allem nicht an internationale Organisationen, die sie ausnützen könnten. Das geplante Gesetz sieht aktuell vor, dass das BSI Meldungen über Angriffe an Dritte weitergeben darf.

Ohnehin sei die in der geplanten Regelung verankerte Meldepflicht nur unzureichend definiert. Der " Aufwand und Nutzen der Meldepflicht stehe in keinem Verhältnis", sagte Iris Plöger vom Bundesverband der Deutschen Industrie (BDI). Sie kritisierte auch, dass das Gesetz keine genaue Definition für einen meldepflichtigen "erheblichen Vorfall" enthalte. Nicht nur private Unternehmen, sondern auch öffentliche Einrichtungen müssten Vorfälle melden, forderte sie zudem. Der BDI setze sich weiterhin für eine freiwillige Meldepflicht ein und unterstütze den Ausbau von Initiativen wie dem Cert (Computer Emergency Response Team).

Freiwille Meldepflicht funktioniert nicht

Axel Wehling vom Gesamtverband der Deutschen Versicherungswirtschaft forderte ebenfalls eine "freiwillige und vor allem anonyme Meldepflicht". Nur so könne eine "Kultur der Informationspflicht" aufgebaut werden. Er forderte jedoch, das BSI als zentrale Instanz einzusetzen, um Konkurrenz zu vermeiden.

Die aktuelle freiwillige Meldepflicht funktioniere aber offenbar nicht, sonst müsste sie nicht in dem Gesetz verankert werden, merkte CCC-Sprecher Neumann an. Vor allem der Schutz von Privatpersonen werde durch das Gesetz unzureichend abgedeckt. Neumann wies zudem auf ein weiteres Risiko in dem Gesetzentwurf hin: das Sammeln von Verkehrsdaten für die Störungsaufklärung. Dafür gebe es aus technischer Perspektive keine sinnvolle Begründung. Er forderte eine massive Einschränkung der gesammelten Daten, die auch nur zweckgebunden und stufenweise weitergegeben werden dürften. Eine Zweckbindungsregelung und eine Obergrenze für gespeicherte Daten fordert auch Hornung, der kritisierte, dass der Gesetzentwurf Erforderlichkeitskriterien nicht ausreichend definiere.

Mehr Informationen für die Öffentlichkeit

Alexander Roßnagel vom Institut für Wirtschaftsrecht an der Universität Kassel forderte ebenfalls, die Öffentlichkeit über Schwachstellen besser zu Informieren: "Die Information muss die Regel, die Verweigerung die Ausnahme sein". Dem pflichtete Thomas Tschersich von der Telekom bei, schränkte aber zugleich ein, die Informationspflicht dürfe nicht für potentielle Sicherheitslücken gelten. Die Meldepflicht müsste in einem sinnvollen Maße austariert werden, sie führe sonst "ins Uferlose".

Tschersich wies auch darauf hin, dass etwa Telekommunikationsanbietern nicht die gesamte Bürde der Behebung von Sicherheitslücken auferlegt werden könne, und verwies auf die Verantwortung der Hard- und Softwarehersteller. Kunden würden bei einem Schadensfall an Fahrzeugen auch nicht die Zulieferer kontaktieren, sondern sich an ihre Händler wende, konterte Jochen Schiller vom Institute of Computer Science an der Freien Universität Berlin.

Bessere Definition kritischer Infrastrukturen

Fast unisono bemängelten die Experten, dass das geplante Gesetz den Begriff "kritische Infrastrukturen" nicht ausreichend definiere. Während Schiller auch kleine und mittlere Unternehmen als schutzbedürftig erachtet, fragte er auch, ob nicht beispielsweise die Lebensmittelindustrie als kritische Infrastruktur einzuordnen sei. Tschersich plädierte dafür, zunächst branchenspezifisch zu prüfen, welche Unternehmen unter den Begriff der Grundversorgung fallen sollen. Daraus solle dann eine Definition abgeleitet werden. Er schloss auch spätere Korrekturen nicht aus.



Anzeige
Blu-ray-Angebote
  1. 34,99€

attitudinized 21. Apr 2015

Noch ein unnützes Gesetz mehr, als ob es davon nicht schon genug geben würde.

deutscher_michel 21. Apr 2015

Man merkt mal wieder dass Internet alles Neuland ist .. wieder ist alles völlig...


Folgen Sie uns
       


iOS 12 angesehen

Das neue iOS 12 bietet Nutzern die Möglichkeit, die Bildschirmzeit besser kontrollieren und einteilen zu können. Auch Siri könnte durch die Kurzbefehle interessanter als bisher werden.

iOS 12 angesehen Video aufrufen
Gesetzesentwurf: So will die Regierung den Abmahnmissbrauch eindämmen
Gesetzesentwurf
So will die Regierung den Abmahnmissbrauch eindämmen

Obwohl nach Inkrafttreten der DSGVO eine Abmahnwelle ausgeblieben ist, will Justizministerin Barley nun gesetzlich gegen missbräuchliche Abmahnungen vorgehen. Damit soll auch der "fliegende Gerichtsstand" im Wettbewerbsrecht abgeschafft werden.
Von Friedhelm Greis


    Oldtimer-Rakete: Ein Satellit noch - dann ist Schluss
    Oldtimer-Rakete
    Ein Satellit noch - dann ist Schluss

    Ursprünglich sollte sie Atombomben auf Moskau schießen, dann kam sie in die Raumfahrt. Die Delta-II-Rakete hat am Samstag ihren letzten Flug.
    Von Frank Wunderlich-Pfeiffer

    1. Stratolaunch Riesenflugzeug bekommt eigene Raketen
    2. Chang'e 4 China stellt neuen Mondrover vor
    3. Raumfahrt Cubesats sollen unhackbar werden

    Zahlen mit Smartphones im Alltagstest: Sparkassenkunden müssen nicht auf Google Pay neidisch sein
    Zahlen mit Smartphones im Alltagstest
    Sparkassenkunden müssen nicht auf Google Pay neidisch sein

    In Deutschland gibt es mittlerweile mehrere Möglichkeiten, drahtlos mit dem Smartphone zu bezahlen. Wir haben Google Pay mit der Sparkassen-App Mobiles Bezahlen verglichen und festgestellt: In der Handhabung gleichen sich die Apps zwar, doch in den Details gibt es einige Unterschiede.
    Ein Test von Tobias Költzsch

    1. Smartphone Auch Volksbanken führen mobiles Bezahlen ein
    2. Bezahldienst ausprobiert Google Pay startet in Deutschland mit vier Finanzdiensten

      •  /