Abo
  • Services:

IT-Sicherheitsgesetz: CCC lehnt BSI als Meldestelle ab

Wer soll welche Schwachstellen melden und an wen: Sachverständige haben im Bundestag über das neue IT-Sicherheitsgesetz diskutiert und viele Ungereimtheiten gefunden. Eins ist laut dem Chaos Computer Club aber sicher: Das BSI eignet sich als zentrale Meldestelle nicht.

Artikel veröffentlicht am ,
Als Behörde des Bundesinneministeriums lehnt der CCC das BSI als zentrale Meldestelle ab.
Als Behörde des Bundesinneministeriums lehnt der CCC das BSI als zentrale Meldestelle ab. (Bild: Qualle/Lizenz: CC BY-SA 3.0)

Einig waren sie sich alle Diskussionsteilnehmer im Bundestag: Ein neues IT-Sicherheitsgesetz muss her. Die Details hingegen müssten nochmal überdacht werden. Die Sachverständigen debattierten am 20. April über das geplante Gesetz und die Definition kritischer Infrastrukturen und kritisierten unter anderem die Meldepflicht. Geladen waren Vertreter der Industrie und unabhängige Sachverständige, darunter auch Linus Neumann, der Sprecher des Chaos Computer Club (CCC).

Stellenmarkt
  1. SSC-Services GmbH, Böblingen bei Stuttgart
  2. 1WorldSync GmbH, Köln

Neumann zweifelte an der Unabhängigkeit des Bundesamts für Sicherheit in der Informationstechnik (BSI), das internen Dokumenten zufolge 2008 einer Mitarbeit an dem Bundestrojaner zugestimmt hatte, weil die Behörde "entscheidende Beiträge zur IT-Verlässlichkeit und IT-Sicherheit" der Remote Forensic Software beitragen könne. Da das BSI dem Bundesinnenministerium unterstellt sei, sei die Behörde in einem Interessenkonflikt und deshalb als zentrale Meldestelle für Schwachstellen ungeeignet, sagte Neumann. Das BSI müsse eine unabhängige Bundesbehörde werden.

Keine Weitergabe von Daten

Gerrit Hornung vom Lehrstuhl für öffentliches Recht, IT-Recht und Rechtsinformatik an der Universität Passau betonte, das BSI dürfe keine sensiblen Informationen an das BKA oder den BND weitergeben und vor allem nicht an internationale Organisationen, die sie ausnützen könnten. Das geplante Gesetz sieht aktuell vor, dass das BSI Meldungen über Angriffe an Dritte weitergeben darf.

Ohnehin sei die in der geplanten Regelung verankerte Meldepflicht nur unzureichend definiert. Der " Aufwand und Nutzen der Meldepflicht stehe in keinem Verhältnis", sagte Iris Plöger vom Bundesverband der Deutschen Industrie (BDI). Sie kritisierte auch, dass das Gesetz keine genaue Definition für einen meldepflichtigen "erheblichen Vorfall" enthalte. Nicht nur private Unternehmen, sondern auch öffentliche Einrichtungen müssten Vorfälle melden, forderte sie zudem. Der BDI setze sich weiterhin für eine freiwillige Meldepflicht ein und unterstütze den Ausbau von Initiativen wie dem Cert (Computer Emergency Response Team).

Freiwille Meldepflicht funktioniert nicht

Axel Wehling vom Gesamtverband der Deutschen Versicherungswirtschaft forderte ebenfalls eine "freiwillige und vor allem anonyme Meldepflicht". Nur so könne eine "Kultur der Informationspflicht" aufgebaut werden. Er forderte jedoch, das BSI als zentrale Instanz einzusetzen, um Konkurrenz zu vermeiden.

Die aktuelle freiwillige Meldepflicht funktioniere aber offenbar nicht, sonst müsste sie nicht in dem Gesetz verankert werden, merkte CCC-Sprecher Neumann an. Vor allem der Schutz von Privatpersonen werde durch das Gesetz unzureichend abgedeckt. Neumann wies zudem auf ein weiteres Risiko in dem Gesetzentwurf hin: das Sammeln von Verkehrsdaten für die Störungsaufklärung. Dafür gebe es aus technischer Perspektive keine sinnvolle Begründung. Er forderte eine massive Einschränkung der gesammelten Daten, die auch nur zweckgebunden und stufenweise weitergegeben werden dürften. Eine Zweckbindungsregelung und eine Obergrenze für gespeicherte Daten fordert auch Hornung, der kritisierte, dass der Gesetzentwurf Erforderlichkeitskriterien nicht ausreichend definiere.

Mehr Informationen für die Öffentlichkeit

Alexander Roßnagel vom Institut für Wirtschaftsrecht an der Universität Kassel forderte ebenfalls, die Öffentlichkeit über Schwachstellen besser zu Informieren: "Die Information muss die Regel, die Verweigerung die Ausnahme sein". Dem pflichtete Thomas Tschersich von der Telekom bei, schränkte aber zugleich ein, die Informationspflicht dürfe nicht für potentielle Sicherheitslücken gelten. Die Meldepflicht müsste in einem sinnvollen Maße austariert werden, sie führe sonst "ins Uferlose".

Tschersich wies auch darauf hin, dass etwa Telekommunikationsanbietern nicht die gesamte Bürde der Behebung von Sicherheitslücken auferlegt werden könne, und verwies auf die Verantwortung der Hard- und Softwarehersteller. Kunden würden bei einem Schadensfall an Fahrzeugen auch nicht die Zulieferer kontaktieren, sondern sich an ihre Händler wende, konterte Jochen Schiller vom Institute of Computer Science an der Freien Universität Berlin.

Bessere Definition kritischer Infrastrukturen

Fast unisono bemängelten die Experten, dass das geplante Gesetz den Begriff "kritische Infrastrukturen" nicht ausreichend definiere. Während Schiller auch kleine und mittlere Unternehmen als schutzbedürftig erachtet, fragte er auch, ob nicht beispielsweise die Lebensmittelindustrie als kritische Infrastruktur einzuordnen sei. Tschersich plädierte dafür, zunächst branchenspezifisch zu prüfen, welche Unternehmen unter den Begriff der Grundversorgung fallen sollen. Daraus solle dann eine Definition abgeleitet werden. Er schloss auch spätere Korrekturen nicht aus.



Anzeige
Hardware-Angebote
  1. ab 349€
  2. bei Caseking kaufen

attitudinized 21. Apr 2015

Noch ein unnützes Gesetz mehr, als ob es davon nicht schon genug geben würde.

deutscher_michel 21. Apr 2015

Man merkt mal wieder dass Internet alles Neuland ist .. wieder ist alles völlig...


Folgen Sie uns
       


Im Wind flatterndes AMOLED angesehen (Display Week)

Auf der Display Week 2018 in Los Angeles zeigt der chinesische Hersteller BOE ein im Wind flatterndes AMOLED.

Im Wind flatterndes AMOLED angesehen (Display Week) Video aufrufen
3D-Druck on Demand: Wenn der Baumarkt Actionfiguren aus Stahl druckt
3D-Druck on Demand
Wenn der Baumarkt Actionfiguren aus Stahl druckt

Es gibt viele Anbieter für 3D-Druck on Demand und die Preise fallen. Golem.de hat die 3D-Druckdienste von Toom, Conrad Electronic, Sculpteo und Media Markt getestet, um neue Figuren der Big-Jim-Reihe zu erschaffen.
Ein Praxistest von Achim Sawall


    Anthem angespielt: Action in fremder Welt und Abkühlung im Wasserfall
    Anthem angespielt
    Action in fremder Welt und Abkühlung im Wasserfall

    E3 2018 Eine interessante Welt, schicke Grafik und ein erstaunlich gutes Fluggefühl: Golem.de hat das Actionrollenspiel Anthem von Bioware ausprobiert.

    1. Dying Light 2 Stadtentwicklung mit Schwung
    2. E3 2018 Eindrücke, Analysen und Zuschauerfragen
    3. Control Remedy Entertainment mit übersinnlichen Räumen

    CD Projekt Red: So spielt sich Cyberpunk 2077
    CD Projekt Red
    So spielt sich Cyberpunk 2077

    E3 2018 Hacker statt Hexer, Ich-Sicht statt Dritte-Person-Perspektive und Auto statt Pferd: Die Witcher-Entwickler haben ihr neues Großprojekt Cyberpunk 2077 im Detail vorgestellt.
    Von Peter Steinlechner


        •  /