Abo
  • Services:
Anzeige
Als Behörde des Bundesinneministeriums lehnt der CCC das BSI als zentrale Meldestelle ab.
Als Behörde des Bundesinneministeriums lehnt der CCC das BSI als zentrale Meldestelle ab. (Bild: Qualle/Lizenz: CC BY-SA 3.0)

IT-Sicherheitsgesetz: CCC lehnt BSI als Meldestelle ab

Als Behörde des Bundesinneministeriums lehnt der CCC das BSI als zentrale Meldestelle ab.
Als Behörde des Bundesinneministeriums lehnt der CCC das BSI als zentrale Meldestelle ab. (Bild: Qualle/Lizenz: CC BY-SA 3.0)

Wer soll welche Schwachstellen melden und an wen: Sachverständige haben im Bundestag über das neue IT-Sicherheitsgesetz diskutiert und viele Ungereimtheiten gefunden. Eins ist laut dem Chaos Computer Club aber sicher: Das BSI eignet sich als zentrale Meldestelle nicht.

Anzeige

Einig waren sie sich alle Diskussionsteilnehmer im Bundestag: Ein neues IT-Sicherheitsgesetz muss her. Die Details hingegen müssten nochmal überdacht werden. Die Sachverständigen debattierten am 20. April über das geplante Gesetz und die Definition kritischer Infrastrukturen und kritisierten unter anderem die Meldepflicht. Geladen waren Vertreter der Industrie und unabhängige Sachverständige, darunter auch Linus Neumann, der Sprecher des Chaos Computer Club (CCC).

Neumann zweifelte an der Unabhängigkeit des Bundesamts für Sicherheit in der Informationstechnik (BSI), das internen Dokumenten zufolge 2008 einer Mitarbeit an dem Bundestrojaner zugestimmt hatte, weil die Behörde "entscheidende Beiträge zur IT-Verlässlichkeit und IT-Sicherheit" der Remote Forensic Software beitragen könne. Da das BSI dem Bundesinnenministerium unterstellt sei, sei die Behörde in einem Interessenkonflikt und deshalb als zentrale Meldestelle für Schwachstellen ungeeignet, sagte Neumann. Das BSI müsse eine unabhängige Bundesbehörde werden.

Keine Weitergabe von Daten

Gerrit Hornung vom Lehrstuhl für öffentliches Recht, IT-Recht und Rechtsinformatik an der Universität Passau betonte, das BSI dürfe keine sensiblen Informationen an das BKA oder den BND weitergeben und vor allem nicht an internationale Organisationen, die sie ausnützen könnten. Das geplante Gesetz sieht aktuell vor, dass das BSI Meldungen über Angriffe an Dritte weitergeben darf.

Ohnehin sei die in der geplanten Regelung verankerte Meldepflicht nur unzureichend definiert. Der " Aufwand und Nutzen der Meldepflicht stehe in keinem Verhältnis", sagte Iris Plöger vom Bundesverband der Deutschen Industrie (BDI). Sie kritisierte auch, dass das Gesetz keine genaue Definition für einen meldepflichtigen "erheblichen Vorfall" enthalte. Nicht nur private Unternehmen, sondern auch öffentliche Einrichtungen müssten Vorfälle melden, forderte sie zudem. Der BDI setze sich weiterhin für eine freiwillige Meldepflicht ein und unterstütze den Ausbau von Initiativen wie dem Cert (Computer Emergency Response Team).

Freiwille Meldepflicht funktioniert nicht

Axel Wehling vom Gesamtverband der Deutschen Versicherungswirtschaft forderte ebenfalls eine "freiwillige und vor allem anonyme Meldepflicht". Nur so könne eine "Kultur der Informationspflicht" aufgebaut werden. Er forderte jedoch, das BSI als zentrale Instanz einzusetzen, um Konkurrenz zu vermeiden.

Die aktuelle freiwillige Meldepflicht funktioniere aber offenbar nicht, sonst müsste sie nicht in dem Gesetz verankert werden, merkte CCC-Sprecher Neumann an. Vor allem der Schutz von Privatpersonen werde durch das Gesetz unzureichend abgedeckt. Neumann wies zudem auf ein weiteres Risiko in dem Gesetzentwurf hin: das Sammeln von Verkehrsdaten für die Störungsaufklärung. Dafür gebe es aus technischer Perspektive keine sinnvolle Begründung. Er forderte eine massive Einschränkung der gesammelten Daten, die auch nur zweckgebunden und stufenweise weitergegeben werden dürften. Eine Zweckbindungsregelung und eine Obergrenze für gespeicherte Daten fordert auch Hornung, der kritisierte, dass der Gesetzentwurf Erforderlichkeitskriterien nicht ausreichend definiere.

Mehr Informationen für die Öffentlichkeit

Alexander Roßnagel vom Institut für Wirtschaftsrecht an der Universität Kassel forderte ebenfalls, die Öffentlichkeit über Schwachstellen besser zu Informieren: "Die Information muss die Regel, die Verweigerung die Ausnahme sein". Dem pflichtete Thomas Tschersich von der Telekom bei, schränkte aber zugleich ein, die Informationspflicht dürfe nicht für potentielle Sicherheitslücken gelten. Die Meldepflicht müsste in einem sinnvollen Maße austariert werden, sie führe sonst "ins Uferlose".

Tschersich wies auch darauf hin, dass etwa Telekommunikationsanbietern nicht die gesamte Bürde der Behebung von Sicherheitslücken auferlegt werden könne, und verwies auf die Verantwortung der Hard- und Softwarehersteller. Kunden würden bei einem Schadensfall an Fahrzeugen auch nicht die Zulieferer kontaktieren, sondern sich an ihre Händler wende, konterte Jochen Schiller vom Institute of Computer Science an der Freien Universität Berlin.

Bessere Definition kritischer Infrastrukturen

Fast unisono bemängelten die Experten, dass das geplante Gesetz den Begriff "kritische Infrastrukturen" nicht ausreichend definiere. Während Schiller auch kleine und mittlere Unternehmen als schutzbedürftig erachtet, fragte er auch, ob nicht beispielsweise die Lebensmittelindustrie als kritische Infrastruktur einzuordnen sei. Tschersich plädierte dafür, zunächst branchenspezifisch zu prüfen, welche Unternehmen unter den Begriff der Grundversorgung fallen sollen. Daraus solle dann eine Definition abgeleitet werden. Er schloss auch spätere Korrekturen nicht aus.


eye home zur Startseite
attitudinized 21. Apr 2015

Noch ein unnützes Gesetz mehr, als ob es davon nicht schon genug geben würde.

deutscher_michel 21. Apr 2015

Man merkt mal wieder dass Internet alles Neuland ist .. wieder ist alles völlig...



Anzeige

Stellenmarkt
  1. OSRAM Opto Semiconductors GmbH, Regensburg
  2. thyssenkrupp AG, Essen
  3. Robert Bosch Starter Motors Generators GmbH, Schwieberdingen
  4. aiticon GmbH, Frankfurt am Main, Hoppstädten-Weiersbach


Anzeige
Hardware-Angebote
  1. ab 799,90€

Folgen Sie uns
       


  1. Amazon Channels

    Prime Video erhält Pay-TV-Plattform mit Live-Fernsehen

  2. Bayerischer Rundfunk

    Fernsehsender wollen über 5G ausstrahlen

  3. Kupfer

    Nokia hält Terabit DSL für überflüssig

  4. Kryptowährung

    Bitcoin notiert auf neuem Rekordhoch

  5. Facebook

    Dokumente zum Umgang mit Sex- und Gewaltinhalten geleakt

  6. Arduino Cinque

    RISC-V-Prozessor und ESP32 auf einem Board vereint

  7. Schatten des Krieges angespielt

    Wir stürmen Festungen! Mit Orks! Und Drachen!

  8. Skills

    Amazon lässt Alexa natürlicher klingen

  9. Cray

    Rechenleistung von Supercomputern in der Cloud mieten

  10. Streaming

    Sky geht gegen Stream4u.tv und Hardwareanbieter vor



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Wanna Cry: Wo die NSA-Exploits gewütet haben
Wanna Cry
Wo die NSA-Exploits gewütet haben
  1. Deutsche Bahn Schadsoftware lässt Anzeigetafeln auf Bahnhöfen ausfallen
  2. Wanna Cry NSA-Exploits legen weltweit Windows-Rechner lahm
  3. Mc Donald's Fatboy-Ransomware nutzt Big-Mac-Index zur Preisermittlung

Komplett-PC Corsair One Pro im Test: Kompakt, kräftig, kühl
Komplett-PC Corsair One Pro im Test
Kompakt, kräftig, kühl
  1. Corsair One Pro Doppelt wassergekühlter SFF-Rechner kostet 2.500 Euro

Elektromobilität: Wie kommt der Strom in die Tiefgarage?
Elektromobilität
Wie kommt der Strom in die Tiefgarage?
  1. Elektroautos Merkel hofft auf Bau von Batteriezellen in Deutschland
  2. Strategische Entscheidung Volvo setzt voll auf Elektro und trennt sich vom Diesel
  3. Elektromobilität Merkel rechnet nicht mehr mit 1 Million E-Autos bis 2020

  1. Re: Die Bandbreite ist eine Sache, die Latenz...

    GenXRoad | 01:08

  2. Re: Aha..

    Garius | 01:04

  3. Aber wieso?

    __destruct() | 01:03

  4. Re: 1Terabit braucht in 10 Jahren keiner mehr...

    __destruct() | 00:57

  5. Re: Ziemlich viel Geld ...

    burzum | 00:51


  1. 00:01

  2. 18:45

  3. 16:35

  4. 16:20

  5. 16:00

  6. 15:37

  7. 15:01

  8. 13:34


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel