BSI darf hacken und Sicherheitslücken horten
Die Behörde soll befugt werden, in fremde IT-Systeme einzudringen, um Patches zu installieren oder Schadsoftware zu entfernen. Dies sei insbesondere zur effektiven Bekämpfung von Botnetzen notwendig. Das BSI soll auch aktiv nach solchen unsicheren Geräten suchen und sich beispielsweise mit unsicheren Passwörtern wie "0000" oder "admin" anmelden dürfen.
Um die von Sicherheitslücken oder Sicherheitsvorfällen Betroffenen benachrichtigen zu können, soll das BSI zukünftig auch die Bestandsdaten, also beispielsweise Name und Adresse, bei den Telekommunikationsanbietern abfragen dürfen. In dem aktuellen Entwurf findet sich jedoch der Hinweis, dass das jüngste Urteil des Bundesverfassungsgerichts zur Bestandsdatenauskunft berücksichtigt werden muss.
IT-Sicherheitskennzeichen eingeführt
Umstritten ist hingegen der Passus, wonach das BSI Kenntnisse über ihm bekannte Sicherheitslücken zurückhalten darf, "soweit entdeckte Sicherheitslücken oder Schadprogramme nicht allgemein bekanntwerden sollen, um eine Weiterverbreitung oder rechtswidrige Ausnutzung zu verhindern oder weil das Bundesamt gegenüber Dritten zur Vertraulichkeit verpflichtet ist". Damit soll erreicht werden, dass Polizei und Geheimdienste Zero-Day-Exploits für ihre Zwecke weiterhin nutzen können.
Mit dem Gesetz wird das BSI zudem ermächtigt, ein freiwilliges IT-Sicherheitskennzeichen einzuführen. Demnach besteht das Kennzeichen aus "einer Zusicherung des Herstellers oder Diensteanbieters, dass das Produkt für eine festgelegte Dauer bestimmte IT-Sicherheitsanforderungen erfüllt" und einer "Information des Bundesamtes über sicherheitsrelevante IT-Eigenschaften des Produktes". Eine Aussage über den Datenschutz des Produktes wird nicht getroffen.
Kritik von Bitkom und Eco
BSI-Präsident Arne Schönbohm sprach nach dem Kabinettsbeschluss von einem "Meilenstein auf dem Weg zu einer sicheren Digitalisierung in Deutschland". Laut Schönbohm ist der Entwurf für seine Behörde "von außerordentlicher Bedeutung und ein starker Beweis für das Vertrauen in das BSI".
In der IT-Wirtschaft besteht dieses Vertrauen jedoch nicht in gleichem Maße. So kritisierte der Branchenverband Bitkom: "Die personelle und finanzielle Stärkung des Bundesamts für Sicherheit in der Informationstechnik ist richtig. Allerdings schürt die großangelegte Kompetenzerweiterung des BSI Erwartungen, die in der Praxis kaum erfüllbar sind." Unzufrieden ist der Verband mit den Passagen zu den kritischen Komponenten. Diese müssten "auf Basis eines klaren Kriterien- und Funktionskatalogs identifiziert werden". Die vorgesehenen politischen Vertraulichkeitsbescheide böten dagegen keine Rechts-, Planungs- und Investitionssicherheit. "Der Ausbau der 5G-Netze steht damit auf tönernen Füßen", sagte Bitkom-Präsident Achim Berg.
Ebenso wie der Bitkom stört sich auch der Eco-Verband daran, dass der Entwurf nicht richtig mit der EU-Ebene abgestimmt ist. Landefeld empfiehlt, "die Beratungen des IT-Sicherheitsgesetzes 2.0 zurückzustellen und die weiteren Entwicklungen auf europäischer Ebene abzuwarten". Dies betreffe insbesondere die angestrebte Harmonisierung des IT-Sicherheitsgesetzes mit der geplanten Überarbeitung der Richtlinie zur Gewährleistung einer hohen Netzwerk- und Informationssicherheit (NIS) auf europäischer Ebene, die unmittelbar bevorstehe.
Kritisch sieht Landefeld die neuen Befugnisse für das BSI. So könne die Behörde Datenverkehr an von ihr benannte Server umleiten lassen und selbst Angriffe auf IT-Systeme vortäuschen und im Zuge dessen auch in diese Systeme eindringen. "Die Maßnahmen, die das BSI hier ergreifen und anordnen kann, werfen Zweifel daran auf, dass der Grundrechtschutz hier gewahrt ist", sagte Landefeld.
Nach dem Kabinettsbeschluss muss der Bundestag noch über das Gesetz beraten. Ob eine Verabschiedung noch vor dem Ende der Legislaturperiode erreicht werden kann, ist offen.
Nachtrag vom 16. Dezember 2020, 16:26 Uhr
Das Bundesinnenministerium teilte auf Anfrage von Golem.de mit, dass vor einer Verabschiedung des Gesetzes durch den Bundestag noch die dreimonatige Notifizierungsfrist auf EU-Ebene abgewartet werden müsse. Allerdings könnten schon vorher die erste Lesung des Entwurfs sowie die parlamentarischen Beratungen erfolgen. Daher sei das Ministerium zuversichtlich, dass der Entwurf noch vor der Sommerpause beschlossen werden könne.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
- ohne Werbung
- mit ausgeschaltetem Javascript
- mit RSS-Volltext-Feed
IT-Sicherheitsgesetz: Regierung beschließt Regeln für kritische Infrastruktur |
- 1
- 2
Ja, das wäre, verglichen mit dem anderen, das deutlich kleinere Übel, selbst wenn es...
Kaufen wir doch lieber Hardware von den Amerikanern. Die sind unsere Freunde, die würden...
Kommentieren