• IT-Karriere:
  • Services:

BSI darf hacken und Sicherheitslücken horten

Die Behörde soll befugt werden, in fremde IT-Systeme einzudringen, um Patches zu installieren oder Schadsoftware zu entfernen. Dies sei insbesondere zur effektiven Bekämpfung von Botnetzen notwendig. Das BSI soll auch aktiv nach solchen unsicheren Geräten suchen und sich beispielsweise mit unsicheren Passwörtern wie "0000" oder "admin" anmelden dürfen.

Stellenmarkt
  1. Mediaopt GmbH, Berlin
  2. ekom21 - KGRZ Hessen, Darmstadt, Kassel, Gießen

Um die von Sicherheitslücken oder Sicherheitsvorfällen Betroffenen benachrichtigen zu können, soll das BSI zukünftig auch die Bestandsdaten, also beispielsweise Name und Adresse, bei den Telekommunikationsanbietern abfragen dürfen. In dem aktuellen Entwurf findet sich jedoch der Hinweis, dass das jüngste Urteil des Bundesverfassungsgerichts zur Bestandsdatenauskunft berücksichtigt werden muss.

IT-Sicherheitskennzeichen eingeführt

Umstritten ist hingegen der Passus, wonach das BSI Kenntnisse über ihm bekannte Sicherheitslücken zurückhalten darf, "soweit entdeckte Sicherheitslücken oder Schadprogramme nicht allgemein bekanntwerden sollen, um eine Weiterverbreitung oder rechtswidrige Ausnutzung zu verhindern oder weil das Bundesamt gegenüber Dritten zur Vertraulichkeit verpflichtet ist". Damit soll erreicht werden, dass Polizei und Geheimdienste Zero-Day-Exploits für ihre Zwecke weiterhin nutzen können.

Mit dem Gesetz wird das BSI zudem ermächtigt, ein freiwilliges IT-Sicherheitskennzeichen einzuführen. Demnach besteht das Kennzeichen aus "einer Zusicherung des Herstellers oder Diensteanbieters, dass das Produkt für eine festgelegte Dauer bestimmte IT-Sicherheitsanforderungen erfüllt" und einer "Information des Bundesamtes über sicherheitsrelevante IT-Eigenschaften des Produktes". Eine Aussage über den Datenschutz des Produktes wird nicht getroffen.

Kritik von Bitkom und Eco

BSI-Präsident Arne Schönbohm sprach nach dem Kabinettsbeschluss von einem "Meilenstein auf dem Weg zu einer sicheren Digitalisierung in Deutschland". Laut Schönbohm ist der Entwurf für seine Behörde "von außerordentlicher Bedeutung und ein starker Beweis für das Vertrauen in das BSI".

In der IT-Wirtschaft besteht dieses Vertrauen jedoch nicht in gleichem Maße. So kritisierte der Branchenverband Bitkom: "Die personelle und finanzielle Stärkung des Bundesamts für Sicherheit in der Informationstechnik ist richtig. Allerdings schürt die großangelegte Kompetenzerweiterung des BSI Erwartungen, die in der Praxis kaum erfüllbar sind." Unzufrieden ist der Verband mit den Passagen zu den kritischen Komponenten. Diese müssten "auf Basis eines klaren Kriterien- und Funktionskatalogs identifiziert werden". Die vorgesehenen politischen Vertraulichkeitsbescheide böten dagegen keine Rechts-, Planungs- und Investitionssicherheit. "Der Ausbau der 5G-Netze steht damit auf tönernen Füßen", sagte Bitkom-Präsident Achim Berg.

Hacking & Security: Das umfassende Handbuch. 2. aktualisierte Auflage des IT-Standardwerks (Deutsch) Gebundene Ausgabe

Ebenso wie der Bitkom stört sich auch der Eco-Verband daran, dass der Entwurf nicht richtig mit der EU-Ebene abgestimmt ist. Landefeld empfiehlt, "die Beratungen des IT-Sicherheitsgesetzes 2.0 zurückzustellen und die weiteren Entwicklungen auf europäischer Ebene abzuwarten". Dies betreffe insbesondere die angestrebte Harmonisierung des IT-Sicherheitsgesetzes mit der geplanten Überarbeitung der Richtlinie zur Gewährleistung einer hohen Netzwerk- und Informationssicherheit (NIS) auf europäischer Ebene, die unmittelbar bevorstehe.

Kritisch sieht Landefeld die neuen Befugnisse für das BSI. So könne die Behörde Datenverkehr an von ihr benannte Server umleiten lassen und selbst Angriffe auf IT-Systeme vortäuschen und im Zuge dessen auch in diese Systeme eindringen. "Die Maßnahmen, die das BSI hier ergreifen und anordnen kann, werfen Zweifel daran auf, dass der Grundrechtschutz hier gewahrt ist", sagte Landefeld.

Nach dem Kabinettsbeschluss muss der Bundestag noch über das Gesetz beraten. Ob eine Verabschiedung noch vor dem Ende der Legislaturperiode erreicht werden kann, ist offen.

Nachtrag vom 16. Dezember 2020, 16:26 Uhr

Das Bundesinnenministerium teilte auf Anfrage von Golem.de mit, dass vor einer Verabschiedung des Gesetzes durch den Bundestag noch die dreimonatige Notifizierungsfrist auf EU-Ebene abgewartet werden müsse. Allerdings könnten schon vorher die erste Lesung des Entwurfs sowie die parlamentarischen Beratungen erfolgen. Daher sei das Ministerium zuversichtlich, dass der Entwurf noch vor der Sommerpause beschlossen werden könne.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
 IT-Sicherheitsgesetz: Regierung beschließt Regeln für kritische Infrastruktur
  1.  
  2. 1
  3. 2


Anzeige
Spiele-Angebote
  1. 7,99€
  2. (u. a. Elite Dangerous für 5,99€, Struggling für 7,25€, Planet Zoo für 21,99€, Planet...
  3. Ghost Recon Breakpoint vom 21. bis zum 25. Januar kostenlos, mit allen Inhalten der Ultimate...

Grimreaper 17. Dez 2020 / Themenstart

Ja, das wäre, verglichen mit dem anderen, das deutlich kleinere Übel, selbst wenn es...

CloudIA 16. Dez 2020 / Themenstart

Kaufen wir doch lieber Hardware von den Amerikanern. Die sind unsere Freunde, die würden...

Kommentieren


Folgen Sie uns
       


Xbox Series X und S - Fazit

Im Video zum Test der Xbox Series X und S zeigt Golem.de die Hardware und das Dashboard der Konsolen von Microsoft.

Xbox Series X und S - Fazit Video aufrufen
Antivirus: Das Jahr der unsicheren Sicherheitssoftware
Antivirus
Das Jahr der unsicheren Sicherheitssoftware

Antivirus-Software soll uns eigentlich schützen, doch das vergangene Jahr hat erneut gezeigt: Statt Schutz gibt es Sicherheitsprobleme frei Haus.
Von Moritz Tremmel

  1. NortonLifeLock Norton kauft deutschen Antivirenhersteller Avira

Google vs. Oracle: Das wichtigste Urteil der IT seit Jahrzehnten
Google vs. Oracle
Das wichtigste Urteil der IT seit Jahrzehnten

Der Prozess Google gegen Oracle wird in diesem Jahr enden. Egal welche Seite gewinnt, die Entscheidung wird die IT-Landschaft langfristig prägen.
Eine Analyse von Sebastian Grüner


    Hitman 3 im Test: Agent 47 verabschiedet sich mörderisch
    Hitman 3 im Test
    Agent 47 verabschiedet sich mörderisch

    Das (vorerst) letzte Hitman bietet einige der besten Einsätze der Serie - daran dürften aber vor allem langjährige Fans Spaß haben.
    Von Peter Steinlechner

    1. Hitman 3 angespielt Agent 47 in ungewohnter Mission

      •  /