BSI darf hacken und Sicherheitslücken horten

Die Behörde soll befugt werden, in fremde IT-Systeme einzudringen, um Patches zu installieren oder Schadsoftware zu entfernen. Dies sei insbesondere zur effektiven Bekämpfung von Botnetzen notwendig. Das BSI soll auch aktiv nach solchen unsicheren Geräten suchen und sich beispielsweise mit unsicheren Passwörtern wie "0000" oder "admin" anmelden dürfen.

Stellenmarkt
  1. Business Intelligence Spezialist Einkauf (m/w/d)
    Kaufland Dienstleistung GmbH & Co. KG, Heilbronn
  2. Inhouse Consultant HR-IT Systems (m/w/d)
    ista International GmbH, Essen
Detailsuche

Um die von Sicherheitslücken oder Sicherheitsvorfällen Betroffenen benachrichtigen zu können, soll das BSI zukünftig auch die Bestandsdaten, also beispielsweise Name und Adresse, bei den Telekommunikationsanbietern abfragen dürfen. In dem aktuellen Entwurf findet sich jedoch der Hinweis, dass das jüngste Urteil des Bundesverfassungsgerichts zur Bestandsdatenauskunft berücksichtigt werden muss.

IT-Sicherheitskennzeichen eingeführt

Umstritten ist hingegen der Passus, wonach das BSI Kenntnisse über ihm bekannte Sicherheitslücken zurückhalten darf, "soweit entdeckte Sicherheitslücken oder Schadprogramme nicht allgemein bekanntwerden sollen, um eine Weiterverbreitung oder rechtswidrige Ausnutzung zu verhindern oder weil das Bundesamt gegenüber Dritten zur Vertraulichkeit verpflichtet ist". Damit soll erreicht werden, dass Polizei und Geheimdienste Zero-Day-Exploits für ihre Zwecke weiterhin nutzen können.

Mit dem Gesetz wird das BSI zudem ermächtigt, ein freiwilliges IT-Sicherheitskennzeichen einzuführen. Demnach besteht das Kennzeichen aus "einer Zusicherung des Herstellers oder Diensteanbieters, dass das Produkt für eine festgelegte Dauer bestimmte IT-Sicherheitsanforderungen erfüllt" und einer "Information des Bundesamtes über sicherheitsrelevante IT-Eigenschaften des Produktes". Eine Aussage über den Datenschutz des Produktes wird nicht getroffen.

Kritik von Bitkom und Eco

Golem Karrierewelt
  1. DP-203 Data Engineering on Microsoft Azure virtueller Vier-Tage-Workshop
    12.-15.09.2022, virtuell
  2. Angular für Einsteiger: virtueller Zwei-Tage-Workshop
    26./27.09.2022, Virtuell
Weitere IT-Trainings

BSI-Präsident Arne Schönbohm sprach nach dem Kabinettsbeschluss von einem "Meilenstein auf dem Weg zu einer sicheren Digitalisierung in Deutschland". Laut Schönbohm ist der Entwurf für seine Behörde "von außerordentlicher Bedeutung und ein starker Beweis für das Vertrauen in das BSI".

In der IT-Wirtschaft besteht dieses Vertrauen jedoch nicht in gleichem Maße. So kritisierte der Branchenverband Bitkom: "Die personelle und finanzielle Stärkung des Bundesamts für Sicherheit in der Informationstechnik ist richtig. Allerdings schürt die großangelegte Kompetenzerweiterung des BSI Erwartungen, die in der Praxis kaum erfüllbar sind." Unzufrieden ist der Verband mit den Passagen zu den kritischen Komponenten. Diese müssten "auf Basis eines klaren Kriterien- und Funktionskatalogs identifiziert werden". Die vorgesehenen politischen Vertraulichkeitsbescheide böten dagegen keine Rechts-, Planungs- und Investitionssicherheit. "Der Ausbau der 5G-Netze steht damit auf tönernen Füßen", sagte Bitkom-Präsident Achim Berg.

Hacking & Security: Das umfassende Handbuch. 2. aktualisierte Auflage des IT-Standardwerks (Deutsch) Gebundene Ausgabe

Ebenso wie der Bitkom stört sich auch der Eco-Verband daran, dass der Entwurf nicht richtig mit der EU-Ebene abgestimmt ist. Landefeld empfiehlt, "die Beratungen des IT-Sicherheitsgesetzes 2.0 zurückzustellen und die weiteren Entwicklungen auf europäischer Ebene abzuwarten". Dies betreffe insbesondere die angestrebte Harmonisierung des IT-Sicherheitsgesetzes mit der geplanten Überarbeitung der Richtlinie zur Gewährleistung einer hohen Netzwerk- und Informationssicherheit (NIS) auf europäischer Ebene, die unmittelbar bevorstehe.

Kritisch sieht Landefeld die neuen Befugnisse für das BSI. So könne die Behörde Datenverkehr an von ihr benannte Server umleiten lassen und selbst Angriffe auf IT-Systeme vortäuschen und im Zuge dessen auch in diese Systeme eindringen. "Die Maßnahmen, die das BSI hier ergreifen und anordnen kann, werfen Zweifel daran auf, dass der Grundrechtschutz hier gewahrt ist", sagte Landefeld.

Nach dem Kabinettsbeschluss muss der Bundestag noch über das Gesetz beraten. Ob eine Verabschiedung noch vor dem Ende der Legislaturperiode erreicht werden kann, ist offen.

Nachtrag vom 16. Dezember 2020, 16:26 Uhr

Das Bundesinnenministerium teilte auf Anfrage von Golem.de mit, dass vor einer Verabschiedung des Gesetzes durch den Bundestag noch die dreimonatige Notifizierungsfrist auf EU-Ebene abgewartet werden müsse. Allerdings könnten schon vorher die erste Lesung des Entwurfs sowie die parlamentarischen Beratungen erfolgen. Daher sei das Ministerium zuversichtlich, dass der Entwurf noch vor der Sommerpause beschlossen werden könne.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
 IT-Sicherheitsgesetz: Regierung beschließt Regeln für kritische Infrastruktur
  1.  
  2. 1
  3. 2


Grimreaper 17. Dez 2020

Ja, das wäre, verglichen mit dem anderen, das deutlich kleinere Übel, selbst wenn es...

CloudIA 16. Dez 2020

Kaufen wir doch lieber Hardware von den Amerikanern. Die sind unsere Freunde, die würden...



Aktuell auf der Startseite von Golem.de
Boschs smartes System
Großer Akku, kleine Kompatibilität

Das smarte System für Pedelecs punktet mit guter Anbindung an unser Telefon - funktioniert aber nicht mit älteren E-Bikes und hat noch eine weitere große Schwäche.
Von Martin Wolf

Boschs smartes System: Großer Akku, kleine Kompatibilität
Artikel
  1. Cariad: VW will wegen Softwareproblemen mehr Personal einstellen
    Cariad
    VW will wegen Softwareproblemen mehr Personal einstellen

    Volkswagen will seine Software-Tochter Cariad personell verstärken, weil es dort Entwicklungsprobleme gibt.

  2. Hasskommentare: Japan verschärft Gesetz gegen Cybermobbing
    Hasskommentare
    Japan verschärft Gesetz gegen Cybermobbing

    Japanische Gerichte können für Hasskommentare und Beleidigungen im Netz jetzt Gefängnisstrafen von einem Jahr verhängen.

  3. Kryptowinter: Auch Bitcoin-Minern droht die Zahlungsunfähigkeit
    Kryptowinter
    Auch Bitcoin-Minern droht die Zahlungsunfähigkeit

    Nicht nur Bitcoin-Verleiher gehen in der Krise pleite. Auch professionelle Krypto-Mining-Unternehmen kämpfen um ihre Liquidität.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • LG OLED TV 77" 120 Hz günstig wie nie: 2.399€ • Red Friday: Mega-Rabatt-Aktion bei Media Markt • Amazon-Geräte günstiger • AMD Ryzen 5 günstig wie nie: 119€ • EVGA RTX 3090 günstig wie nie: 1.649€ • MindStar (MSI 31,5“ WQHD 165Hz 369€) • Der beste 2.000€-Gaming-PC [Werbung]
    •  /