BSI darf hacken und Sicherheitslücken horten

Die Behörde soll befugt werden, in fremde IT-Systeme einzudringen, um Patches zu installieren oder Schadsoftware zu entfernen. Dies sei insbesondere zur effektiven Bekämpfung von Botnetzen notwendig. Das BSI soll auch aktiv nach solchen unsicheren Geräten suchen und sich beispielsweise mit unsicheren Passwörtern wie "0000" oder "admin" anmelden dürfen.

Stellenmarkt
  1. Berater als Projektleiter (m/w/d) Software
    wiko Bausoftware GmbH, Freiburg im Breisgau
  2. Duales Studium Softwaretechnologie im Bereich Slicing 1
    MULTIVAC Sepp Haggenmüller SE & Co. KG, Dautphetal-Buchenau
Detailsuche

Um die von Sicherheitslücken oder Sicherheitsvorfällen Betroffenen benachrichtigen zu können, soll das BSI zukünftig auch die Bestandsdaten, also beispielsweise Name und Adresse, bei den Telekommunikationsanbietern abfragen dürfen. In dem aktuellen Entwurf findet sich jedoch der Hinweis, dass das jüngste Urteil des Bundesverfassungsgerichts zur Bestandsdatenauskunft berücksichtigt werden muss.

IT-Sicherheitskennzeichen eingeführt

Umstritten ist hingegen der Passus, wonach das BSI Kenntnisse über ihm bekannte Sicherheitslücken zurückhalten darf, "soweit entdeckte Sicherheitslücken oder Schadprogramme nicht allgemein bekanntwerden sollen, um eine Weiterverbreitung oder rechtswidrige Ausnutzung zu verhindern oder weil das Bundesamt gegenüber Dritten zur Vertraulichkeit verpflichtet ist". Damit soll erreicht werden, dass Polizei und Geheimdienste Zero-Day-Exploits für ihre Zwecke weiterhin nutzen können.

Mit dem Gesetz wird das BSI zudem ermächtigt, ein freiwilliges IT-Sicherheitskennzeichen einzuführen. Demnach besteht das Kennzeichen aus "einer Zusicherung des Herstellers oder Diensteanbieters, dass das Produkt für eine festgelegte Dauer bestimmte IT-Sicherheitsanforderungen erfüllt" und einer "Information des Bundesamtes über sicherheitsrelevante IT-Eigenschaften des Produktes". Eine Aussage über den Datenschutz des Produktes wird nicht getroffen.

Kritik von Bitkom und Eco

Golem Akademie
  1. Penetration Testing Fundamentals
    23.-24. September 2021, online
  2. Microsoft 365 Security Workshop
    27.-29. Oktober 2021, Online
Weitere IT-Trainings

BSI-Präsident Arne Schönbohm sprach nach dem Kabinettsbeschluss von einem "Meilenstein auf dem Weg zu einer sicheren Digitalisierung in Deutschland". Laut Schönbohm ist der Entwurf für seine Behörde "von außerordentlicher Bedeutung und ein starker Beweis für das Vertrauen in das BSI".

In der IT-Wirtschaft besteht dieses Vertrauen jedoch nicht in gleichem Maße. So kritisierte der Branchenverband Bitkom: "Die personelle und finanzielle Stärkung des Bundesamts für Sicherheit in der Informationstechnik ist richtig. Allerdings schürt die großangelegte Kompetenzerweiterung des BSI Erwartungen, die in der Praxis kaum erfüllbar sind." Unzufrieden ist der Verband mit den Passagen zu den kritischen Komponenten. Diese müssten "auf Basis eines klaren Kriterien- und Funktionskatalogs identifiziert werden". Die vorgesehenen politischen Vertraulichkeitsbescheide böten dagegen keine Rechts-, Planungs- und Investitionssicherheit. "Der Ausbau der 5G-Netze steht damit auf tönernen Füßen", sagte Bitkom-Präsident Achim Berg.

Hacking & Security: Das umfassende Handbuch. 2. aktualisierte Auflage des IT-Standardwerks (Deutsch) Gebundene Ausgabe

Ebenso wie der Bitkom stört sich auch der Eco-Verband daran, dass der Entwurf nicht richtig mit der EU-Ebene abgestimmt ist. Landefeld empfiehlt, "die Beratungen des IT-Sicherheitsgesetzes 2.0 zurückzustellen und die weiteren Entwicklungen auf europäischer Ebene abzuwarten". Dies betreffe insbesondere die angestrebte Harmonisierung des IT-Sicherheitsgesetzes mit der geplanten Überarbeitung der Richtlinie zur Gewährleistung einer hohen Netzwerk- und Informationssicherheit (NIS) auf europäischer Ebene, die unmittelbar bevorstehe.

Kritisch sieht Landefeld die neuen Befugnisse für das BSI. So könne die Behörde Datenverkehr an von ihr benannte Server umleiten lassen und selbst Angriffe auf IT-Systeme vortäuschen und im Zuge dessen auch in diese Systeme eindringen. "Die Maßnahmen, die das BSI hier ergreifen und anordnen kann, werfen Zweifel daran auf, dass der Grundrechtschutz hier gewahrt ist", sagte Landefeld.

Nach dem Kabinettsbeschluss muss der Bundestag noch über das Gesetz beraten. Ob eine Verabschiedung noch vor dem Ende der Legislaturperiode erreicht werden kann, ist offen.

Nachtrag vom 16. Dezember 2020, 16:26 Uhr

Das Bundesinnenministerium teilte auf Anfrage von Golem.de mit, dass vor einer Verabschiedung des Gesetzes durch den Bundestag noch die dreimonatige Notifizierungsfrist auf EU-Ebene abgewartet werden müsse. Allerdings könnten schon vorher die erste Lesung des Entwurfs sowie die parlamentarischen Beratungen erfolgen. Daher sei das Ministerium zuversichtlich, dass der Entwurf noch vor der Sommerpause beschlossen werden könne.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
 IT-Sicherheitsgesetz: Regierung beschließt Regeln für kritische Infrastruktur
  1.  
  2. 1
  3. 2


Aktuell auf der Startseite von Golem.de
Gesetz tritt in Kraft
Die Uploadfilter sind da

Ab sofort haften große Plattformen für die Uploads ihrer Nutzer. Zu mehr Lizenzvereinbarungen hat das bei der Gema noch nicht geführt.
Ein Bericht von Friedhelm Greis

Gesetz tritt in Kraft: Die Uploadfilter sind da
Artikel
  1. Mercedes-Benz: Daimler rechnet mit Abbau von Arbeitsplätzen durch E-Autos
    Mercedes-Benz
    Daimler rechnet mit Abbau von Arbeitsplätzen durch E-Autos

    Mehr Elektroautos bei Daimler bedeuten nach Ansicht der Chefetage weniger Arbeitsplätze. Grund sei der einfachere Einbau eines Elektromotors.

  2. VW, BMW, Daimler: Jedes sechste Elektroauto ist von deutschem Hersteller
    VW, BMW, Daimler
    Jedes sechste Elektroauto ist von deutschem Hersteller

    Das Elektroauto gewinnt an Fahrt bei den deutschen Herstellern und Autokäufern. Bei Angebot und Nachfrage dominiert China.

  3. Sicherheitslücken: Zoom zahlt 85 Millionen US-Dollar an Kunden
    Sicherheitslücken
    Zoom zahlt 85 Millionen US-Dollar an Kunden

    Zoom soll Kunden mit falschen Sicherheitsversprechen in die Irre geführt und Daten mit Facebook ausgetauscht haben.

Grimreaper 17. Dez 2020

Ja, das wäre, verglichen mit dem anderen, das deutlich kleinere Übel, selbst wenn es...

CloudIA 16. Dez 2020

Kaufen wir doch lieber Hardware von den Amerikanern. Die sind unsere Freunde, die würden...



Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Schnäppchen • Acer XB323UGP (WQHD, 170Hz) 580,43€ • Acer XV340CKP (UWQHD, 144 Hz) 465,78€ • Razer BlackShark V2 + Base Station V2 Chroma 94,98€ • Mega-Marken-Sparen bei MM • Saturn: 1 Produkt zahlen, 2 erhalten • Alternate (u. a. AKRacing Core EX-Wide SE 248,99€) • Fallout 4 GOTY 9,99€ [Werbung]
    •  /