IT-Sicherheitsgesetz: Regierung streicht Passagen zu Darknet und Passwörtern

Die Bundesregierung hat umstrittene Pläne aus dem IT-Sicherheitsgesetz 2.0 entfernt. Dafür gibt es neue Vorgaben für den Einsatz von 5G-Komponenten.

Artikel veröffentlicht am ,
Wer darf künftig Komponenten für das 5G-Netz in Deutschland liefern?
Wer darf künftig Komponenten für das 5G-Netz in Deutschland liefern? (Bild: Nicolas Guyonnet/Reuters)

Die Bundesregierung hat ihre Pläne für ein IT-Sicherheitsgesetz 2.0 teilweise abgeschwächt. Aus einem neuen 73-seitigen Referentenentwurf, der Golem.de vorliegt und inzwischen auf Netzpolitik.org veröffentlicht wurde, geht hervor, dass das Strafgesetzbuch und die Strafprozessordnung nicht mehr geändert werden sollen. Damit entfielen die geplanten Straftatbestände für die Betreiber von Handelsplattformen im Darknet und die "unbefugte Nutzung von IT-Systemen". In einem Entwurf aus dem März 2019 waren die Vorschläge noch enthalten.

Ebenfalls gestrichen wird ein Paragraf, der den Ermittlungsbehörden die Übernahme "virtueller Identitäten" erlaubt hätte. Dazu hätten Verdächtige verpflichtet werden können, die "zur Nutzung der virtuellen Identität erforderlichen Zugangsdaten herauszugeben". Die gewonnenen Informationen hätten allerdings nur mit Zustimmung des Verdächtigen gegen diesen verwendet werden können.

Unverändert im Gesetz enthalten sind hingegen umfangreiche Kompetenzerweiterungen für das Bundesamt für die Sicherheit in der Informationstechnik (BSI). Die Behörde soll befugt werden, in fremde IT-Systeme einzudringen, um Patches zu installieren oder Schadsoftware zu entfernen. Dies sei insbesondere zur effektiven Bekämpfung von Botnetzen notwendig. Das BSI soll auch aktiv nach solchen unsicheren Geräten suchen und sich beispielsweise mit unsicheren Passwörtern wie "0000" oder "admin" anmelden dürfen.

Um die von Sicherheitslücken oder Sicherheitsvorfällen Betroffenen benachrichtigen zu können, soll das BSI zukünftig auch die Bestandsdaten, also beispielsweise Name und Adresse, bei den Telekommunikationsanbietern abfragen dürfen.

Innenministerium prüft Vertrauenswürdigkeit

Hinzugekommen ist zudem eine umfangreiche Passage zum Einsatz kritischer Komponenten. Das könnte beispielsweise den Einbau von Geräten des chinesischen Herstellers Huawei beim Aufbau des 5G-Netzes betreffen. Einem neu zu schaffenden Paragrafen 9b im BSI-Gesetz zufolge muss der Einsatz solcher Komponenten künftig dem Bundesinnenministerium angezeigt werden. Dieses prüft deren Einsatz "in Hinblick auf die Vertrauenswürdigkeit des Herstellers und kann gegenüber dem Betreiber der kritischen Infrastruktur im Einvernehmen mit dem jeweils betroffenen Ressort den Einsatz untersagen, wenn der Hersteller der kritischen Komponente nicht vertrauenswürdig ist".

Die Vertrauenswürdigkeit ist demzufolge dann nicht gegeben, wenn der Hersteller beispielsweise gegen die "in der Garantieerklärung eingegangen Verpflichtungen und Versicherungen verstoßen hat" oder "die kritische Komponente über technische Eigenschaften verfügt, die geeignet sind, missbräuchlich auf die Sicherheit, Integrität, Verfügbarkeit oder Funktionsfähigkeit der kritischen Infrastruktur einwirken zu können".

Technische Prüfung reicht nicht

Allerdings heißt es in der Gesetzesbegründung dazu: "Aufgrund der hohen Virtualisierung der 5G-Netze und der zu erwartenden stetigen Software-/Firmware-Updates kritischer Komponenten und Dienste bieten weder eine Komponentenzertifizierung noch eine Überprüfung von Sicherheitskonzepten eine 100%-ige Sicherheit dahingehend, dass die Hersteller keine missbräuchlichen Zugriffsmöglichkeiten auf Hard- und Software implementieren, die Sabotage oder Spionage ermöglichen." Die im Raum stehende Frage der Vertrauenswürdigkeit von Herstellern und Dienstleistern könne dadurch nicht abschließend geklärt werden. Die Einhaltung der Vertrauenswürdigkeitserklärung sei "in einem geeigneten Verfahren einer angemessenen Prüfung und Bewertung zu unterziehen. Dies kann nicht im Rahmen einer nur technischen Zertifizierung erfolgen", heißt es weiter.

Dies könnte dazu führen, dass die Bundesregierung Produkte chinesischer Hersteller generell ausschließt, auch wenn die technischen Prüfungen keine Hinweise auf Hintertüren ergeben. Einem Bericht des Handelsblatts zufolge trägt das Innenministerium damit Bedenken des Außenministeriums Rechnung. "Wir dürfen uns gerade bei den Themen kritische Infrastruktur und Zukunftstechnologien nicht in Abhängigkeiten von Anderen begeben", sagte Außenminister Heiko Maas (SPD) der Zeitung. Das schränke "unsere Handlungsfähigkeit ein" und untergrabe "die Souveränität Europas".

Die Überprüfung kann aber nicht nur die technischen Komponenten, sondern auch die Mitarbeiter betreffen. So heißt es in einem neuen Paragrafen 9a des BSI-Gesetzes, dass Betreiber kritischer Infrastrukturen auch geeignete Prozesse vorsehen können, "um die Vertrauenswürdigkeit der Beschäftigten zu überprüfen, die in Bereichen tätig sind, in denen in besonderem Maße auf die Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit informationstechnischer Systeme, Komponenten oder Prozesse, die für die Funktionsfähigkeit der kritischen Infrastruktur maßgeblich sind, eingewirkt werden kann". Eine Verpflichtung besteht jedoch nicht.

Wann der Referentenentwurf vom Kabinett beschlossen und in den Bundestag eingebracht werden wird, ist noch offen. Bis zur Verabschiedung durch den Bundestag dürfte es noch einige Monate dauern.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Aktuell auf der Startseite von Golem.de
O.MG Cable im Test
Außen USB-Kabel, innen Hackertool

Das O.MG Cable kommt wie ein Standard-USB-Kabel daher. Dass es auch ein Hackertool ist, mit dem sich gruselige Dinge anstellen lassen, sieht man ihm nicht an. Obendrein ist es auch noch leicht zu bedienen.
Ein Test von Moritz Tremmel

O.MG Cable im Test: Außen USB-Kabel, innen Hackertool
Artikel
  1. Entlassungen: Vodafone Deutschland will nicht mehr giga sein
    Entlassungen
    Vodafone Deutschland will nicht mehr giga sein

    Vodafone hat den Stellenabbau in Deutschland bestätigt. Ziel sei ein Unternehmen, dem man wieder vertrauen könne, sagt der neue Chef.

  2. Stormbreaker: Smarte Gleitbombe priorisiert Ziele
    Stormbreaker
    Smarte Gleitbombe priorisiert Ziele

    Raytheon hat einen Millionenauftrag zur Herstellung von 1.500 computergesteuerten Gleitbomben des Typs Stormbreaker für die US-Luftwaffe erhalten.

  3. Weltgrößter Kabelnetzbetreiber: Liberty Global legt sich nicht auf DOCSIS 4.0 fest
    Weltgrößter Kabelnetzbetreiber
    Liberty Global legt sich nicht auf DOCSIS 4.0 fest

    In den USA sind die Kabelnetzbetreiber sehr schnell mit dem DOCSIS 4.0 Rollout. Liberty Global hält sich Glasfaserüberbau und den neuen Standard gleichermaßen offen.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Stellemarkt-Logo
Zur Akademie
Akademie-Logo
Zum Coaching
Shifoo-Logo
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    • Daily Deals • Nur noch heute: Amazon Frühlingsangebote • MindStar: MSI RTX 4080 1.249€, Powercolor RX 7900 XTX OC 999€ • Fernseher Samsung & Co. bis -43% • Monitore bis -50% • Bosch Prof. bis -59% • Windows Week • Logitech bis -49% • Alexa-Sale bei Amazon • 3 Spiele kaufen, 2 zahlen [Werbung]
  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
 
    •  /