Kritik am Entwurf zum IT-Sicherheitsgesetz

Deutscher Reichstag/Bundestag in Berlin. (Bild: Andre Borbe)

Die Politik fordert eine Art Gurtpflicht für die Betreiber von kritischen IT-Infrastrukturen. Doch kritisieren Verbände die Haltung der Politik, die zwar eine Meldepflicht für Sicherheitsvorfälle in der IT vorschreiben will, das Bundesamt für Sicherheit in der Informationstechnik von dieser Verpflichtung jedoch ausnimmt. So sei kein durchgängiger Schutz möglich.

Bundesinnenminister Thomas de Maizière will neue Datenschutzregelungen für Nutzerdaten. Bild: BPA/Jesco Denzel
Bundesinnenminister Thomas de Maizière will neue Datenschutzregelungen für Nutzerdaten. (Bild: BPA/Jesco Denzel)

Die Bundesregierung will mit einem IT-Sicherheitsgesetz einheitliche Sicherheitsstandards gesetzlich regeln. Ein im März auf den Weg gebrachter Entwurf stößt jedoch auf erhebliche Kritik von Experten. So sieht der Präsidiumsarbeitskreis “Datenschutz und IT-Sicherheit” der Gesellschaft für Informatik e.V. (GI) das in der aktuellen Fassung vorgesehene Sicherheitsniveau als “unzureichend”. Das gelte sowohl in Bezug auf Privatpersonen als auch auf die Betreiber sogenannter “kritischer Infrastrukturen”.

Speziell diesen Firmen will Bundesinnenminister Thomas de Maizière (CDU) Standards für die IT-Sicherheit vorgeben. Er begründete das im August damit, dass Ausfälle der von diesen kritischen Infrastrukturen genutzten IT-Systeme “weitreichende, schlimmstenfalls sogar dramatische Folgen für unsere Gesellschaft” haben könnten. Da das IT-Sicherheitsniveau aber derzeit noch sehr unterschiedlich sei, hält er staatliche Vorgaben für erforderlich: “Früher haben wir die Pflicht zum Anschnallen beim Autofahren geregelt. Heute brauchen wir Sicherheitsgurte für die IT der kritischen Infrastrukturen”, sagte der Minister damals gegenüber der Frankfurter Allgemeinen Zeitung.

Die Experten der Gesellschaft für Informatik glauben aber nicht, dass sich die angestrebten Ziele ohne eine Pflicht zur Veröffentlichung neu entdeckter Sicherheitslücken umsetzen lassen: “Zur Erreichung eines angemessenen Sicherheitsniveaus – insbesondere in den Unternehmen der kritischen Infrastrukturen – ist die Veröffentlichung der den Sicherheitsbehörden bekannten bislang unveröffentlichten Sicherheitslücken unverzichtbar. Nur so können sich Unternehmen und Privatpersonen nachhaltig gegen die ständig zunehmenden IT-Angriffe schützen”, erklärt Hartmut Pohl, Sprecher des Arbeitskreises Datenschutz und IT-Sicherheit.

Im Gesetzentwurf ist aktuell lediglich vorgesehen, dass Firmen dem Bundesamt für Sicherheit in der Informationstechnik (BSI) Sicherheitslücken- und Probleme mit der IT-Sicherheit melden und die Behörde diese Informationen dann sammelt und auswertet. Ob es sie veröffentlicht, liegt aber in ihrem eigenen Ermessen.

“Die international organisierte Kriminalität verdient Milliarden mit dem Handel unveröffentlichter Sicherheitslücken auf dem schwarzen Markt. Da diese Lücken jedoch nach wie vor nicht veröffentlicht werden, sind deutsche Unternehmen und Privatpersonen den IT-Angriffen schutzlos ausgeliefert”, so Pohl weiter. Ihm zufolge haben die 70 größten Softwareunternehmen der Welt inzwischen erkannt, dass es wichtig ist, ausnutzbare Sicherheitslücken weitgehend zu eliminieren, und förderten daher konsequenterweise die Offenlegung bislang nicht bekannter Schwachstellen.

Möglicherweise schwingt bei den Experten auch die Befürchtung mit, dass gemeldete, aber nicht veröffentlichte Sicherheitslücken, durch die Behörden selbst in irgendeiner Form ausgenutzt werden könnten. Dass der US-Auslandsgeheimdienst NSA das so praktiziert, ist seit dem Frühjahr bekannt. Erst kürzlich war zudem durchgesickert, dass der Bundesnachrichtendienst offenbar über ein Budget von 4,5 Millionen Euro zum Ankauf von Wissen über Sicherheitslücken verfügt. Das wird laut dem Nachrichtenmagazin Der Spiegel auch dafür eingesetzt, Informationen zu Schwachstellen auf dem grauen Markt zu erwerben. Damit würde letztendlich eine staatliche Einrichtung halblegale oder sogar illegale Geschäfte mitfinanzieren.

Zero-Day-Lücken werden von ihren Entdeckern oft vertraulich an die Hersteller der Software gemeldet, die dafür teilweise sogar eine Belohnung zahlen. Sie haben so Zeit genug, einen Patch zu entwickeln und zu verteilen. Andererseits werden die Schwachstellen aber auch von Kriminellen – und eben Geheimdiensten – auf dem Schwarzmarkt gehandelt. “Den Markt für Schwachstellen zu unterstützen, ist aus staatlicher Sicht eine extrem schlechte Idee”, zitierte Der Spiegel in seinem Bericht zu den Plänen des BND Michael Waidner, Leiter des Fraunhofer-Instituts für Sichere Informationstechnologie. Denn Zero-Day-Lücken seien auch eine Bedrohung für die eigenen Bürger, Unternehmen und Behörden, da niemand wisse, wer alles Zugriff auf die Schwachstellen erhalte.

Das Innenministerium orientiert sich bei seinem Entwurf für das IT-Sicherheitsgesetz an der 2011 vorgelegten “Cyber-Sicherheitsstrategie für Deutschland” (PDF). Diese sah bereits vor, dass Betreiber kritischer Infrastrukturen verpflichtet werden, Angriffe auf ihre Netzwerke und IT-Anlagen zu melden. Die Behörden sollen diese Meldungen sammeln, andere Unternehmen vor Bedrohungen warnen und auf Grundlage der ausgewerteten Informationen neue Sicherheitsstandards definieren. So soll sich ein Kreislauf entwickeln, mit dem die Sicherheitssysteme aller Betreiber kritischer Infrastrukturen kontinuierlich auf dem neuesten Stand gehalten werden. Für Firmen, die nicht dazu gehören, möchte die Regierung zudem ein “Mindestsicherheitsniveau für IT-Systeme” erreichen.

[mit Material von Peter Marwan, ITespresso.de]

Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de