Eigentlich wurde darauf sehnlichst gewartet: der Referentenentwurf des zweiten IT-Sicherheitsgesetzes. Dieser wurde am gestrigen Mittwoch, dem 2.12.2020, veröffentlicht. Aber nur bis zum Sonntag, den 6.12.2020, sollen die Experten jetzt Zeit haben für Stellungnahmen. Das sorgt bei diesen für massive Kritik – zumal auch die „Erstausgabe“ viel Kritik erntete. Aber die Ministerialen in Berlin räumen in ihrer Begründung selber ein, dass dieser Entwurf noch nicht das Ende sein wird. Aber nicht nur die Kurzfristigkeit sorgt für Ärger. Die AG KRITIS, ein Zusammenschluss von IT-Sicherheitsexperten, fordert die „Notbremse“! Betroffen von dem Entwurf ist auch die Kritische Infrastruktur Wasserwirtschaft und bei KRITIS hagelt es Kritik.
Warum eine Gesetzesänderung
Der Auftrag war klar: Die Regierungsfraktionen hatten in ihrem Koalitionsvertrag verabredet, das Erste IT-Sicherheitsgesetz vom 17. Juli 2015 solle durch das Zweite IT-Sicherheitsgesetz (IT-SiG 2.0) erweitert werden. Darauf verweist auch das Bundesinnenministerium in seiner Begründung des Entwurfs und führt weiter aus: „Demnach soll das Bundesamt für Sicherheit in der Informationstechnik (BSI) befugt werden, Kontroll- und Prüfbefugnisse gegenüber der gesamten Bundesverwaltung auszuüben, indem es Informationen über das aktuelle Sicherheitsniveau der überprüften Stelle des Bundes verlangen kann. Außerdem wird der Verbraucherschutz in den Aufgabenkatalog des BSI aufgenommen. Es soll die Grundlage für einheitliches IT-Sicherheitskennzeichen eingeführt werden, das die IT-Sicherheitsfunktionen insbesondere von Produkten im Verbrauchersegment erstmals für Bürgerinnen und Bürger sichtbar und nachvollziehbar macht. Des Weiteren soll die Befugnis des BSI zur Untersuchung von IT-Produkten neu gefasst werden. Hersteller sollen zur Auskunft über ihre Produkte verpflichtet werden. Ferner soll das BSI befugt werden, Sicherheitslücken an den Schnittstellen informationstechnischer Systeme zu öffentlichen TK-Netzen zu detektieren (Portscans) sowie Systeme und Verfahren zur Analyse von Schadprogrammen und Angriffsmethoden einzusetzen (Honeypots). Im Übrigen enthält der Entwurf eine Regelung zur Untersagung des Einsatzes kritischer Komponenten, für die eine Zertifizierungspflicht besteht.„
Aber auch in der Gesetzesentwicklung bestand in Berlin noch Klärungsbedarf. Da steht nämlich, „zu mehreren Themen wurde innerhalb der Bundesregierung noch keine Einigkeit erzielt und besteht noch Diskussions- und Anpassungsbedarf. Dies betrifft insbesondere die nachstehend genannten Bestimmungen. Es ist mithin davon auszugehen, dass im Laufe der Ressortabstimmung noch materielle Veränderungen am Diskussionsentwurf (auch in nicht aufgeführten Bestimmungen) erfolgen.“Hier geht es zum Gesetzentwurf des BMI. Soweit das BMI. Zu diesen Diskussionen und durchgreifenden Anpassungen wird es ganz sicher noch kommen, denn die IT-Expertenszene ist in Aufruhr. Zwar hatte man wohl schon einige Tage vorher ein erstes Dokument des Entwurfs „gefunden“, wie die Diskussionen auf Twitter erkennen lassen, das BMI veröffentlichte es aber erst am 2.12. – mit der ambitionierten Rückmeldefrist.
AG KRITIS fordert Notbremse
„Die AG KRITIS fordert die Notbremse für den ITSiG2-Gesetzesentwurf.“ Die Stellungnahme im Wortlaut. „Nicht nur zeigt dieser Entwurf, dass er von fachfremden Personen mit der heißen Nadel gestrickt wurde – auch finden sich dort Formulierungen, welche die Krisenreaktionsfähigkeit des BSI verlangsamen. Zusätzlich verstrickt sich das BMI in Widersprüche in Bezug auf die Vorhaltung von nutzlosen Logdaten und darüber hinaus muss sogar die Zustimmung von Sicherheitsbehörden eingeholt werden, bevor KRITIS-Betreiber über schwerwiegende Sicherheitslücken informiert werden dürfen.
Und damit nicht genug: Teile der Aufgaben von Staatsanwaltschaften werden ohne Richtervorbehalt an Telekommunikationsanbieter ausgelagert und werden so privatisiert.Dieses Gesetz ist auf fraglichen Grundlagen im luftleeren Raum entstanden und kann nur auf dem fehlgeleiteten Bauchgefühl einzelner BMI-Mitarbeiter basieren, da die gesetzlich vorgesehene Evaluierung des ersten IT-SiG weiterhin nicht vorgenommen wurde und weiterhin aussteht. Die unüblich kurze und dialogfeindliche Fristsetzung zur Kommentierung unterstreicht die Unangemessenheit des Erstellungsprozesses.
Kabinett soll schon am 16.12.2020 über Gesetzentwurf entscheiden
Zur Einschätzung, dass dieser Gesetzesentwurf gestoppt werden muss, kommt die AG KRITIS, nachdem Sie eine umfassende Stellungnahme auf ihrer Website veröffentlicht hat, in der alle kritischen Änderungen analysiert und diskutiert werden. Vor dem Hintergrund, dass laut netzpolitik.org dieses Gesetz schon am 16.12.2020 durch das Kabinett beschlossen werden soll, sehen wir keine Möglichkeit mehr, dass Korrekturen im notwendigen Umfang stattfinden könnten. Daher ist ein sofortiges Ziehen der Notbremse durch die zuständigen Minister nun zwingend notwendig.“
Die 14-seitige Ad-hoc-Stellungnahme der Experten ist auf der Website der AG KRITIS veröffentlicht: https://ag.kritis.info/2020/12/03/notbremse-fuer-den-entwurf-stellungnahme-der-ag-kritis-zum-3-entwurfs-des-it-sig-2-0/
AG KRITIS
Die AG KRITIS ist ein unabhängiger, ehrenamtlicher Zusammenschluss von über 40 Experten, die sich täglich mit Kritischen Infrastrukturen (KRITIS) gemäß § 2 (10) BSI-Gesetz i. V. m. BSI-Kritisverordnung beschäftigen, z. B. durch Planung, Bau, Betrieb, Beratung oder Prüfung der beteiligten IT-Systeme und Anlagen. Die Arbeitsgruppe ist vollständig unabhängig von Staat oder Wirtschaft. Wir vertreten keine Interessen von Unternehmen oder Wirtschaftsverbänden, sondern unser Ziel ist es einzig und allein, die Versorgungssicherheit der Bevölkerung zu erhöhen.
Dieser Beitrag wurde erstveröffentlicht im Blog des Autors LebensraumWasser am 3.12.2020
Bildquelle: Pixabay, Bild von AndGra, Pixabay License