Punkte zum Entwurf IT-Sicherheitsgesetz (18.3.2015)

Entwurf, in Arbeit

  1. IT-Sicherheitsbedrohungen sind grenzüberschreitendes Phänomen und können nur grenzüberschreitend gelöst werden. Nationale Anstrengung nötig und sinnvoll, aber darf/kann kein Insellösung sein. EU diskutiert bereits „NIS-Richtlinie“. IT-SigG muss daran eingebettet sein, sonst werden europäische Anstrengung konterkariert. Scheint aber überhaupt nicht geplant bzw. bedacht worden zu sein.
  2. „Informationstechnik“ ist kein „Sektor“ und nicht schon für sich eine „kritische Infrastruktur“, sondern kommt überall vor, auch in völlig unproblematischen, risikoarmen Bereichen. Wenn nicht aus § 2 Abs. 10 BSIG-E gestrichen wird, dann BSI künftig grenzenlos allzuständig…
  3. BSI in jetziger Aufstellung aus heutiger Sicht der Wirtschaft (und der kundigen Öffentlichkeit) schlicht kein vertrauenswürdiger Partner (siehe: https://netzpolitik.org/2015/geheime-kommunikation-bsi-programmierte-und-arbeitete-aktiv-am-staatstrojaner-streitet-aber-zusammenarbeit-ab/) . Die in §7a BSIG-E vorgesehene „Testkompetenz“ muss als Versuch des Zugriffs der deutschen Geheimdienste auf Schwachstellen verstanden werden, insbesondere weil auch so nicht in europäischer Regelung und auch sonst nirgendwo auf der Welt vorgesehen und als negatives Regelungsbeispiel international auch für deutsche Unternehmen schädlich.
  4. Beschränkung einer zweckändernden Verwendung erhaltener Daten nicht hinreichend. Begriff der „Sicherheit“ kann sehr weit sein und auch „Sicherheitsbehörden“ umfassen. Jetzt bekannt gewordene Fälle der Täuschung der Öffentlichkeit lassen erkennen, dass sich BMI im Zweifel über diese gesetzlichen Regelungen hinwegsetzt. Der für Cyber-Security zuständige Teil des BSI muss rechtlich, personell und organisatorisch völlig unabhängig vom Sicherheitsapparat werden, sonst ist er Teil des Problems und nicht der Lösung. Dienste können an „robuster“ Sicherheit etwa von Kommunikation oder IT-Systemen aufgrund Zielkonflikt kein Interesse haben!
  5. Das bereits „zur Bereitstellung auf dem Markt vorgesehene informationstechnische Produkte und Systeme“ vom BSI untersucht und öffentlich bewertet werden sollen, dürfte EU-rechtswidrige Marktzutrittschranke sein. Denn es wirkt für den betroffenen (ausländischen) Hersteller wie eine faktische staatliche Barriere, die er erst überwinden muss, bevor er überhaupt Marktchancen haben kann. Kann nur ganz ausnahmsweise erlaubt sein (Waffen etc., weil von denen immer Risiko ausgeht), dürfte aber bei „Informationstechnik“ im Allgemeinen, wie vorgesehen, nicht zu rechtfertigen sein. Wenn z.B. der Bund keine Huawei-Router einsetzen will, muss er halt andere kaufen und die natürlich auch konkret untersuchen. Er darf aber nicht allgemein Huawei-Router verteufeln, nur weil die sich etwa weigern, an der Untersuchung mitzuwirken und man deswegen dann schon sagen wird „Sicherheit konnte nicht überprüft werden“ und damit deren Chancen gegenüber einem Siemens-Router auch im Verbrauchermarkt herabsetzen – obwohl es gar keine Hinweise/ Verdacht etc. auf tatsächliche Unsicherheit gibt.
  6. Telekommunikationsunternehmen werden bereits durch BNetzA überwacht, müssen Sicherheitskonzept genehmigen lassen usw.. Bürokratische Doppelungen, die nur doppelt belasten, aber inhaltlich nichts verbessern, sind zu vermeiden, daher noch stärkere Verzahnung BSI/BNetzA zu prüfen und Entwurf zudem noch stärker auf solche Bereiche fokussieren, in denen die größten Sicherheitslücken existieren. BSI als weitere Aufsichtsbehörde in diesem Bereich zudem mehr als fraglich, da TK-Sicherheit grenzüberschreitend zudem nur im Rahmen der EU reguliert werden kann. Bestehende regulatorische Vorgaben im Gesetzentwurf aber offensichtlich nicht berücksichtigt (da nur BMI-Brille, die unbedingt Kompetenz für Sicherheitsbehörden und Stellen will…)
  7. Bestehende Strukturen der Cyber Security fördern und in Sicherheitsinfrastruktur einbeziehen (z.B. existierende CERT-Stellen), sowie existierende Initiativen der Wirtschaft (z.B. CSSA e.V.), statt nur eine staatliche Parallelstruktur aufbauen, die aber offensichtlich die Betroffenen bei einer Meldung gar nicht unterstützen „muß“ oder wenigstens „soll“, sondern nur „kann“ (so aber nur der §3 Abs. 3 BSIG-E). Meldepflichten drohen so eher zum bürokratischen Selbstzweck oder zur „Zero-Exploit-Sammlung“ für den BND zu werden, als dass daraus ein mehr ein Sicherheit erwachsen kann. Für ein „Immunsystem“ reicht es eben nicht, nur zu wissen, dass man krank ist…
  8. Ziel eines „Lagebildes“ ist völlig unterambitioniert. §7 Abs. 1 BSIG-E belastet Wirtschaft nur, bringt aber kein mehr an Sicherheit, wenn über die Kenntnis von Störungen und Problemen hinaus staatlicherseits nix passiert. Dieser Aspekt ist im bisherigen Gesetz noch nicht hinreichend enthalten. ITSiG-Gesetz kann auch nicht ein „wichtiger erster Schritt“ sein, da hier mit viel Geld und Personal Strukturen in den Behörden gebaut werden sollen, die gar nicht auf die Lösung von Problemen orientiert sind, sondern nur, um sie künftig zu verwalten oder für andere Zwecke als die Sicherheit der Nutzer auszunutzten. Beispiel: Meldepflicht existiert bereits nach §42a BDSG! Datenschutzbehörden reagieren bei „Data Breach Notification“ aber überhaupt nicht adäquat und leisten in der Praxis keinen Beitrag, um Gefährdung der Betroffenen abzustellen. In bisheriger Konstellation ändert sich das durch das BSI nicht, es ist nur noch eine weitere Stelle zu informieren…
  9. Untersuchungsrecht (§7a BSIG-E) muss überdacht und ggfs. konkretisiert werden. Viel zu weit und nicht etwa nur begrenzt auf kritische Infrastrukturen. Soll BSI so eine Art „Stiftung Warentest“ für IT werden? Nach welchen Kriterien soll geprüft werden? Größte Bedenken gegenüber vorgesehener Regelung! Vorwurf der Diskriminierung gerade ausländischer (EU-) Anbieter vorprogrammiert, zudem Haftungsprozesse bei Warnungen/ Veröffentlichungen auf Basis nicht nachvollziehbarer, willkürlicher Tests. Besser: Einführung transparentes Verfahren, bei dem BSI auf Basis international anerkannter Sicherheitsstandards evtl. Kriterien bei kritischen Infrastrukturen vorgibt bzw. konkrete Überprüfungen anordnet, die dann durch unabhängige Dritte (TÜV, Dekra etc….) durchgeführt werden.
  10. Konkretisierung von unbestimmten Begriffen dringend nötig, insbesondere um unspezifische Berichte (etwa Virenscanner-Meldungen über bereits abgewehrte Angriffe) zu vermeiden:
    1. „Kritische Infrastrukturen“ (§ 2 Abs. 10 BSIG-E) – müsste bereits im Gesetz konkretisiert werden, kann nicht allein einer Verordnung überlassen werden.
    2. Definition der Meldeschwelle für TK-Unternehmen „beträchtliche Sicherheitsverletzung“ (§109 Abs. 5 TKG-E)
    3. Begriff „Stand der Technik“ (§8a Abs. 1 S.2 BSIG-E)
    4. Definition „erhebliche Störungen“ (§8b Abs. 4 S. 1 BSIG-E)
  11. Eindeutigere und transparentere Regelungen zum Schutz und Verwendung der vom BSI aufgrund der vorgesehenen Meldepflichten erhaltenen (sensiblen) Daten. Das BSI wird als zentrale Sammelstelle dieser sensiblen Informationen über Schwachstellen ja selbst zum attraktiven Angriffsziel werden und gleichzeitg ein Bottleneck für die sinnvolle Nutzung dieser Daten sein, wenn nicht sichergestellt ist, dass nicht nur personell, sondern auch strukturell mehr passiert, als diese Informationen nur zu verwalten und für Statistiken auszuwerten. Ist jedoch überhaupt nicht gewährleistet, da im wesentlichen nur Stellen geschaffen werden, ein überzeugendes Konzept aber nicht bekannt wäre.
  12. Bestehende Strukturen der (staatlichen) Cyber Security in EU und der Bundesländer müssen noch besser verzahnt werden. Fehlt bislang völlig. Ist im Gesetzgebungsverfahren dringend zu untersuchen und vorzusehen. Es gibt die Kompetenzen auf dem freien Markt schlicht nicht und die existierenden Fachleute werden sich nicht verbeamten lassen!
  13. Neben Herstellern von Produkten sollten auch Dienstleister Informationen erhalten können, die zur Beseitigung von erkannten Sicherheitslücken sinnvoll sind.
  14. Kritik des Bundesrates an vorgeschlagener Art. 5 Nr. 2 (Änderung §100 TKG), er könnte zu VDS führen – sehe ich aber nicht, da „kann“ Vorschrift und in der Tat auch ausnahmsweise sinnvoll. Begrenzung, dass solche Daten nicht zu andern Zwecken zu beauskunften sind und Festlegung Höchstspeicherdauer (etwa 3 Monate) wäre aber sicher wichtig.
  15. Vorgesehene Umsetzungsfristen nicht leistbar, da gerade in den Bereichen, in denen bislang überhaupt keine Sicherheitsinfrastruktur existiert, erst Aufbau bei Verpflichteten geleistet werden muss und entsprechendes qualifiziertes Personal auf dem Arbeitsmarkt heute schon kaum verfügbar ist.
  16. Telemediendienste-Anbieter sind keine „kritische Infrastruktur“. Verpflichtet würde nach Entwurf §13 Abs. 7 TMG aber im Zweifel jeder Blog-Betreiber – kann der aber gar nicht erfüllen, da er gar keine Zugriff auf technische Infrastrukturen hat und auch nie bekommen kann, zudem Know-How und Geld fehlt. Man hat den Eindruck, das BMI will Zugriff der ihr unterstellten Dienste auf alle Rechenzentren und jeden Rechner bekommen – nur um mehr Sicherheit für die Betroffenen geht es dabei überhaupt gar nicht…
  17. Möglichkeit anonymer Meldungen sollte vorgesehen werden.
  18. Feste Auditzyklen (§8b) quatsch. Audits sind ggfs. als Teil eines Sicherheits- und Risiko-Managements sinnvoll, ersetzen dieses aber nicht. Dazu steht im Gesetz aber nix.

Kommentieren

Sie müssen angemeldet sein, um kommentieren zu können.

Aus Veranstaltungen von ISOC.DE
  • Bürgerrechte im Netz
    November 2018.
    In zwei Panels ging es um Netzneutralität und Datenschutz.
  • 25 Jahre ISOC.DE
    Dezember 2017, nach der Wahl, noch vor der Regierungsbildung
    Der 25. Geburtstag von ISOC.DE und ISOC.ORG bot den Anlass für eine Veranstaltung in der Parlamentarischen Gesellschaft in Berlin, die sich kritisch mit der Rolle der Politik bei der Internet-Entwicklung auseinandersetzte.
  • Sicherheit zwischen Kryptographie und Überwachung
    2016 währed der IETF96 in Berlin
    Bringt mehr Überwachung mehr Sicherheit? Welche Rolle spielt Kryptographie für die Sicherheit im Netz? Gefährden Backdoors die Sicherheit?
  • Wer Macht das Internet?
    2013 gemeinsam mit dem Bundesministerium für Wirtschaft und Technologie
    Wer "macht" eigentlich tatsächlich das Internet und wem wächst damit welche “Macht” zu? Was ist die Rolle der Politik?
  • Wie das Netz nach Deutschland kam
    2006 gemeinsam mit dem Haus der Geschichte, Bonn
    Wo kommt das Internet in Deutschland her? Was passierte in den 80ern und frühen 90ern? Was waren die Diskussionen und Visionen?
ISOC.DE

Die Internet Society German Chapter e.V. (ISOC.DE e.V.) ist ein eingetragener Verein, der die Verbreitung des Internets in Deutschland fördert und dessen Entwicklung sowohl in technischer als auch in gesellschaftlicher Hinsicht begleitet.
Folgen Sie uns auf Twitter! Twitter-logo
Abonnieren Sie unseren RSS feed! RSS Logo

Your IP Address is: