IT-Sicherheitgesetz der Bundesregierung – notwendiger Schutz dig. Infrastrukturen & privater Kommunikation fällt aus

Ob Deutscher Bundestag, US-Behörden oder Kaspersky – derzeit erreichen uns beinahe täglich neue Meldungen bezüglich gravierender IT-Angriffe. Die Parallelität der Ereignisse ist schon frappierend. So fand am Ende der letzten Sitzungswoche im Bundestag die abschließende Debatte über das von der Großen Koalition vorgelegte IT-Sicherheitsgesetz statt, über das wir auch hier immer wieder berichtet haben. Hier findet Ihr unsere grundsätzliche Kritik an dem Vorhaben der Bundesregierung und meine Rede anlässlich der ersten Lesung des Gesetzesentwurfs im Plenum des Bundestages und hier das Video der Anhörung des Innenausschusses zum IT-Sicherheitsgesetz am 20.04.2015, in der ebenfalls massive Kritik an dem Vorhaben und dem Vorgehen der Bundesregierung zum Ausdruck kam.

Klar ist, und das wurde im Zuge der Berichterstattung über das IT-Sicherheitsgesetz zurecht auch immer wieder betont: Das IT-Sicherheitsgesetz hat seinen Namen nicht ansatzweise verdient. Ein suggerierter ganzheitlicher Ansatz, die IT-Sicherheit zu erhöhen, wird eben nicht verfolgt. Genau das wäre aber dringend nötig. Denn klar ist doch: Spätestens seit den seit nunmehr mehr als zwei Jahren andauernden Enthüllungen Edward Snowdens, den sich hieraus ergebenden politischen Diskussionen und beispielsweise den hierzu im Bundestag stattgefundenen Anhörungen des Parlamentarischen Untersuchungsausschusses wissen wir, dass im Bereich der IT-Sicherheit die Hütte lichterloh brennt.

Sehr deutlich haben namhafte deutsche Staatsrechtler in einer denkwürdigen Anhörung des Untersuchungsausschusses auf die sich aus unserer Verfassung ergebenden Verpflichtung des Staates aufmerksam gemacht, digitale Infrastrukturen und private Kommunikation effektiv zu schützen. Genau dies findet aber bis heute nicht statt. Oder anders ausgedrückt: Der Staat kommt seiner verfassungsrechtlichen Verpflichtung nicht nach. Im Gegenteil: Die Bundesregierung legt derzeit ein Gesetz nach dem anderen vor, das die IT-Sicherheit sogar weiter gefährdet. Prominentestes Beispiel hierfür ist derzeit zweifellos die Vorratsdatenspeicherung, die vorsieht, weitere Datenberge anzuhäufen.

Nach Jahren des Tiefschlafs möchte die Bundesregierung mit der Einführung einer Meldepflicht von IT-Angriffen für Wirtschaftsunternehmen, welche zur Gruppe der Kritischen Infrastrukturen zählen,  nun also die IT-Sicherheit erhöhen. Ihre Bemühungen sind jedoch zweifellos kaum mehr als ein Placebo. Die Vorschläge greifen viel zu kurz. Einen wirklichen Beitrag zur Erhöhung der IT-Sicherheit in Deutschland leisten sie ganz bestimmt nicht.

Das Gesetz verfolgt mit seinen Meldepflichten insgesamt leider einen rein passiven Ansatz und beschränkt sich lediglich auf sogenannte Kritische Infrastrukturen, große Bereiche der sensible Daten verarbeitenden Wirtschaft sind von vornherein ausgeklammert. Staatliche Akteure als größte Betreiber kritischer Infrastrukturen sind sogar komplett ausgenommen. Während die Unternehmen mit einer sich durch die Vorlage ergebenden Rechtsunsicherheit konfrontiert sind, kehrt man vor der eigenen Haustür nicht. Das Gesetz ist zudem handwerklich ungenügend, da zahlreiche unbestimmte Rechtsbegriffe offen lassen, wer beispielsweise überhaupt Betreiber Kritischer Infrastruktur sind. Auch was mit den übermittelten Daten geschieht, klärt das vorliegende Gesetz ungenügend. Diese und zahlreiche andere unbestimmte Regelungen sind verfassungs- und bürgerrechtlich höchst bedenklich und sorgen für Rechtsunsicherheit bei Unternehmen und Öffentlichkeit.

Die Bundesregierung tut dabei so, als ob es die zahlreichen Erkenntnisse aus dem parlamentarischen Untersuchungsausschusses zum Abhör- und Ausspähskandal nie gegeben hätte. Konsequenzen aus den seit nunmehr mehr als zwei Jahren anhaltenden Enthüllungen Edward Snowdens und der Aufklärung durch den Deutschen Bundestag zieht man auch weiterhin nicht. Im Gegenteil, das Bundesamt für Sicherheit in der Informationstechnik wird zur Super-IT-Behörde aufgeblasen und das Bundesamt für Verfassungsschutz – rechtlich undifferenziert – aufgerüstet. Darüber vergisst die Bundesregierung komplett ihren eigentlichen Auftrag, den sich aus unserer Verfassung ergebenden Schutz der Bürgerinnen und Bürger. Die Grundrechte auf Integrität und Vertraulichkeit informationstechnischer Systeme und auf informationelle Selbstbestimmung lässt die Bundesregierung somit nicht nur leer laufen, sie schwächt sie zusätzlich.

Um der Bundesregierung zu verdeutlichen, dass es durchaus sehr viel weitergehende Vorschläge zur Verbesserung der IT-Sicherheit als die von ihr unterbreiteten gibt, haben wir im Zuge der 2./3. Lesung des Gesetzesvorhabens einen eigenen Entschließungsantrag mit weitreichenden Forderungen zum verbesserten Schutz der Bürger vor Überwachung und Ausspähung in den Bundestag eingebracht. Auf diesen Entschließungsantrag (pdf) wollen wir an dieser Stelle noch nachträglich aufmerksam machen. Ziel unserer Initiative war es, nötige Verbesserungen am Gesetz konkret zu benennen und auf die Notwendigkeit eines ganzheitlichen Ansatz in der IT-Sicherheit zu verweisen.

Im Zentrum steht für uns die Schutzpflicht des Grundrechts der Menschen auf Vertraulichkeit und Integrität ihrer informationstechnischen Systeme und nicht nur der Schutz Kritischer Infrastrukturen. Für einen tatsächlich effektiven Schutz müssen auch öffentliche Stellen einbezogen werden. Damit das Bundesamt für Sicherheit in der Informationstechnik (BSI) seiner Aufgabe gerecht werden kann, muss es zumindest für diesen Aufgabenbereich unabhängig vom Bundesministerium des Inneren gestellt werden. Dabei muss für alle erhobenen Daten eine  sehr enge Zweckbindung gelten und die Vorgaben der höchstrichterlichen Urteile  des Bundesverfassungsgerichts und des Europäischen Gerichtshofs zur Vorratsdatenspeicherung zwingend beachtet werden.

Eine passive Meldepflicht wird gewiss nicht ausreichen um die IT-Sicherheit bei Unternehmen zu steigern. Vielmehr müssen positive und wettbewerbsrelevante Anreize für die Wirtschaft, wie Auditierungen, mindestens flankierend eingeführt werden. Gleichzeitig wird das Gesetz absehbar ein zahnloser Tiger bleiben, wenn nicht wirksame Sanktionen bei Zuwiderhandlungen eingeführt werden. Anonyme Meldungen an das BSI sind nicht ausreichend, um dem Interesse der Öffentlichkeit gerecht zu werden, daher bedarf es anlassbezogener Informationspflichten über Verletzungen der IT-Sicherheit gegenüber betroffenen Unternehmen und der Öffentlichkeit.

Als Grüne Bundestagsfraktion fordern wir zudem einen deutlich weitreichenderen Ansatz, der endlich beispielsweise auch den Aufbau, den Betrieb und das Angebot von echter Ende-zu-Ende-Verschlüsselungen bei allen IT-Großprojekten fördert. Ein weiterer Baustein ist die Förderung von offener Software, die auch innovative Datenschutzkonzepte wie „Privacy by Design“ und „Security by Design“ berücksichtigt, und deren verbindlicher Verwendung etwa in der öffentlichen Verwaltung. Dabei muss es nicht nur für Betreiber, sondern auch für Hersteller von Hard- und Software Anreize zur Qualitätssicherung geben, beispielsweise durch Haftungsverpflichtungen.

Den Aufkauf und die Verwendung von Sicherheitslücken durch Geheimdienste, mit denen gefährliche Lücken in Infrastrukturen reproduziert und mitfinanziert werden, wollen wir verbieten. Hier zeigt sich der Widerspruch der Bundesregierung, die einerseits nach Sicherheit ruft, andererseits den Schwarzmarkt für Sicherheitslücken selbst befeuert. Wir werden die Bundesregierung weiterhin drängen, ihrer Pflicht nachzukommen, die digitalen Bürgerrechte effektiv zu schützen.

Deutscher Bundestag                                                   Drucksache 18/5127 18. Wahlperiode 10.06.2015

Entschließungsantrag

der Abgeordneten Dr. Konstantin von Notz, Hans-Christian Ströbele,Luise Amtsberg, Volker Beck (Köln), Kai Gehring, Dieter Janecek, Katja Keul, Renate Künast, Monika Lazar, Irene Mihalic, Özcan Mutlu, Tabea Rößner und der Fraktion BÜNDNIS 90/DIE GRÜNEN

zur dritten Beratung des Gesetzentwurfs der Bundesregierung

Entwurfs eines Gesetzes zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz)

Der Bundestag wolle beschließen:

  1. Der Deutsche Bundestag stellt fest:

Die Digitalisierung und Vernetzung von Gesellschaft, Wirtschaft und Staat schreitet weiter voran und damit auch die die Abhängigkeit von IT-Systemen. Zugleich ist nicht erst seit dem durch Edward Snowden bekannt gewordenen Überwachungs- und Abhörskandal westlicher Geheimdienste klar, dass digitale Infrastrukturen auch durch staatliche Behörden bedroht sind. Beinahe täglich erfahren wir von gravieren­den Sicherheitslücken in Software und von zahlreichen Hackerangriffen auf private als auch öffentliche IT-Strukturen. Die IT-Sicherheitslage in Deutschland ist weiter­hin angespannt, wie der Lagebericht zur IT-Sicherheit des Bundesamts für Sicherheit in der Informationstechnik (BSI) nachweist.

Das gesellschaftliche Vertrauen und das Vertrauen der Wirtschaft in die Integrität der digitalen Infrastruktur sind wesentliche Grundlagen für die digitale Zukunft. Eine Stärkung und Verbesserung der IT-Sicherheit ist aber vor allem auch dringend geboten, um den Menschen – auch vor dem Hintergrund des NSA-Überwachungs­skandals – Schutz vor der Verletzung ihrer Grundrechte, insbesondere ihres Grund­rechts auf Vertraulichkeit und Integrität der von Ihnen genutzten informationstech­nischen Systeme zu bieten.

II. Der Deutsche Bundestag fordert die Bundesregierung auf,

1. einen Gesetzentwurf vorzulegen, der das neu geschaffene IT-Sicherheitsgesetz zurücknimmt und stattdessen weitergehende, insbesondere grundrechts- und rechtsstaatskonforme Regelungen zur IT-Sicherheit enthält,

a) der nicht allein den Schutz Kritischer Infrastrukturen, sondern auch die Schutzpflicht des Grundrechts der Menschen auf Vertraulichkeit und In­tegrität ihrer informationstechnischen Systeme zum Ziel hat, sowie den grundlegenden datenschutzrechtlichen Anforderungen und dem Fernmel­degeheimnis gerecht wird,

b) dessen Anwendungsbereich auch öffentliche Stellen umfasst,

c) der hinreichend bestimmte und normenklare gesetzliche Regelungen zur Bestimmung der betroffenen Wirtschaftsbereiche und Betreiber sowie des Begriffs der kritischen Infrastruktur enthält,

d) der konkret, eng und unter strenger Beachtung des Grundsatzes der Zweckbindung regelt, von wem und zu welchen Zwecken die im Rahmen der Meldepflichten übermittelten personenbeziehbaren Daten verarbeitet werden dürfen; der Meldepflichten für Sicherheitsvorfälle nicht erst im Falle „erheblichen Störungen“ vorsieht, sondern bereits zu einem Zeit­punkt, in dem noch kein Schaden eingetreten ist“,

e) der Massenspeicherungen von Daten (Bestandsdaten, Verkehrsdaten oder Inhaltsdaten) allein für Zwecke der IT-Sicherheit ausschließt,

f) der positive und wettbewerbsrelevante Anreize für die Wirtschaft setzt, ihre IT-Sicherheitskonzepte stetig und proaktiv fortzuentwickeln und zu pflegen, und hierzu insbesondere zu prüfen, ob ein System der unabhän­gigen Auditierung und Zertifizierung von Produkten und Verfahren einen effizienteren Ansatz bietet,

g) der sicherstellt, dass die Qualität von IT-Sicherheitskonzepten in Behör­den und Unternehmen durch zu auditierende Sicherheitsprüfungen wie zum Beispiel sog. Penetrationstests qualitativ verbessert werden, der ein Verfahren zur unabhängigen Festsetzung von Standards der IT-Sicherheit nach gesetzlich festgelegten Kriterien vorsieht,

h) der für die gesetzlichen Vorgaben für technische Schutzstandards nicht nur den „Stand der Technik „berücksichtigt“, sondern auch Standards, die auf der Basis von Risikoanalysen und konkretisierbaren Gefahrenlagen (Szenarien) ermittelt werden, einhält,

i) der eine Kontrolle der Einhaltung durch ein zumindest für diesen Aufga­benbereich unabhängig gestelltes Bundesamt für Sicherheit in der Infor­mationstechnik (BSI) vorsieht,

j) der klarstellt, dass neu zu regelnde Meldepflichten unbeschadet der in § 42a BDSG und § 109a TKG zum Zwecke des Datenschutzes geregelten Meldepflichten bestehen,

k) der die Vorgaben der höchstrichterlichen Rechtsprechung des Bundesver­fassungsgerichts (Urteil vom 02.03.2010 – 1 BvR 256/08, 1 BvR 263/08, 1 BvR 586/08) und des Europäischen Gerichtshofs (Urteil vom 04.2014 – C-293/12 und C-594/12) zur Vorratsdatenspeicherung be­achtet,

l) der wirksame Sanktionen bei Zuwiderhandlungen, insbesondere gegen ge­setzliche Vorgaben für einzuhaltende Sicherheitsstandards vorsieht,

m) der insbesondere im Hinblick auf personenbezogene Daten ausdrücklich regelt, an wen und zu welchen konkreten Zwecken das BSI die durch die Meldungen erlangten Informationen übermitteln darf und unter welchen Voraussetzungen deren Weiterverarbeitung erfolgt,

n) der anlassbezogene Informationspflichten über Verletzungen der IT-Si­cherheit gegenüber betroffenen Unternehmen und Öffentlichkeit differen­zierend regelt,

o) der die Weitergabe von Erkenntnissen aus dem Lagebild des BSI sowie Erkenntnissen aus der Erweiterung der Aufgaben des BSI zur Untersu­chung von informationstechnischer Systeme, normenklar regelt und Er­kenntnisse der Öffentlichkeit verpflichtend und unmittelbar zur Verfü­gung stellt und eine grundsätzliche Pflicht zur unverzüglichen Veröffent­lichung von Sicherheitslücken enthält,

p) der die Einbeziehung der Datenschutzbeauftragten des Bundes und der Länder in die Festlegung von Informationssicherheitsstandards und in die vorgesehenen Meldewege mit vorsieht,

q) der, entgegen des im IT-Sicherheitsgesetz vorgesehenen und mangelhaft begründeten Stellenaufbaus bei Nachrichtendiensten, keine Stellenauf­wüchse und keine neuen Überwachungsbefugnisse der Nachrichten­dienste im Zusammenhang mit der IT-Sicherheit vorsieht, solange die von den Nachrichtendiensten dabei zu verwendenden Methoden und Instru­mente, somit auch die dadurch zu erwartenden Grundrechtsbeeinträchti­gungen für den Gesetzgeber und die Öffentlichkeit nicht nachvollziehbar gemacht werden können, und

r) der das IT-Sicherheitsgesetz auf die parallel in Verhandlung befindliche EU-Richtlinie zur Netz- und Informationssicherheit (NIS) hin anpasst

2. sich auf EU-Ebene insbesondere in den laufenden Verhandlungen und die NIS­Richtlinie für einheitliche und hohe Standards der IT-Sicherheit einzusetzen;

3. mittelfristig gesetzlich dafür Sorge zu tragen, dass

a) der Aufbau, Betrieb und das Angebot von Ende-zu-Ende-Verschlüsselun­gen gefördert und zum Kernstück eines umfassenderen Regelungsansatzes gemacht wird,

b) eine langfristige Strategie zur Prüfung und Sicherstellung von Bausteinen einer sicheren Hard- und Softwareinfrastruktur auf der Grundlage etwa von Open Source-Elementen (offene und überprüfbare Quelltexte) erar­beitet und umgesetzt wird, beispielsweise durch die Finanzierung von re­gelmäßigen und unabhängigen Überprüfungen von sicherheitsrelevanter Software („bug bountys“),

c) in einer ganzheitlichen Perspektive die Hersteller von Hard- und Software (nicht nur Betreiber) berücksichtigt und Anreize zur Qualitätssicherung durch Haftungsverpflichtungen geschaffen werden,(beispielsweise für die fahrlässige Implementierung oder Nichtbeseitigung von Sicherheitslü­cken),

d) das Vergaberecht der öffentlichen Hand angepasst wird, so dass grund­sätzlich nur auditierte, zertifizierte sowie open source gemäße Produkte berücksichtigt werden,

e) eine Beförderung des Schwarzmarktes für Sicherheitslücken durch den staatlichen Aufkauf und die Zurückhaltung von Sicherheitslücken (bspw. zero-day-exploits), welche die Integrität digitaler Infrastrukturen gefähr­den, zu verbieten und stattdessen auf die konsequente Beseitigung von Si­cherheitslücken hinzuwirken,

f) mittels eines übergreifenden Regelungsansatzes für einen hohen Daten­schutz durch Technik gesorgt wird, beispielsweise durch Verpflichtungen zu „Security and Privacy by Design and Default“

g) der Schutz von Whistleblowern (Hinweisgebern) gesetzlich gestärkt wird. Berlin, den 9. Juni 2015

Katrin Göring-Eckardt, Dr. Anton Hofreiter und Fraktion