IT-SIG 2.0
13. Dezember 2020 10:02 Uhr | Dr. Ulrich Kampffmeyer | Permalink
Die neue Version des IT-Sicherheitsgesetzes ist ein Politikum. Die Version des IT-SIG 2.0 soll Unzulänglichkeiten der ersten Fassung, aus Jahr 2015, in Kraft seit 2019, beseitigen und viele weitere neue Themen aufgreifen.
Die Entwürfe wechselten schneller als man reagieren konnte. So gab es auch erhebliche Kritik z.B. von der KRITIS Arbeitsgemeinschaft und dem CCC Chaos Computer Club, dass man den Referenten-Entwurf vom 1.12.2020 nach Maßgabe des BMI nur bis zum 9.12.2020 kommentieren durfte. Es wird von einer notwendigen Notbremse bis zur gezielten Sabotage durch das Innenministerium gesprochen.
Der aktuelle Entwurf hat es in sich:
- Das BSI Bundesamt für Sicherheit in der in der Informationstechnik soll weitere Kompetenzen und zusätzliche 1155 Mitarbeiter erhalten. Es wird sogar von einem neuen „Polizei-Apparat“ gesprochen, da das BSI
- Eingriffe in die IT der Unternehmen durch Provider verlangen kann, z.B. Anbieter mit mehr als 100.000 Kunden verpflichten, zur Abwehr konkreter erheblicher Gefahren, die Systeme der Kunden durch „technische Befehle zur Bereinigung“ von bestimmten Schadprogrammen zu befreien.
- Software- und Komponentenanbieter durch Zertifizierungsverfahren für Produkte ausschließen kann, so z.B. auch die „Vertrauenswürdigkeit“ nachträglich entziehen zu können.
- Selbst durch Port-Scan-Verfahren im Internet investigativ tätig und so selbst zu Hackern werden kann.
- Der Paragraph zur Vertrauenswürdigkeit von Anbietern gegenüber dem Betreiber einer Kritischen Infrastruktur mit Forderung der Abgabe einer Garantieerklärung seitens des Anbieters, dass er sicherstellt, dass seine Komponenten nicht mißbräuchlich oder gar für terroristische Zwecke genutzt werden können, zielt aktuell auf einen ganz bestimmten Anbieter. Es wird hier auch von einer „Lex Huawei“ gesprochen. Diese Klausel wird von Rechtswissenschaftlern als verfassungswidrig eingestuft.
Der Entwurf vom 1.12.2020, der noch in diesem Jahr verabschiedet werden soll, enthält durchaus eine Reihe von Verbesserungen gegenüber dem ursprünglichen Gesetz und den vorangegangenen Entwürfen, jedoch greift nach Meinung vieler Kritiker in „IT-Grundrechte“ und Rechte der Unternehmen ein – sowohl bei Providern, Hosting-Unternehmen, Software- und Hardware-Herstellern nebst der kompletten Lieferkette für alle verwendeten Komponenten wie auch bei deren Kunden, den Anwender-Unternehmen selbst, ein. Es ist gut, dass das Thema Sicherheit beim Gesetzgeber jetzt hohe Priorität besitzt, jedoch ist die Ausweitung von Kompetenzen und Eingriffsmöglichkeiten sehr kritisch zu sehen. Auf jeden Fall werden auch wieder viele Dokumentationen, Protokolle und Daten generiert – was die Information-Management-Branche freut.