Inhalt

it-sicherheit
Götz Hausding
Im Netz der Hacker

Vor allem »Kritische Infrastrukturen« sollen vor Angriffen bewahrt werden

Gegen eine Sonnenfinsternis können auch die besten Gesetze nichts ausrichten. So mag es denn auch nicht als schlechtes Omen gedeutet werden, dass während der Debatte über das IT-Sicherheitsgesetz der Bundesregierung (18/4096) am vergangenen Freitag sich der Himmel über der Bundeshauptstadt ein wenig verdunkelte. Damit wir aber nicht eines Abends im Dunkeln stehen, weil Hacker sich der digital gesteuerten Elektrizitätsnetze bemächtigt haben und den Strom abschalten, soll nun die IT-Sicherheit gestärkt werden. Das zumindest ist eine Zielrichtung der diskutierten Regierungsvorlage, wie Bundesinnenminister Thomas de Maizière (CDU) vor dem Plenum erläuterte. Neben dem Schutz „Kritischer Infrastrukturen“ gehe es aber auch darum, die Bürger vor dem unerlaubten Zugriff auf ihre Computersysteme zu schützen, sagte er und zeigte sich zuversichtlich, dass dies mit der Regelung gelingen könne. Und nicht nur das: Laut de Maizière wird „IT-Sicherheit made in Germany nicht nur unsere Netze sicherer, sondern auch unsere Wirtschaft erfolgreicher machen“.

»Übereilt und unreif«

In diese Begeisterung wollte die Opposition nicht einfallen. Von einem übereilten, unreifen Entwurf sprach der Grünen-Netzpolitiker Konstantin von Notz. Ebenso wie Jan Korte (Die Linke) kritisierte er, dass es zu allererst an einer differenzierten Einschätzung der Gefährdungslage fehle. Das Gesetz bringe weder mehr IT-Sicherheit für Deutschland, noch schaffe es das notwendige Vertrauen in die Nutzung des Internets, lautet das gemeinsame Fazit der Opposition. Von der Koalition gab es hingegen Unterstützung für die Vorlage. Das Gesetz werde sehr wohl für mehr Sicherheit im Netz sorgen, zeigte sich Gerold Reichenbach (SPD) überzeugt. Stephan Mayer (CSU) freute sich, dass mit der Vorlage „eines der wichtigsten Vorhaben aus der digitalen Agenda der Bundesregierung auf den Weg gebracht wird“.

Bestandteile der Regelung sind unter anderem Anforderungen an die IT-Sicherheit sogenannter „Kritischer Infrastrukturen“. Jener Einrichtungen, „die für das Funktionieren unseres Gemeinwesens zentral sind“, wie die Regierung in dem Entwurf schreibt. Deren Betreiber sollen künftig ein Mindestniveau an IT-Sicherheit einhalten und dem Bundesamt für Sicherheit in der Informationstechnik (BSI) Sicherheitsvorfälle melden. Um den Schutz der Bürger vor Cyberkriminalität zu verbessern, sollen Betreiber von Webseiten sowie Access-Provider verpflichtet werden, IT-Sicherheit „nach dem Stand der Technik“ zu gewährleisten. Zudem sollen sie die Nutzer informieren, wenn es zu IT-Sicherheitsvorfällen auf ihren Systemen gekommen ist.

Jan Korte, Innenexperte der Linksfraktion, räumte während der Debatte ein, dass ein IT-Sicherheitsgesetz benötigt werde, um „Kritische Infrastrukturen“ zu schützen. „Bevor wir aber über das Gesetz beraten, bräuchten wir eine detaillierte Bestandsaufnahme, welche digitalen Infrastrukturen wann gegebenenfalls betroffen sind“, sagte er. Das Grundproblem der Bundesregierung, so Korte weiter, sei aber, dass die Problematik zu sehr aus der Perspektive der Sicherheitsbehörden betrachtet werde. Dies zeige sich auch in der Frage der Schaffung neuer Stellen. Es sei ein „Kracher“, dass mit dem Bundeskriminalamt, dem Bundesnachrichtendienst und dem Verfassungsschutz diejenigen von dem Gesetz profitieren sollen, „die seit Snowden bei Datenschutz und der IT-Sicherheit grandios versagt haben“.

Angriffe aus dem Ausland

Gerold Reichenbach entgegnete mit dem Verweis auf Cyberangriffe auf deutsche Infrastrukturen aus dem Ausland. Daher müsse man die präventive Seite gegen solche Angriffe stärken, was die Erklärung dafür sei, „dass wir die Dienste in diesem Feld stärken müssen“. Der SPD-Abgeordnete nannte es ebenfalls richtig, das BSI zu stärken. Geknüpft sei dies aber ausdrücklich an den Zweck, den Bürgern und den Unternehmen Hilfestellungen für ihre IT-Sicherheit zu geben. „Und nicht, wie von der Opposition unterstellt wird, um Sicherheitslücken auszuforschen und sie auszunutzen.“

„Im Bereich der IT-Sicherheit brennt in Deutschland die Hütte lichterloh“, sagte Konstantin von Notz. Ein Risiko für Betriebs- und Geschäftsgeheimnisse, für Kommunikation und Privatheit stelle aber nicht nur die Organisierte Kriminalität dar, „sondern auch die sich verselbstständigenden Geheimdienste und ihnen gefällig zuarbeitende Unternehmen“. Grundrechtschutz für die Menschen und IT-Sicherheit für Unternehmen seien zwei Themen, die man nicht mehr trennen könne, so der Grünen-Abgeordnete weiter. Das Bundesinnenministerium habe jedoch in den letzten Jahren eher für die Vorratsdatenspeicherung gekämpft (siehe Beitrag unten), als Substanzielles für die IT-Sicherheit erreicht, kritisierte er.

Bei der IT-Sicherheit gehe es darum, dass „unser Gemeinwesen funktionieren kann“, sagte Stephan Mayer. Wie sehr die Sicherheit der IT-Systeme bedroht werde, belegten die Zahlen des BSI. So gebe es weltweit derzeit mehr als 250 Millionen verschiedene Varianten von Schadstoffprogrammen. Tagtäglich kämen etwa 300.000 neu hinzu, so der Unions-Abgeordnete. Dennoch sei es so, dass viele Firmen und auch viele private Nutzer den Ernst der Lage offenbar noch nicht erkannt hätten. „Daher können wir auf staatliche Mindestvorgaben in bestimmten Bereichen letztlich nicht verzichten“, machte Mayer deutlich.

Aus Politik und Zeitgeschichte

© 2020 Deutscher Bundestag