Der aus dem Hause Thomas de Maizière (CDU) vorgelegte Entwurf eines IT-Sicherheitsgesetzes (pdf) bleibt hinter allen Erwartungen zurück. Nicht nur bleiben strukturelle Sicherheitsmängel im Betrieb von kritischen Infrastrukturen ausgeblendet, sondern werden auch die zentralen Sicherheitsherausforderungen in der Ära nach Snowden nicht adressiert.
Anderthalb Jahre nach der Vorlage eines ersten Referentenentwurfs (pdf) durch Amtsvorgänger Hans-Peter Friedrich (CSU) fehlt es immer noch an einer Übersicht darüber, welche Infrastrukturen grundsätzlich als kritisch einzustufen sind und welche Infrastrukturen bei einem Ausfall etwa in den Bereichen Wasser, Energie, Transport und Verkehr besonders schwerwiegende und kaskadierende Folgen für die gesamte Versorgungssicherheit zeitigen. Das soll ebenso einer späteren, zwischen zahlreichen Ministerien abzustimmenden Rechtsverordnung überlassen bleiben, wie weiterhin Unklarheit darüber besteht, ob und wenn ja welche kritische Infrastrukturen in Netzen betrieben werden sollten, die unabhängig vom Internet sind und somit keine Angriffsfläche über das Internet bieten.
Zugleich sind mit dem Entwurf die von IT-Experten geforderten Meldepflichten für Sicherheitsvorfälle unter den Tisch gefallen. Unternehmen können solche anonym an das Bundesamt für Sicherheit in der Informationstechnik (BSI) übermitteln. Eine Offenlegungspflicht sowie eine Informationsverpflichtung für von Sicherheitslecks betroffenen Kunden ist ausdrücklich nicht vorgesehen.
Ferner bleibt der einleitend versprochene verstärkte Schutz der Bürgerinnen und Bürger in einem sicheren Netz aus. Vom Erfordernis nach einer Ende-zu-Ende-Verschlüsselung beispielsweise bei DE-Mail oder einem Schließen von bekannten Sicherheitslücken in den Mobilfunkprotokollen ist erst gar keine Rede. Dafür dürfen die Unternehmen zum Zwecke der IT-Sicherheit Nutzungsdaten zum Erkennen, Eingrenzen oder Beseitigen von Störungen speichern. Bereits bei Vorlage des ersten Referentenentwurfs im März 2013 hatte der seinerzeitige Bundesbeauftragte für den Datenschutz Peter Schaar das als „Vorratsdatenspeicherung durch die Hintertür“ bezeichnet.
Schließlich soll auch mit dem System der anlasslosen Überwachung im Netz durch die Geheimdienste nicht gebrochen werden. Deutlich wird das in einer im Gesetzentwurf enthaltenen Änderung des Außenwirtschaftsgesetzes. Den Sicherheitsinteressen der Bundesrepublik Deutschland soll künftig dadurch Rechnung getragen werden, dass der Erwerb oder Anteilserwerb von inländischen Unternehmen durch Ausländer, die gesetzlich vorgesehene Maßnahmen zur Überwachung der Telekommunikation (§ 110 TKG) herstellen oder vertreiben, Beschränkungen unterworfen werden kann.
Deutlich wird das aber auch darin, dass das BSI – nun als nationale Informationssicherheitsbehörde bezeichnet – dem Bundesinnenministerium unterstellt bleibt. Die Unabhängigkeit der Behörde wird ausdrücklich nicht gewährleistet, deren intensive Zusammenarbeit mit BND und MAD via Cyber-Abwehrzentrum sowie – bekannt aus den Snowden-Dokumenten mit Deutschland-Bezug – mit der NSA wird nicht durchbrochen.
Der Schutz der Bürgerinnen und Bürger in einer steigenden Cyber-Bedrohungslage soll, wie es im Gesetzentwurf heißt, künftig dieser Behörde sowie dem BKA, das nun zusätzlich die Kompetenzen für Computersabotage, Ausspähen und Abfangen von Daten, Vorbereiten des Ausspähen und Abfangen von Daten, Computerbetrug sowie Datenvefänderung erhält, übertragen werden. Alles in allem bleibt daher nur zu konstatieren: Der vorgelegte Entwurf zu einem IT-Sicherheitsgesetz bildet den ersten Flop in einer Digitalen Agenda der Bundesregierung, die die allgegenwärtige Überwachung der Bevölkerung im Netz nicht zum Gegenstand hat.
[…] habe es im Vergleich zum Entwurf von August 2014 Verbesserungen gegeben, um Befürchtungen einer „Vorratsdatenspeicherung durch die Hintertür“ […]