Eine Kampagne des Forum InformatikerInnen für Frieden und gesellschaftliche Verantwortung e.V.

| Home | Wir fordern | Hintergrund | Termine | Mitmachen? | Handeln! | Presse & PR | Das FIfF |

Stellungnahme des FIfF zum IT-Sicherheitsgesetz der Bundesregierung vom 17.12.2014

Am 17.12.2014 hat das Bundeskabinett einen Gesetzentwurf der Bundesregierung zum IT-Sicherheitsgesetz beschlossen. Das Forum InformatikerInnen für Frieden und gesellschaftliche Verantwortung e.V. hat eine detaillierte Stellungnahme zu diesem Entwurf erarbeitet. Nachfolgend eine Kurzfassung der Stellungnahme mit den wesentlichen Kritikpunkten.

1. Der Entwurf des IT-Sicherheitsgesetzes schreibt als wesentliche Neuerung für das Schutzniveau der IT-Systeme in kritischen Infrastrukturen den „Stand der Technik“ vor. Genau dies ist nach dem Bundesdatenschutzgesetz heute schon für jeden verpflichtend, der personenbezogene Daten verarbeitet. In Deutschland wurde über den Schutz kritischer Infrastrukturen seit 18 Jahren in Gremienrunden debattiert. Das Verhältnis von Aufwand und Ergebnis ist hier sicher näher zu hinterfragen.
2. Der Entwurf sieht eine Meldepflicht für Sicherheitsvorfälle bei kritischen Infrastrukturen vor. Die detaillierte Betrachtung der Rechtslage zeigt jedoch, dass spezifische Rechtsgrundlagen fehlen, um wichtige IT-Sicherheitswerkzeuge legal einzusetzen. Ohne rechtliche Befugnisse ist das Erkennen und Mel¬den von Sicherheitsvorfällen auf eine kleine Zahl von Fällen und einen geringen Aufwand begrenzt.
3. Das deutsche Recht unterteilt das Internet in Telekommunikations- und Telemediendienste mit konträ¬ren Regeln für die IT-Sicherheit. Das Erkennen vieler Angriffe auf Webangebote, vor allem aber das Zurückverfolgen zu den Verursachern sowie die rechtlich klare Identifikation von Angreifern setzen eine Verarbeitung und Analyse von Internet-Adressdaten voraus. Bei Webangeboten dürfen IP-Adres¬sen in Deutschland zur Abrechnung von vertraglichen Leistungen genutzt, verkürzte Daten zu Wer¬bezwecken gesammelt werden. Das Sammeln und Verarbeiten von IP-Adressen für Zwecke der IT-Sicherheit ist dagegen verboten (§ 15 TMG). Zulässig ist diese Datenverarbeitung und Sicherheitsanalyse einzig und allein für IT-Systeme des Bundes (§ 5 BSIG). Mit dem neuen IT-Sicherheitsgesetz soll es daran keine Änderung geben.
4. Das Telekommunikationsgesetz (TKG) enthält noch aus Zeiten analoger Telefonie eine Befugnis zur Analyse von Störungen (§ 100 TKG). Im Entwurf des IT-Sicherheitsgesetzes soll diese zu ganz anderen Zwecken ausgeweitet und abgeändert werden: Telekommunikationsunternehmen sollen die Kommunikation ihrer Kunden auf Schadsoftware hin durchsuchen dürfen und betroffene Kunden zur Abhilfe auffordern. Die notwendige technische Voraussetzung dafür ist eine dauerhafte, flächendeckende und alle Inhalte betreffende Überwachung der gesamten Telekommunikation (deep packet inspection). Das allein ist ein Bruch des Artikels 10 Grundgesetz. Das IT-Sicherheitsgesetz sieht überdies keinerlei Einschränkungen bei dieser Datenerfassung vor. Die geplante Regelung ist daher ganz offensichtlich verfassungswidrig.
5. Der einzige Bereich, in dem der Einsatz von IT-Sicherheitssystemen nach dem Stand der Technik und die Auswertung der Daten zulässig ist, ist die IT des Bundes. Die Bundesregierung hat dem Bundesamt für Sicherheit in der Informationstechnik (BSI) 2007 dazu die Befugnis gegeben (§ 5 BSIG). Die Bundesregierung setzt diesen Weg fort, für den Schutz der IT-Systeme des Bundes zu sorgen und die IT-Systeme der Bürgerinnen und Bürger wie auch der Wirtschaft sich selbst zu überlassen. Sie will im neuen Gesetz neue Befugnisse für das BKA und dort eine Sonderpolizeiabteilung schaffen, die Straftaten gegen die IT des Bundes und Straftaten gegen kritische Infrastrukturen verfolgt. Die Begründung ist entlarvend: sonst bleibe – so die Gesetzesbegründung – „die örtliche Zuständigkeit oftmals dem Zu¬fall überlassen“ und die eigentlich für IT-Kriminalität zuständigen Strafverfolgungsbehörden im Land seien nicht mit hinreichenden fachlichen Kompetenzen und Ressourcen ausgestattet. Weil solche Strafverfolger Wirtschaft und Bürger im Internet nicht zu schützen vermögen, will die Bundesregierung ei¬gene Sonderkommissariate. Wie verträgt sich das mit dem grundgesetzlichen Auftrag zum Schutz des „Grundrechts auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme“ für alle Bürgerinnen und Bürger.

Mit dem „Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme“ hat das Bundesverfassungsgericht 2008 die IT-Sicherheit zu einem Handlungsziel für Parlament und Exekutive gemacht. Aufgabe eines IT-Sicherheitsgesetzes wäre es, dieses Grundrecht zusammen mit dem Datenschutz und dem Fernmeldegeheimnis zu betrachten, diese drei Verfassungsziele in Einklang zu brin¬gen und für Bürgerinnen und Bürger die rechtliche Basis für einen angemessenen Schutz im Internet zu schaffen.

Tatsächliche Konsequenz des neuen IT-Sicherheitsgesetzes ist dagegen eine weiterhin fehlende Rechtsgrundlage für IT-Sicherheitssysteme bei Webservices und eine verfassungswidrige Regelung für Telekommunikationsdienste. Die absehbare Folge eines solchen Gesetzes ist daher, dass es eine verfassungsgemäße Rechtsgrundlage für IT-Sicherheitssysteme weder für Webdienste geben soll noch – nach einer Verfassungsklage – für den Telekommunikationsbereich mehr geben wird.

Statt verfassungswidriger Zustände oder eines juristischen Vakuums nötig ist dagegen eine einheitliche Regelung zum Einsatz von IT-Sicherheitssystemen bei Telemedien wie in der Telekommunikation, die dem Datenschutz, dem Fernmeldegeheimnis und dem Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme gleichermaßen gerecht wird. Aus Sicht der IT-Sicherheit gibt es dafür heute bereits in der Praxis erprobte, datensparsame Lösungen. Die Bundesregierung macht dazu kei¬ne Vorschläge. Damit ein Grundrechtsschutz wirksam werden kann, sind die aus Sicht des FIfF umzuset¬zenden rechtlichen Mindestvoraussetzungen:

• einheitliche verfassungskonforme Rechtsgrundlagen für den Einsatz von IT-Sicherheitssystemen im Telekommunikations- und Telemediensektor,
• eine grundsätzliche Pflicht zur Veröffentlichung von IT-Sicherheitslücken bei gleichzeitigem Verbot des kommerziellen Handels mit Sicherheitslücken einschließlich des Kaufs solchen Wissens durch Nachrichtendienste,
• eine an die bestehenden Produkthaftungsvorschriften angelehnte Schadenshaftung für fahrlässig implementierte IT-Systeme und für nicht wirksam beseitigte Sicherheitslücken in IT-Systemen, wenn sie nach Ablauf einer angemessenen Frist nach Bekanntwerden nicht behoben werden,
• Ausbau und Verstärkung von Analyse- und Beratungskapazitäten bei einem BSI, das zu organisie¬ren ist als eine von Weisungen unabhängige Behörde vergleichbar dem Bundesrechnungshof (BRH),
• Anpassung der Strafbarkeit des Bruchs des Fernmeldegeheimnisses (§ 206 StGB) an die Vorgaben von Grundgesetz und Bundesverfassungsgericht.

Statt für den Schutz der Allgemeinheit in Sachen IT zu sorgen, trennt die Bundesregierung den Schutz ihrer IT-Systeme ab von dem der IT-Systeme von Bürgern und Wirtschaft, gleichermaßen in rechtlicher Hinsicht wie in der Strafverfolgung. Die Bundesregierung belässt die IT-Sicherheit für die Allgemeinheit in einem rechtlichen Vakuum. Der Gesetzentwurf bewirkt keinerlei Verbesserung der IT-Sicherheit, sondern untergräbt das „Grundrecht auf Gewährleistung der Vertraulichkeit und Integrität informationstechnischer Systeme“ in Deutschland.

Nachtrag:

Das IT-Sicherheitsgesetz war am 20. April 2015 Gegenstand einer öffentlichen Anhörung des Innenausschusses des Deutschen Bundestags. In der Beratung wurde deutlich, dass verschiedene Experten die Kritik des FIfF inhaltlich teilen.
Das Video der Anhörung und die Berichterstattung dazu hier.

Die Stellungnahme des FIfF zum IT-Sicherheitsgesetz ist Bestandteil der Beratungsunterlagen, die - so der Ausschussvorsitzende Bosbach - alle in die Arbeit des Ausschusses einfließen.

Die vollständige Fassung der FIfF-Stellungnahme als PDF