Zeit: Montag, 1. März 2021, 14 Uhr
Ort: Berlin, Paul-Löbe-Haus, Sitzungssaal E 700

Der Gesetzentwurf der Bundesregierung für mehr Sicherheit in der Informationstechnologie (19/26106, 19/26921) findet unter Sachverständigen durchweg wenig Zustimmung. Die Teilnehmer einer Anhörung des Ausschusses für Inneres und Heimat unter Vorsitz von Andrea Lindholz (CDU/CSU) begrüßten das Vorhaben eines „IT-Sicherheitsgesetzes 2.0“ am Montag, 1. März 2021, zwar im Grundsatz als „richtig und wichtig“, befanden es in der vorliegenden Fassung aber für völlig ungenügend.

Mit dem Entwurf will die Bundesregierung das seit 2015 bestehende IT-Sicherheitsgesetz fortschreiben. Vorgesehen sind unter anderem erweiterte Eingriffsbefugnisse für das Bundesamt für Sicherheit in der Informationstechnik (BSI) sowie neben der technischen Kontrolle von Bauteilen der Netzinfrastruktur auch eine Überprüfung der politischen Vertrauenswürdigkeit der Hersteller. Gegenstand der Anhörung waren auch zwei Anträge der AfD-Fraktion (19/26225, 19/26226).

„Gesetzentwurf nur bedingt geglückt“

Für den Branchenverband Bitkom kritisierte Sebastian Artz die Vorlage als bereits im Entstehen  überholt. Der Entwurf „blickt mehr zurück als gestaltend nach vorn“, formulierte Artz und erinnerte an die schnellen Innovationszyklen im IT-Sektor. Der „Stand der Technik“, auf den der Entwurf Bezug nehme, sei ein „volatiles Konstrukt“, das BSI als rein nationale Behörde auch gar nicht in der Lage, mit der Entwicklung immer Schritt zu halten.

Erforderlich seien ein „dynamisches Regelwerk“, das nicht allein die Vergangenheit reguliere, sowie ein Grundverständnis, in dem die Wirtschaft nicht als „Gegner“ erscheine. In der vorliegenden Fassung sei der Entwurf „nur bedingt geglückt“; er bedürfe dringend der Überarbeitung.

„Handlanger der Sicherheitsbehörden und Nachrichtendienste“

Die „Strategie- und Ziellosigkeit des gesamten Verfahrens“ geißelte Manuel Atug von der unabhängigen „Arbeitsgemeinschaft Kritische Infrastruktur“ (AG KRITIS), einem Zusammenschluss von derzeit 42 unabhängigen Fachleuten. Er nahm insbesondere den Zielkonflikt aufs Korn zwischen dem Interesse der Gesellschaft an einer „robusten und widerstandsfähigen“ IT- Infrastruktur und dem Wunsch staatlicher Stellen, Zugänge zu verschlüsselter Kommunikation offenzuhalten.

Einmal mehr sei die Chance vertan worden, das BSI „unabhängig aufzustellen“. Mit der ausdrücklichen Befugnis, erkannte Sicherheitslücken im Interesse der Strafverfolgung offenzuhalten und zu verheimlichen, sei es vielmehr zum „Handlanger der Sicherheitsbehörden und Nachrichtendienste“ geworden. Atug kritisierte überdies, dass auf eine Evaluierung des bestehenden Gesetzes verzichtet worden sei.

„Unbestimmtheit der Eingriffsvoraussetzungen“ bemängelt

Der Bonner Staatsrechtler Prof. Dr. Klaus F. Gärditz äußerte verfassungs- wie auch verwaltungsrechtliche  Bedenken gegen den Paragrafen 9b des Entwurfs, der die Überprüfung der sicherheitspolitischen Vertrauenswürdigkeit ausländischer Anbieter von IT-Technologie regeln soll. Nachvollziehbar sei das Anliegen, die „digitale Souveränität“ gegen Versuche auswärtiger Mächte zu sichern, manipulierte Teile einzusetzen, „um unsere Netze angreifbar zu machen“.

Doch genüge die Formulierung keinem rechtsstaatlichen Erfordernis. Gärditz bemängelte  die „Unbestimmtheit der Eingriffsvoraussetzungen“ und rügte, dass eine rechtliche Handhabe, um Entscheidungen zu überprüfen, nicht vorgesehen sei. In der derzeitigen Fassung sei die Regelung zudem praktisch kaum umsetzbar. Der Bundestag laufe hier Gefahr, mit der Verabschiedung einer „Placebo-Norm“ seine Glaubwürdigkeit zu beschädigen.

„Keine Strategie, keine Evaluierung“

Dr. Sven Herpig vom Berliner Verein „Stiftung Neue Verantwortung“ bemängelte die fehlende Einbindung von Wissenschaft und Zivilgesellschaft sowie den Verzicht auf eine Evaluierung der Auswirkungen des bestehenden Gesetzes. Der Entwurf genüge zudem in keiner Weise dem Gebot des digitalen Verbraucherschutzes.

Nach wie vor werde es in Deutschland möglich sein, unsichere IT-Produkte auf den Markt zu bringen. „Keine Strategie, keine Evaluierung, schlechte Einbindung von Wissenschaft und Zivilgesellschaft“, lautete Herpigs Fazit.

„Ein herber Verlust für die Bürger“

Linus Neumann vom Chaos Computer Club forderte eine Strategie, die „kompromisslos auf IT-Sicherheit“ setzt. Dies sei im vorliegenden Entwurf nicht der Fall. Statt einer Verpflichtung für das BSI, sein Wissen über Schwachstellen in der Infrastruktur offenzulegen und diese zu beseitigen, sei die Behörde jetzt vielmehr angehalten, mit Blick auf „überwiegende Sicherheitsinteressen“ solche Lücken zu verheimlichen: „Dadurch verlieren wir die einzige vertrauenswürdige Institution. Das ist ein herber Verlust für die Bürger“, klagte Neumann.

Auf „weitere Verbesserungen“ des Entwurfs vor allem im Interesse der Wirtschaft drang Martin Schallbruch vom Digital Society Institute, einer Forschungseinrichtung der privaten Europäischen Hochschule für Management und Technologie in Berlin. Für die Unternehmen entstehe „wenig Mehrwert durch erweiterte Befugnisse des Staates“, so Schallbruch.

Gesetzentwurf der Bundesregierung

Die Bundesregierung will mit ihrem Gesetzentwurf (19/26106, 19/26921) den mit dem IT-Sicherheitsgesetz vom Juli 2015 geschaffenen Ordnungsrahmen „entsprechend dem Auftrag aus dem Koalitionsvertrag für die 19. Legislaturperiode“ erweitern.

Sie verweist darauf, dass die Gewährleistung der Cyber- und Informationssicherheit ein Schlüsselthema für Staat, Wirtschaft und Gesellschaft sei, die gerade mit Blick auf die zunehmende Digitalisierung aller Lebensbereiche auf funktionierende Informations- und Kommunikationstechnik angewiesen seien.

Gefahrenpotenzial durch Cyber-Angriffe

Cyber-Angriffe stellten für Staat, Wirtschaft und Gesellschaft ein großes Gefahrenpotenzial dar, wobei die Angriffe qualitativ immer ausgefeilter und somit für alle Betroffenen auch gefährlicher würden. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) beobachte einen stetigen Anstieg von Schadprogrammen; jährlich kämen mehr als 100 Millionen neue Varianten hinzu. Die zunehmende Verbreitung von Internet of Things (IoT)-Geräten verschärfe die Situation zusätzlich.

Insgesamt sei „Cyber-Sicherheit nicht statisch“ und ein aktuelles Schutzniveau „daher kein Garant für eine erfolgreiche Abwehr der Angriffe von morgen“, führt die Bundesregierung aus. Daher bedürfe es einer ständigen Anpassung und Weiterentwicklung der Schutzmechanismen und der Abwehrstrategien.

Besserer IT-Schutz in der Bundesverwaltung

Zur geplanten Änderung zählt eine Verbesserung des Schutzes der IT der Bundesverwaltung unter anderem durch weitere Prüf- und Kontrollbefugnisse des BSI und Festlegung von Mindeststandards durch das Bundesamt. Auch sollen Befugnisse zur Detektion von Schadprogrammen zum Schutz der Regierungsnetze geschaffen werden.

Vorgesehen ist zudem die Abfrage von Bestandsdaten bei Anbietern von Telekommunikationsdiensten, um Betroffene über Sicherheitslücken und Angriffe zu informieren. Ebenso soll das BSI die Befugnis erhalten, Sicherheitslücken an den Schnittstellen informationstechnischer Systeme zu öffentlichen Telekommunikationsnetzen zu detektieren sowie Systeme und Verfahren zur Analyse von Schadprogrammen und Angriffsmethoden einzusetzen.

Anordnungsbefugnis für das Bundesamt

Ferner soll mit dem Gesetz eine Anordnungsbefugnis des BSI gegenüber Telekommunikations- und Telemedienanbietern zur Abwehr spezifischer Gefahren für die Informationssicherheit geschaffen werden. Ausweiten will die Regierung die Pflichten für Betreiber kritischer Infrastrukturen und weitere Unternehmen im besonderen öffentlichen Interesse.

 Weitere Änderungen betreffen die Schaffung von Eingriffsbefugnissen für den Einsatz und Betrieb von kritischen Komponenten sowie die Etablierung von Verbraucherschutz im Bereich der Informationssicherheit als zusätzliche Aufgabe des BSI. Darüber hinaus sollen die Voraussetzungen für ein einheitliches IT-Sicherheitskennzeichen geschaffen werden, das die IT-Sicherheit der Produkte sichtbar macht, und das Bußgeldregime überarbeitet werden.

Erster Antrag der AfD

Die AfD-Fraktion fordert in ihrem ersten Antrag (19/26225), die Evaluierung des IT-Sicherheitsgesetzes von 2015 nach Gesetzeslage umzusetzen und Ergebnisse im IT-Sicherheitsgesetz 2.0 zu berücksichtigen.

Die Bundesregierung soll den Entwurf des „IT-Sicherheitsgesetzes 2.0“ erst in das parlamentarische Verfahren einbringen, nachdem gemäß Artikel 10 des IT-Sicherheitsgesetzes von 2015 unter Einbezug „eines wissenschaftlichen Sachverständigen, der im Einvernehmen mit dem Deutschen Bundestag bestellt wurde“, dieses derzeit gültige „Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme“ evaluiert wurde. Auch solle die Bundesregierung die Ergebnisse der Evaluierung in das Gesetzesvorhaben einfließen lassen.

Zweiter Antrag der AfD

In ihrem zweiten Antrag verlangt die Fraktion, mit einem IT-Sicherheitsgesetz 2.0 Planungs- und Rechtssicherheit für Netzbetreiber herzustellen (19/26226). Die Regierung solle im Rahmen dieses Gesetzes entscheiden, „ob staatsnahe Netzwerksausrüster aus undemokratischen Ländern“ am Ausbau kritischer 5G-Infrastruktur beteiligt werden dürfen.

Zudem fordert die Fraktion die Bundesregierung unter anderem auf, „die Rechts- und Planungssicherheit für Mobilfunknetzbetreiber dahingehend herzustellen, dass für die Folgen eines möglichen Ausschlusses von Herstellern kritischer Komponenten eine hinreichende Absicherung für die Mobilfunkbetreiber in Form von entsprechenden Kompensationsregelungen im Gesetz mit aufgenommen wird“.

Zur Begründung führt die Fraktion aus, dass der Bundestag seit fast zwei Jahren über die Frage der Zulassung von Netzwerkausrüstern beim Ausbau des 5G-Netzes diskutiere, „deren Vertrauenswürdigkeit zumindest fragwürdig ist“. Die Volksrepublik China besitze mit Huawei und ZTE zwei Hersteller, deren Technik weltweit Verwendung finde. Als problematisch werde die Nähe dieser Unternehmen zum chinesischen Militär sowie der kommunistischen Partei angesehen. (wid/sto/02.03.2021)

Die Bundesregierung will die Informationssicherheit weiter verbessern. Der Bundestag hat am Freitag, 23. April 2021, nach halbstündiger Aussprache den Entwurf der Bundesregierung für ein zweites Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (19/26106, 19/26921, 19/27035 Nr. 1.7) in der vom Innenausschuss geänderten Fassung (19/28844) angenommen. Die Koalitionsfraktionen stimmten für, die Oppositionsfraktionen gegen das Gesetz. Zur Abstimmung lag auch ein Bericht nach Paragraf 96 der Geschäftsordnung des Bundestages zur Finanzierbarkeit (19/28845) vor.

Gesetzentwurf der Bundesregierung

Im Gesetzentwurf verweist die Bundesregierung darauf, dass die Gewährleistung der Cyber- und Informationssicherheit ein Schlüsselthema für Staat, Wirtschaft und Gesellschaft sei, die gerade mit Blick auf die zunehmende Digitalisierung aller Lebensbereiche auf funktionierende Informations- und Kommunikationstechnik angewiesen seien. Cyber-Angriffe stellten daher ein großes Gefahrenpotenzial dar. Das BSI beobachte einen stetigen Anstieg von Schadprogrammen; jährlich kämen mehr als 100 Millionen neue Varianten hinzu.

Insgesamt sei „Cyber-Sicherheit nicht statisch“ und ein aktuelles Schutzniveau „daher kein Garant für eine erfolgreiche Abwehr der Angriffe von morgen“, führt die Bundesregierung weiter aus. Daher bedürfe es einer ständigen Anpassung und Weiterentwicklung der Schutzmechanismen und der Abwehrstrategien.

Mindeststandards festgelegt

Zu den mit dem Gesetz vorgenommenen Änderungen zählt den Angaben zufolge eine Verbesserung des Schutzes der IT der Bundesverwaltung unter anderem durch weitere Prüf- und Kontrollbefugnisse des BSI und Festlegung von Mindeststandards durch das Bundesamt. Auch wurden Befugnisse zur Detektion von Schadprogrammen zum Schutz der Regierungsnetze geschaffen. Zulässig ist zudem die Abfrage von Bestandsdaten bei Anbietern von Telekommunikationsdiensten, um Betroffene über Sicherheitslücken und Angriffe zu informieren.

Ebenso soll das BSI die Befugnis erhalten, Sicherheitslücken an den Schnittstellen informationstechnischer Systeme zu öffentlichen Telekommunikationsnetzen zu detektieren sowie Systeme und Verfahren zur Analyse von Schadprogrammen und Angriffsmethoden einzusetzen.

Bundesamt kann Anordnungen zur Gefahrenabwehr treffen

Ferner wird mit dem Gesetz eine Anordnungsbefugnis des BSI gegenüber Telekommunikations- und Telemedienanbietern zur Abwehr spezifischer Gefahren für die Informationssicherheit geschaffen. Die Pflichten für Betreiber Kritischer Infrastrukturen und weiterer Unternehmen im besonderen öffentlichen Interesse werden ausgeweitet.

Weitere Änderungen betreffen die Schaffung von Eingriffsbefugnissen für den Einsatz und Betrieb von kritischen Komponenten sowie die Etablierung von Verbraucherschutz im Bereich der Informationssicherheit als zusätzliche Aufgabe des BSI. Darüber hinaus wurden die Voraussetzungen für ein einheitliches IT-Sicherheitskennzeichen geschaffen, das die IT-Sicherheit der Produkte sichtbar macht, und das Bußgeldregime überarbeitet.

Änderungen am Regierungsentwurf

Der Bundestag beschloss auf Empfehlung des Innenausschusses einige Änderungen am Regierungsentwurf. Danach werden etwa die „Unternehmen im besonderen öffentlichen Interesse durch wesentliche Zulieferer der nach ihrer inländischen Wertschöpfung größten Unternehmen in Deutschland ergänzt“. 

Ferner werden unter anderem bei den Regelungen zur Befugnis des Bundesinnenministeriums, den Einsatz einer kritischen Komponente im Einzelfall zu untersagen, als Eingriffsvoraussetzung „voraussichtliche Beeinträchtigungen der öffentlichen Sicherheit und Ordnung“ genannt.

Entschließungsanträge abgelehnt

Zur Abstimmung hatten die AfD (19/28872) und die FDP (19/28873) Entschließungsanträge eingebracht, die keine Mehrheit fanden. Die AfD forderte unter anderem, das Bundesamt für Sicherheit in der Informationstechnik (BSI) zu einer starken Verbraucherschutzbehörde auszubauen. Alle übrigen Fraktionen stimmten dagegen.

Die FDP wollte das BSI aus der Zuständigkeit des Bundesinnenministeriums herauslösen und einem zu gründenden Digitalministerium zu unterstellen. Die FDP wurde von der Linken unterstützt, die Grünen enthielten sich. Die Mehrheit aus CDU/CSU, SPD und AfD stimmte gegen den Entschließungsantrag.

Oppositionsanträge abgelehnt

Ebenfalls abgelehnt wurden zwei Anträge der AfD-Fraktion und zwei Anträge der Fraktion Bündnis 90/Die Grünen. Die AfD-Anträge trugen die Titel „Evaluierung des IT-Sicherheitsgesetzes von 2015 nach Gesetzeslage umsetzen und Ergebnisse im IT-Sicherheitsgesetz 2.0 berücksichtigen“ (19/26225) und in „IT-Sicherheitsgesetz 2.0 – Planungs- und Rechtssicherheit für Netzbetreiber herstellen“ (19/26226). Beide wurden gegen die Stimmen der Antragsteller abgelehnt.

Die Grünen drangen in ihrem ersten Antrag darauf, die IT-Sicherheit zu stärken (19/1328), und forderten in ihrem zweiten Antrag „Maßnahmen zur Gewährlistung der Integrität digitaler Infrastrukturen, Geräte und Komponenten“ (19/16049). Dem ersten Antrag stimmte neben den Grünen auch die Linksfraktion zu, während sich die FDP enthielt. Die Koalitionsfraktionen und die AfD lehnten ihn ab. Beim zweiten Antrag stimmten die Koalitionsfraktionen dagegen, AfD, FDP und Linksfraktion enthielten sich. Zu den beiden AfD-Anträgen und zum ersten Antrag der Grünen hatte der Innenausschuss ebenso eine Beschlussempfehlung (19/28844) vorgelegt wie zum zweiten Antrag der Grünen (19/25181).

Erster abgelehnter Antrag der AfD

Die Bundesregierung soll teden Entwurf des „IT-Sicherheitsgesetzes 2.0“ nach dem Willen der AfD-Fraktion erst in das parlamentarische Verfahren einbringen, nachdem gemäß Artikel 10 des IT-Sicherheitsgesetzes von 2015 unter Einbezug „eines wissenschaftlichen Sachverständigen, der im Einvernehmen mit dem Deutschen Bundestag bestellt wurde“, dieses derzeit gültige „Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme“ evaluiert worden ist.

Auch sollte die Bundesregierung die Ergebnisse der Evaluierung in das Gesetzesvorhaben einfließen lassen, forderte die Fraktion in ihrem ersten abgelehnten Antrag (19/26225).

Zweiter abgelehnter Antrag der AfD

Die Bundesregierung sollte nach dem Willen der AfD-Fraktion im Rahmen des geplanten „IT-Sicherheitsgesetzes 2.0“ eine endgültige Entscheidung treffen, „ob staatsnahe Netzwerksausrüster aus undemokratischen Ländern“ am Ausbau kritischer 5G-Infrastruktur beteiligt werden dürfen. Zudem forderte die Fraktion in ihrem zweiten abgelehnten Antrag (19/26226) die Bundesregierung unter anderem auf, „die Rechts- und Planungssicherheit für Mobilfunknetzbetreiber dahingehend herzustellen, dass für die Folgen eines möglichen Ausschlusses von Herstellern kritischer Komponenten eine hinreichende Absicherheit für die Mobilfunkbetreiber in Form von entsprechenden Kompensationsregelungen im Gesetz mit aufgenommen wird“.

In der Begründung führte die Fraktion aus, dass der Bundestag seit fast zwei Jahren über die Frage der Zulassung von Netzwerkausrüstern beim Ausbau des 5G-Netzes diskutiere, „deren Vertrauenswürdigkeit zumindest fragwürdig ist“. Insbesondere Hersteller aus undemokratischen Ländern seien dabei in den Blickpunkt geraten. Die Volksrepublik China besitze mit ihren Herstellern Huawei und ZTE zwei Hersteller, deren Technik weltweit Verwendung finde. Als problematisch werde die Nähe dieser Unternehmen zum chinesischen Militär sowie der kommunistischen Partei angesehen.

Erster abgelehnter Antrag der Grünen

Die Fraktion Bündnis 90/Die Grünen drang darauf, die Sicherheit in der Informationstechnologie (IT) in Deutschland zu verbessern. Dazu sollte die Bundesregierung ein umfangreiches Maßnahmenpaket umsetzen, forderte die Fraktion in ihrem ersten abgelehnten Antrag (19/1328).

Insbesondere sollte sie „schnellstmöglich ein neues IT-Sicherheitsgesetz vorlegen“, das mehr als nur die bisher berücksichtigte kritische Infrastruktur umfassen und auch öffentliche Stellen einbeziehen sollte. Die Verantwortung für IT-Sicherheit müsse aus dem Bundesinnenministerium herausgelöst werden, „um den effektiven Grundrechtsschutz zu stärken“. Zudem müssten klare Zuständigkeiten innerhalb der Bundesregierung benannt werden.

Zweiter abgelehnter Antrag der Grünen

Die Grünen plädierten in ihrem zweiten abgelehnten Antrag (19/16049) dafür, eine auf vielfältige digitale Ökosysteme angelegte Strategie zu verfolgen, bei der die Resilienz und Redundanz digitaler Infrastrukturen im Mittelpunkt steht und der verstärkte Einsatz von Eigenentwicklungen und freier und offener Software als Ziel verfolgt werden. Dadurch könne die IT-Sicherheit erhöht, die digitale Souveränität Deutschlands und Europas gestärkt und auf Gefahren eines weiter zunehmenden staatlichen Protektionismus reagiert werden.

Die Fraktion forderte die Bundesregierung auf, zu definieren, welche Geräte und Komponenten in welchen Bereichen digitaler Infrastrukturen unter welchen Voraussetzungen eingesetzt werden dürfen. Bei der Prüfung potenzieller Gefahren für die Integrität digitaler Infrastrukturen und Geräte seien neben technischen auch rechtliche und weitere sicherheitsrelevante Aspekte für den Schutz von Demokratie, Menschenrechten und Rechtsstaatlichkeit miteinzubeziehen. Dabei sollten auch Produktionsprozesse, rechtliche Rahmenbedingungen in den jeweiligen Ländern sowie die Vertrauenswürdigkeit berührende Verbindungen von Unternehmen zu Regierungen berücksichtigt werden.

Ebenso muss nach Ansicht der Grünen garantiert werden, dass der Kriterien- und Sicherheitskatalog zukünftig von einer noch zu schaffenden, unabhängigen Stelle fortlaufend an Bedürfnisse neuer Technologien und Gefahrenlagen angepasst wird. Eine größtmögliche Transparenz und Nachvollziehbarkeit der Kriterien, die für alle Anbieter und Betreiber gleichermaßen gelten müssten, sollte die Integrität digitaler Infrastrukturen garantieren und Rechtssicherheit für Unternehmen und Verbraucher schaffen, hieß es in dem Antrag. (hau/sto/vom/nal/sas/23.04.2021)