IT-Sicherheitsgesetz: Anonyme Meldungen sorgen für Kritik

Cyberkriminelle hacken sich in öffentliche Netze ein, legen die Strom- oder Wasserversorgung lahm oder programmieren Ampeln und Verkehrssysteme um: Die Angst vor solchen Szenarien ist in Deutschland in Wissenschaft und Politik angekommen. "Es handelt es sich hier um die Kehrseiten der Segnungen der neuen vernetzten Welt", sagt der Leiter des Hasso-Plattner-Instituts in Potsdam, Christoph Meinel.

IT-Sicherheitsgesetz

Die Attacke auf die französische Sendergruppe TV5 Monde hat einmal mehr vor Augen geführt, wie verletzlich die digitale Welt sein kann - mit Auswirkungen für Millionen von Menschen. Als Antwort auf die Bedrohungen will der deutsche Bundestag möglichst noch vor der Sommerpause das schon seit der vorigen Wahlperiode geplante IT-Sicherheitsgesetz verabschieden. Einen Entwurf dazu hatte das Kabinett im Dezember auf den Weg gebracht.

Nun gehen die Beratungen in die heiße Phase. Für kommende Woche hat der Innenausschuss Sachverständige, Verbände und Unternehmen zur Anhörung geladen. Während an Sinn und Notwendigkeit des Gesetzes kaum Zweifel bestehen, steckt der Teufel im Detail. Vor allem die Wirtschaft sieht noch Änderungsbedarf. Nach Ansicht der Opposition gehen die geplanten Regelungen völlig am Ziel vorbei.

BSI erstellt Lagebild

Im Kern geht es im Gesetz um sogenannte kritische Infrastrukturen, bei denen ein Ausfall oder eine Beeinträchtigung schwerwiegende Folgen für das Gemeinwesen etwa in Form von Versorgungsausfällen hätte. Cyberattacken müssen deutsche Unternehmen künftig an das Bundesamt für Sicherheit in der Informationstechnik (BSI) melden. Dies soll anonym geschehen, sofern der Vorfall noch nicht zu einer gefährlichen Beeinträchtigung geführt hat.

Das BSI wertet die Informationen aus und erstellt ein Lagebild, um andere Unternehmen derselben Branche zu warnen. Kritisiert wird, dass das BSI die gesammelten Sicherheitslücken und Bedrohungen nicht zwingend veröffentlichen muss und die breite Bevölkerung im Dunklen gelassen wird.

Energie- und Gesundheitsbereich

Zu den kritischen Infrastrukturen, die von einer Meldepflicht betroffen sind, rechnet die Regierung Unternehmen im Energie- und Gesundheitsbereich, bei Wasserversorgung, Transport und Verkehr, Telekommunikation sowie im Finanz- und Versicherungswesen.

Laut Kritikern ist die Meldepflicht für die Unternehmen aber zu lasch. Standardfall sind anonyme Meldungen, bei denen die Information der Betroffenen nicht sichergestellt ist, nicht einmal das BSI erfährt den Namen des betroffenen Unternehmens. Durch anonyme Meldungen entsteht aber auch kein öffentlicher Druck für die Unternehmen, ihre Sicherheitsvorkehrungen zu verbessern, Sanktionen sind ebenso nicht vorgesehen.

Konkreter wird die Vorlage von Innenminister Thomas de Maiziere (CDU) nicht. Die Definition soll erst nach Verabschiedung des Gesetzes in einer Rechtsverordnung geklärt werden, die bis Jahresende folgen soll.

Genaue Definition fehlt

Die deutsche Wirtschaft möchte jedoch schnell Klarheit. "Notwendig ist eine genauere Definition, was der Geltungsbereich des Gesetzes ist", sagt der Präsident des Branchenverbands Bitkom, Dieter Kempf, zu Reuters. Er verweist auf eine Studie von KPMG im Auftrag seines Verbandes sowie des Bundesverbands der Deutschen Industrie (BDI).

Die Experten gehen darin von 20.000 Unternehmen aus, die unter die Meldepflichten fallen würden, die Bundesregierung bislang von 2000 Firmen. Kempf mahnt: Der Kreis der Unternehmen müsse "hinreichend präzise abgrenzbar" sein. Auch IT-Expertin Katrin Sobania vom Deutschen Industrie- und Handelskammertag (DIHK) rät: "Würde die Rechtsverordnung parallel zum Gesetzgebungsverfahren erarbeitet, könnte sich die Akzeptanz in der Wirtschaft erhöhen."

Die Wirtschaft sorgt sich auch um die Kosten, die laut Studie 1,1 Milliarden Euro betragen könnten. Die "starren bürokratischen Informationspflichten" seien zudem ineffektiv und wenig praxistauglich, beklagt der Verband der deutschen Internetwirtschaft eco.

"Nicht in falsche Hände geraten"

Die Wirtschaft möchte zudem, dass die Öffentlichkeit so wenig wie möglich von den Meldungen mitbekommt. Würden die Meldungen über Cyberattacken auch öffentlich, könnte dies das Kaufverhalten von Kunden oder gar Entscheidungen von Aktionären beeinflussen. "Organisatorisch muss sichergestellt sein, dass unternehmensrelevante Informationen nicht in falsche Hände geraten", mahnt Sobania.

Auch der BDI warnt vor möglichen "Reputationsschäden" und daraus resultierenden finanziellen Lasten, "die aus einem fehlerhaften Umgang mit den Meldedaten entstehen können".

Öffentlichen Druck aufbauen

Auf der anderen Seite gibt es den Ruf nach der Bekanntmachung eines attackierten Unternehmens. "Durch anonyme Meldungen entsteht kein öffentlicher Druck auf die Unternehmen, ihre Sicherheitsvorkehrungen zu verbessern", führt Linken-Fraktionsvize Jan Korte an.

Ein zentraler Kritikpunkt ist darüber hinaus, dass Behörden anders als viele private Unternehmen nicht unter den Begriff kritische Infrastrukturen gefasst werden sollen. Dafür gebe es keine logische Begründung, moniert Bitkom-Chef Kempf. Für ein Gesamtbild würden die Angaben zu Cyberattacken gebraucht. "Vor der eigenen behördlichen Haustüre wird nicht gekehrt", beklagt auch Grünen-Fraktionsvize Konstantin von Notz.

Ungleichbehandlung

DIHK-Expertin Sobania moniert: "Eine Ungleichbehandlung kritischer Infrastrukturen, nur weil sie sich im Eigentum der öffentlichen Hand befinden, ist nicht nachvollziehbar." Auch der BDI mahnt, Meldepflichten und Sicherheitsstandards müssten auch für Bund, Länder und Kommunen gelten. Das deutsche Innenministerium entgegnet jedoch, für die Landesbehörden habe der Bund keine Gesetzgebungskompetenz. Für die Behörden des Bundes seien Meldewege im BSI-Gesetz geregelt.

Immer wieder kritisch angeführt wird die Rolle des BSI. Opposition und Wirtschaftsvertreter beklagen eine mangelnde Kontrolle darüber, was die dem Innenministerium unterstellte Behörde mit den Meldungen über Cyberattacken eigentlich anfängt. Grüne und Linken fordern seit langem, das Institut müsse unabhängig werden. Der Chaos Computer Club will bei der Anhörung im Bundestag vor allem für mehr Schutz der Endnutzer von IT-Dienstleistungen werben, wofür bisher nichts vorgesehen sei.

Während die Regierung nach eigenen Angaben keinen Verbesserungsbedarf sieht, schließen Innenpolitiker der Koalition Änderungen nicht aus. Den "sehr ordentlichen Regierungsentwurf" werde man sich jetzt im Bundestag anschauen und entscheiden, was noch ergänzt werden müsse, sagt der SPD-Innenpolitiker Burkhard Lischka. Dazu gehöre die Frage, "ob es auch einer gesetzlichen Verpflichtung von Behörden bedarf". Der innenpolitische Sprecher der Unions-Fraktion, Stephan Mayer, hält Änderungen als Reaktion auf den Angriff auf den französischen TV-Sender für denkbar.