Das Bundesamt für die Sicherheit in der Informationstechnik, das BSI, soll eine Superbehörde werden - geht es nach dem Willen von Bundesinnenminister Horst Seehofer. Die Zuständigkeiten und Aufgaben des BSI werden wesentlich erweitert. So soll das Amt künftig aktiv Portscans durchführen, Angreifer in Honigtöpfe locken und nach ungeschützten Systemen suchen. Anwenderinformationen, die bei der digitalen Kommunikation zwischen den Bürgern und Verwaltungseinrichtungen des Bundes, aber auch Parlamentariern anfallen, soll das BSI sogar 18 Monate lang speichern dürfen. Kritiker sprechen hier von einer Vorratsdatenspeicherung der besonderen Art. Denn allein die sogenannten Protokolldaten, also Metadaten, die bei der digitalen Kommunikation der Bürger mit Parlamentariern und Bundesbehörden entstehen, sagen viel darüber aus, was die einzelne Bürger umtreibt, über ihre politischen Aktivitäten und ihre persönlichen Projekte.

Ähnlich sieht es mit den Unternehmensdaten aus. Die zahlreichen Datensammlungen könnten aus dem BSI eine Superdatenbehörde werden lassen, die genau weiß, was in einzelnen Unternehmen passiert und an IT-Verarbeitung läuft. Besonders umstritten ist dabei die Meldepflicht von sogenannten kritischen IT-Komponenten. Eine Information, die dann letztlich über das BSI auch dem Innenministerium zur Verfügung steht. Manuel Atug, Sprecher der AG Kritis, bewertet das so:

"Die unscheinbare Formulierung, dass die Nutzung von kritischen Komponenten dem BMI zu melden ist, bedeutet bei näherem Hinsehen, dass diese neu geschaffene Anzeigepflicht dazu führt, dass das BMI eine höchst kritisch anzusehende Liste vorhält, welcher Betreiber welche Komponenten im Einsatz hat. Das weckt Begehrlichkeiten bei ausländischen Geheimdiensten und so weiter. Insofern gilt auch hier das Motto: Wo ein Trog ist, da sammeln sich auch Schweine."

Denn auch das IT-Sicherheitsgesetz 2.0 sieht vor, dass das BSI eine nachgeordnete Behörde des Bundesinnenministeriums bleibt. Das heißt, die sehr weitreichende Übersicht über die Verhältnisse im Lande, die sich nicht nur aus Listen mit kritischen IT-Komponenten oder Protokolldaten digitaler Kommunikation ergeben, kann das Bundesinnenministerium für seine politische Arbeit direkt verwerten. Klaus Landefeld, Vorstand von Eco - Verband der Internetwirtschaft, fragt deshalb auch:

"Kann man sich sicher sein als Unternehmen, dass da auch nichts weitergegeben wird oder dass nicht die gleichen Analysen und gefundenen Schwachstellen dann auch wieder an andere Stellen weiterlaufen? Das ist eigentlich unsere Sorge, die hier besteht."

Solche Sorgen könnten durch ein vom Ministerium unabhängiges Bundesamt für die Sicherheit in der Informationstechnik ausgeräumt werden. Diese Unabhängigkeit für das BSI ist auch von vielen Sicherheitsexperten und IT-Fachleuten gefordert worden. Im Gesetzesentwurf wurden solche Forderungen und Anregungen aber nicht berücksichtigt. Manuel Atug:

"Leider wurde aber die essentiell fachliche Unabhängigkeit des BSI nicht in Paragraph 1 BSI Gesetz vorgesehen. Beispielsweise könnte man sich da in der Ausgestaltung der fachlichen Unabhängigkeit hervorragend am Statistischen Bundesamt orientieren."

In der IT-Sicherheitscommunity ist man sich weitgehend einig: Ein Bundesamt, das für IT-Sicherheit zuständig sein soll, muss Schwachstellen rasch erkennen und schließen. Doch diese Aufgabe wird konterkariert, wenn es als abhängige und nachgeordnete Behörde des Innenministeriums zum Beispiel mit einer Behörde zusammenarbeiten muss, deren Aufgabe gerade darin besteht, in Systeme einzudringen, zu hacken und Verschlüsselungen zu knacken. Klaus Landefeld:

"Das BSI hat ja jetzt das Recht, alles Mögliche zu untersuchen, Daten zu analysieren, zum Beispiel aufzufordern, dass Daten, die gehostet werden, zu löschen und so weiter. Es sind auch jede Form von Call Audits zu machen. Und das ist die gleiche Behörde, die im Prinzip dann wieder Daten weitergeben soll oder in Kooperation mit Zitis für Backdoors sorgen soll. Die Frage ist: Ist das ein sauberes Vorgehen, was da jetzt mandatiert wird?"

Ob Industrieverbände und zivilgesellschaftliche Gruppen ihre dringlichen Änderungswünsche am IT-Sicherheitsgesetz 2.0 nach der Ressortabstimmung überhaupt noch einbringen können, ist fraglich.

Wissenschaftsjournalist Peter Welchering fasst die kritischen Punkte zusammen:

"Es fehlt noch immer eine Meldepflicht für Sicherheitslücken. Sicherheitslücken sind aber die Grundlage eines jeden Angriffs auf IT-Systeme. Nur wenn solche Sicherheitslücken rasch erkannt und geschlossen werden, dann können IT-Systeme ordentlich abgesichert werden. Dazu brauchen wir aber eine Meldepflicht, die festlegt, dass jeder, der eine Sicherheitslücke erkennt, diese Lücke melden muss. Die Sicherheitsbehörden müssen dann dafür sorgen, dass diese Schwachstelle rasch geschlossen wird. Aber davon steht nichts im IT-Sicherheitsgesetz 2.0, obwohl Seehofer das auf dem Digital-Gipfel 2018 versprochen hatte. Stattdessen soll das Bundesamt für die Sicherheit in der Informationstechnik so eine Art Cyber-Superbehörde mit der Lizenz zum Hacken werden, immer noch dem Innenministerium unterstellt. Es wird also gerade keine unabhängige IT-Sicherheitsbehörde werden. Statt dessen erhält es Angriffsbefugnisse, bekommt es vertrauliche Unternehmensdaten. Alles das wird die IT-Sicherheit eher schwächen als stärken, lautet eine wesentliche Kritik. Zusätzliche Meldepflichten und die Ermächtigung, sehr viel mehr personenbezogene Daten der Bundesbürger als bisher sammeln und auswerten zu dürfen, sorgen dafür, dass Datenschutz und Datensicherheit geschwächt werden, wenn dieser Gesetzesentwurf so beschlossen wird. Und deshalb wird auch viel Kritik an diesem Entwurf geäußert."