Die Branche zeigt sich gespalten: Nur ein Teil der betroffenen oder beteiligten Verbände und Unternehmen begrüßen den Entwurf des IT-Sicherheitsgesetzes, wie er am vergangenen Mittwoch verabschiedet wurde. Das IT-Sicherheitsgesetz fasst mehrere Maßnahmen zusammen, die zu mehr IT-Sicherheit in Deutschland führen sollen. Die wichtigsten Neuerungen: Unternehmen müssen sicherheitsrelevante Vorfälle melden.

Diensteanbieter werden verpflichtet, ihre technischen Anlagen gegen unerlaubten Zugriff zu sichern. Und die Bundesbehörden besser aufgestellt werden. So bekommen unter anderem Bundesnachrichtendienst, Verfassungsschutz und Bundesamt für die Sicherheit in der Informationstechnik BSI mehr Personal und finanzielle Mittel. Als gelungen bewertet bewertet zum Beispiel der IT-Branchenverband BITKOM den Gesetzentwurf. Bereichsleiter Sicherheit Marc Fliehe.

"Wir begrüßen das IT-Sicherheitsgesetz in seiner jetzigen Form und wir hoffen, dass es in der Ausgestaltung weiter diesen Dialog zwischen Wirtschaft und Staat geben wird, sodass wir da auch zu einem guten Ergebnis kommen für beide Seiten."

Der Vorschlag für das IT-Sicherheitsgesetz hat sich in den letzten Monaten stark gewandelt. Unter anderem wurden die Meldepflichten für Störfälle zusammengestrichen und auch die Zahl der meldepflichtigen Unternehmen schmolz von 20.000 in ersten Entwürfen auf jetzt 2.000. Außerdem können die meisten Störungen nun anonym gemeldet werden. Das ist der Hauptkritikpunkt von Netzpolitik.org. So werde nicht genug Druck auf die Unternehmen erzeugt. Doch nicht nur das stört Informatikerin Anna Biselli:

"Und ein weiter Kritikpunkt, den wir haben, ist, dass die Unternehmen, die überhaupt betroffen sind, Unternehmen sind, die für die Bereitstellung kritischer Infrastrukturen da sind. Das heißt Wasserversorger, Energieunternehmen und alle anderen Unternehmen sind ausgenommen. Und alle Vorfälle gelten nur erheblichen Vorfällen. So mal lax gesagt, es heißt, das Unternehmen muss es erst melden, wenn man sowieso merkt, dass das Licht ausgegangen ist."

Nicht viel Gutes kann Linus Neumann dem Gesetz abgewinnen. Der IT-Sicherheitsforscher und Sprecher des Chaos Computer Clubs hält die weitreichenden Meldepflichten für unsinnig, da sich die Art von Angriffen auf Unternehmen sehr gleiche. So bekomme man zwar viele Daten, aber kaum Erkenntnisse. Außerdem Sanktionen fehlten für den Fall der Fälle. Softwarehersteller müssten weiterhin nicht für Sicherheitslücken in ihren Produkten haften. Auch halte das Gesetz nicht dazu an, aktiv nach Sicherheitslücken in Soft- oder Hardware zu suchen und diese zu beheben.

"Sicherheitslücken die entstehen ja und bestehen ja auf einer technischen Ebene. Und die sind ja da. Die müssen im Regelfall ja nur noch gefunden werden. Da werden ja auch täglich hunderte von gefunden. Dieses Gesetz wird nicht dazu führen, dass irgendwie eine mehr oder weniger gefunden wird. Das ist ein reines Bürokratiegesetz."

Bitkom-Referent Marc Fliehe verteidigt das Gesetz und die Änderungen. Die Möglichkeit der anonymen Meldung sei positiv, weil so geschädigte Unternehmen durch die Meldung nicht öffentlich stigmatisiert würden. Außerdem begrüßt er, dass nur noch wirklich krisenrelevante Firmen beziehungsweise Unternehmen, bei denen ein Ausfall der IT-Infrastruktur weitreichende Auswirkungen hätten, zur Meldung verpflichtet sind. Auch die jetzt eingeschränkte Testbefugnis des BSI sieht der Bitkom positiv.

"Es gibt eine Reihe von juristischen Bedenken, die da zunächst mal eine Rolle spielen. Also das bestehende Patente beispielsweise durch die Tests und bestimmte Urheberrechte durch diese Tests verletzt werden könnten. Auf der anderen Seite, müssen wir natürlich auch die Sicherheit haben, dass durch diese Tests keine Beeinträchtigung in den Systemen der Unternehmen selbst entstehen. Damit eben durch diese Bemühungen mehr Sicherheit zu schaffen, nicht neue Schwachstellen oder Möglichkeiten für Angriffe geschaffen werden."

Nach einigem Hin und Her zwischen den am Gesetz beteiligten Ministerien wurde kurz vor der Verabschiedung im Bundeskabinett ein besonders umstrittener Punkt geändert. Justizminister Mass und Innenminister de Maizière strichen einige Passagen, die von Kritikern als eine Art „Vorratsdatenspeicherung light" gesehen wurde. Ist das Thema damit von der Tagesordnung? Anna Biselli von Netzpolitik.org.

"Dadurch, dass das quasi unter dem Deckmantel der Fehlerbehebung oder Fehlervoraussage für Telekommunikationsanbieter immer noch möglich ist, ist das eine Art Vorratsdatenspeicherungsermöglichung, da natürlich Ermittlungsbehörden, wenn sie die Daten anfragen, auf die Daten zugreifen können werden, weil die Unternehmen die schlicht und weg rausgeben müssen."

In wie fern eine Vorratsdatenspeicherung durch die Hintertür noch möglich ist, werden Juristen klären müssen. Der jetzt verabschiedete Entwurf jedenfalls wird wohl noch einige Änderungen durchlaufen, ehe der Bundestag ein Gesetz draus macht.

.