BND und BSI werden gestärkt Regierung billigt Gesetze für und gegen Hacker

Das Bundeskabinett hat zwei wichtige Sicherheitsgesetze auf den Weg gebracht: Der BND bekommt klarere Überwachungsbefugnisse, das IT-Sicherheitsgesetz 2.0 macht die Cyberabwehr aktiver. Kritik gibt es an beidem.
Der Eingang zum Bundesnachrichtendienst BND in Berlin

Der Eingang zum Bundesnachrichtendienst BND in Berlin

Foto:

Michael Kappeler/ dpa

Die Bundesregierung hat den Weg frei gemacht für die Neuregelung der BND-Befugnisse. Das Bundeskabinett billigte am Mittwoch einen Gesetzentwurf des Kanzleramts, mit dem die Vorgaben des Verfassungsgerichtsurteils vom Mai umgesetzt werden sollen. Die Karlsruher Richter hatten die bisherigen Regelungen zur Überwachung der Kommunikation von Ausländern im Ausland gekippt, weil sie gegen das Telekommunikationsgeheimnis und die Pressefreiheit verstießen. Die neuen Regeln sollen klarstellen, wen der Bundesnachrichtendienst hacken und überwachen darf und wen nicht.

Aus der Opposition kam Kritik an der vom Kabinett jetzt beschlossenen Neuregelung. »Mit dem neuen BND-Gesetz verpasst die Bundesregierung die Chance, die Kontrolle der Nachrichtendienste neu zu ordnen«, erklärte FDP-Fraktionsvize Stephan Thomae. Augenscheinlich wolle sie nur die Grenzen der Vorgaben aus Karlsruhe austesten.

Eine echte Lücke bestehe in der Aufsicht über Datenbanken, die der BND mit anderen inländischen oder ausländischen Diensten betreibt. »Eine lückenlose und effektive parlamentarische Kontrolle der Nachrichtendienste ist aber unerlässlich für die Legitimation der Nachrichtendienste.«

Die Organisation Reporter ohne Grenzen wiederum kritisiert die Hacking-Befugnisse  des BND, die mit dem Gesetz festgelegt würden: Der Nachrichtendienst soll fremde Systeme infiltrieren dürfen. Dabei lasse sich kaum ausschließen, dass »vertrauliche Kommunikation oder Dateien von Medienschaffenden verdachtsunabhängig als Beifang miterhoben werden«.

Kabinett billigt auch das »Huawei-Gesetz«

Das Bundeskabinett stimmte am Mittwoch außerdem dem seit Monaten diskutierten IT-Sicherheitsgesetz 2.0 zu . Dieses muss nun vom Bundestag beschlossen werden, wo aber nach Angaben aus Koalitionskreisen nur noch geringfügige Änderungen erwartet werden.

Das IT-Sicherheitsgesetz soll maßgeblich regeln, unter welchen Umständen ein Telekommunikationsausrüster sogenannte kritische Komponenten für Deutschlands 5G-Mobilfunknetze beisteuern darf. Die Vorgaben dürften nach Einschätzung aus Regierungskreisen dazu führen, dass eine Nutzung von Komponenten etwa des chinesischen Netzwerkausrüsters Huawei im 5G-Netz massiv erschwert wird.

Künftig soll ein Ausrüster komplett vom Aufbau eines 5G-Netzes ausgeschlossen werden können – allerdings erst nach wiederholten Verstößen gegen die Vertrauenswürdigkeit. Herstellerfirmen müssen umfangreiche Zusagen machen, etwa dass keine Daten an eine ausländische Regierung abfließen. Diese Angaben werden von einem gemeinsamen Gremium aus Kanzleramt, Innenministerium, Wirtschaftsministerium und Auswärtigem Amt geprüft. Das Außenministerium hatte durchgesetzt, dass neben technischen Prüfungen auch außen- und sicherheitspolitische Erwägungen in die Beurteilung miteinfließen. Der Forderung der US-Regierung nach einem Ausschluss von chinesischen Firmen folgt die Bundesregierung nicht. Die US-Regierung wirft Huawei Spionage sowie eine mögliche Manipulation der 5G-Netze vor. Huawei weist die Vorwürfe zurück.

Regierungskreisen zufolge dürfte es Huawei aber zumindest bei kritischen Komponenten des 5G-Netzes schwerfallen, die Vertrauenswürdigkeit glaubhaft nachzuweisen. In dem Gesetzentwurf wird ein Hersteller einer kritischen Komponente als nicht vertrauenswürdig eingestuft, wenn er gegen die in seiner Garantieerklärung eingegangenen Verpflichtungen verstößt, falsche Angaben gemacht hat, Sicherheitsüberprüfungen nicht unterstützt oder IT-Schwachstellen nicht unverzüglich meldet und beseitigt. Ein Verbot kann es auch geben, wenn eine kritische Komponente »über technische Eigenschaften verfügt oder verfügt hat, die geeignet sind oder waren, missbräuchlich auf die Sicherheit, Integrität, Verfügbarkeit oder Funktionsfähigkeit der Kritischen Infrastruktur einwirken zu können«.

Der Gesetzentwurf sieht außerdem eine deutliche Aufwertung des Bundesamtes für Sicherheit in der Informationstechnik (BSI) vor. Es soll unter anderem aktiv nach Sicherheitslücken bei Unternehmen suchen, die Kritische Infrastrukturen betreiben. Kritiker fürchten, das BSI werde damit zu einer »Hacker-Behörde«. Mehr dazu lesen Sie hier.

pbe/AFP/Reuters
Die Wiedergabe wurde unterbrochen.