IT-Sicherheitsgesetz 2.0 Das soll im Huawei-Gesetz stehen

Damit Huawei in deutschen 5G-Netzen zum Zuge kommen kann, muss der Konzern umstrittene Anforderungen des IT-Sicherheitsgesetzes 2.0 erfüllen. Nach Ansicht von Kritikern schafft das Gesetz eine spezielle Polizeibehörde.
Huawei-Stand beim »Mobile World Congress« in Barcelona (2017): »Kritische Komponenten«

Huawei-Stand beim »Mobile World Congress« in Barcelona (2017): »Kritische Komponenten«

Foto:

Eric Gaillard/ REUTERS

IT-Sicherheit ist ein Thema von nationalem Interesse. Die Bundesregierung hat das verstanden, das spiegelt sich im »Entwurf eines Zweiten Gesetzes zur Erhöhung der Sicherheit informationstechnischer Systeme« an allen Ecken und Enden wider. Der Bund will wehrhafter werden und dafür auch Unternehmen und Verbraucher mitnehmen.

Zuletzt hatte das zuständige Bundesinnenministerium innerhalb von acht Tagen zwei Versionen des Entwurfs mit teils deutlichen Abweichungen veröffentlicht und den Verbänden extrem wenig Zeit für ihre Stellungnahmen gegeben, was die höflicheren unter ihnen als »absolut inakzeptabel«  bezeichneten. Am kommenden Mittwoch nun will das Kabinett den Entwurf verabschieden.

Das erste, was in der aktuellen Fassung auffällt: Der höhere Stellenwert für die IT-Sicherheit wird auch am zusätzlichen Personal deutlich. Laut Entwurf sollen 1155,5 neue Stellen geschaffen werden, davon allein 799 beim Bundesamt für Sicherheit in der Informationstechnik (BSI). Diese sollen den Bund jährlich 74,24 Millionen Euro kosten.

Sicherheitsgarantien beim 5G-Ausbau

Der politisch wohl wichtigste Abschnitt des Entwurfs jedoch betrifft die sogenannten kritische Komponenten, also den Ausbau der neuen 5G-Mobilfunknetze mit Technik von Huawei oder anderen Ausrüstern. Diese Teile dürfen dem Gesetzentwurf zufolge nur eingesetzt werden, wenn sie erstens überprüft und zertifiziert wurden. Zweitens muss der entsprechende Hersteller »eine Erklärung über seine Vertrauenswürdigkeit gegenüber dem Betreiber der Kritischen Infrastruktur abgeben«, die »sich auf die gesamte Lieferkette des Herstellers« erstreckt. In dieser »Garantieerklärung« muss stehen, ob und wie der Hersteller hinreichend sicherstellen kann, dass die Bauteile nicht für Sabotage, Spionage oder Terrorismus innerhalb der Infrastruktur missbraucht werden kann.

Außerdem kann das Bundesinnenministerium den Einsatz einer Komponente untersagen, »wenn überwiegende öffentliche Interessen, insbesondere sicherheitspolitische Belange der Bundesrepublik Deutschland, dem Einsatz entgegenstehen«. Dafür braucht das Ministerium das Einverständnis des für die jeweilige kritische Infrastruktur zuständigen Ministeriums. Im Falle der 5G-Netze wäre das Bundesverkehrsministerium verantwortlich.

Aber auch nachträglich kann die Verwendung bestimmter Teile noch verboten werden. Nämlich immer dann, wenn sich Innenministerium und das jeweils zuständige Ressort einig sind, dass der Hersteller sich als »nicht vertrauenswürdig« erwiesen hat. Dazu kann es schon reichen, dass »er bekannte oder bekannt gewordene Schwachstellen oder Manipulationen nicht unverzüglich dem Betreiber der Kritischen Infrastruktur meldet und beseitigt«.

Lex Huawei: »Höchst fraglich«

Der Rechtswissenschaftler Dennis-Kenji Kipker von der Universität Bremen hatte im Vorfeld die Sorge geäußert , dass »es höchst fraglich ist, ob Hersteller diese Anforderungen tatsächlich erfüllen können«. Er hätte die ganze Passage lieber gar nicht im Gesetzentwurf gehabt.

Die AG Kritis, eine unabhängige Arbeitsgemeinschaft aus Fachleuten, die beruflich mit der IT-Sicherheit kritischer Infrastrukturen wie Energieversorgung, Transport und Verwaltung zu tun haben, schreibt in ihrer Bewertung : »Eigentlich müsste man diesen Abschnitt Lex Huawei nennen, da offensichtlich ist, dass es hier um die juristische Möglichkeit des Ausschlusses bestimmter Hersteller geht.« Wie auch Kipkers Analyse bezieht sich die AG Kritis auf die in diesem Abschnitt fast wortgleiche Vorgängerversion des Entwurfs.

Sie hält die Bestimmungen für problematisch, unter anderem, weil sie »falsche Anreize« setzten: »Die Möglichkeit, dass die eigenen Produkte in der Folge einer ordnungsgemäßen Meldung einer Schwachstelle vom Einsatz ausgeschlossen werden können, wird dazu führen, dass Hersteller Schwachstellen trotz gesetzlicher Verpflichtung eher nicht melden werden.«

Martin Schallbruch vom Digital Society Institut der European School of Management and Technology Berlin, der als IT-Direktor des Bundesinnenministeriums einst die Fachaufsicht über das BSI hatte, schreibt dazu  (ebenfalls bezogen auf die Vorgängerversion des Entwurfs): »Deutschland verweigert sich einer politischen Entscheidung und setzt auf technische Richtlinien und Bürokratie«.

Provider sollen »Befehle zur Bereinigung« der Kundengeräte aussenden

Für das BSI ist das geplante Gesetz von enormer Bedeutung. Die Behörde soll deutlich größer und mächtiger werden – aber auch verbrauchernäher. 163 der 799 neuen Stellen sind dafür vorgesehen, das BSI als unabhängige und neutrale Beratungsstelle zu etablieren. Die soll unter anderem eine Verbraucherschutz-Onlineplattform betreiben und die Schaffung eines IT-Sicherheitskennzeichens für Hardware, Software und Onlinedienste als Hilfe bei der Kaufentscheidung vorbereiten.

Einige der weiteren angedachten Befugnisse würden aus dem BSI hingegen eine »Hackerbehörde« machen, wie netzpolitik.org schreibt . Gemeint ist die »Detektion von Sicherheitslücken und anderen Sicherheitsrisiken«: Das BSI soll mit sogenannten Portscans Teile des offenen Internets nach bekannten Schwachstellen absuchen dürfen, um die Betreiber der betroffenen Dienste zu warnen, es sei denn, »überwiegende Sicherheitsinteressen« würden der Offenlegung entgegenstehen. Näher ausgeführt wird dies Einschränkung nicht. Die Portscans sind beschränkt auf die IT des Bundes oder von Kritischen Infrastrukturen, von digitalen Diensten oder von »Unternehmen im besonderen öffentlichen Interesse« – ein ebenfalls nicht definierter Begriff.

An sich können Portscans wichtige Werkzeuge im Kampf gegen Angreifer sein, denn Kriminelle benutzen diese Methode selbst, um schlecht geschützte Zugänge zu entdecken. Gerade in Industriesteuerungsanlagen oder im sogenannten Internet der Dinge werden immer wieder entsprechende Sicherheitslücken bekannt, heißt es im Entwurf.

»Eingriff in IT-Grundrecht«

Auch bei der Bekämpfung von Schadprogrammen bekommt das BSI mehr Befugnisse. Um zum Beispiel gegen Botnetze vorzugehen, soll das BSI jedem Telekommunikationsanbieter mit mehr als 100.000 Kunden »zur Abwehr konkreter erheblicher Gefahren« anordnen können, die Systeme der Kunden durch »technische Befehle zur Bereinigung« von bestimmten Schadprogrammen zu befreien. Sprich: Das BSI könnte einen Internetprovider anweisen, in die Endgeräte seiner Kunden einzugreifen. Der Bundesbeauftragte für den Datenschutz muss vorher aber zustimmen.

Die AG Kritis geht dennoch davon aus, dass der Passus verfassungswidrig ist: Es handele sich um »einen Eingriff in die Integrität informationstechnischer Systeme« und damit »um einen Eingriff in das IT-Grundrecht, an den das Bundesverfassungsgericht hohe Anforderungen stellt. Diese Anforderungen können hier nicht erfüllt werden.«

Ebenfalls Teil der Gefahrenabwehr soll die Befugnis werden, Internetprovider zu verpflichten, den Datenverkehr zum Beispiel mit dem Kommandoserver einer Schadsoftware oder eines Botnetzes auf eine vom BSI festgelegte Adresse umzuleiten, wo der Datenstrom auch analysiert werden darf. Solche Kommandoserver sind oft das Herzstück von Cybercrime-Angriffen.

Auch eine Abfrage von Bestandsdaten und IP-Adressen bei den Providern soll dem BSI im Notfall möglich sein, um Betreiber von Kritischen Infrastrukturen oder Unternehmen im besonderen öffentlichen Interesse vor bevorstehenden Hackerangriffen zu warnen.

Martin Schallbruch erkennt insgesamt »deutliche Verbesserungen« in dem Gesetzentwurf, verglichen mit früheren Entwürfen. Aber die neuen Befugnisse des BSI machten die Behörde »zu einer speziellen Polizeibehörde«. Für nicht vertretbar hält er daran, »dass an manchen Stellen des Entwurfs Sicherheitserkenntnisse vom BSI vor den Betroffenen zurückgehalten werden können, ohne dass hierfür Abwägungskriterien benannt werden«. Das BSI sei »in erster Linie für die Bürgerinnen, Bürger und Unternehmen da – Gründe, hinter ihrem Rücken zu agieren, müssen ausdrücklich benannt werden«.