Bundestag Seehofer verteidigt umstrittenes IT-Sicherheitsgesetz
Behörden und Unternehmen, aber auch private Computeranwender sind im Internet ständig Gefahren ausgesetzt. Ein umfassendes Update des IT-Sicherheitsgesetzes soll das Fundament der Gefahrenabwehr erneuern. Die Opposition sieht aber gravierende Mängel.
Berlin (dpa) - Die schwarz-rote Regierungskoalition hat im Bundestag das geplante zweite IT-Sicherheitsgesetz gegen Kritik der Opposition und der Wirtschaftsverbände verteidigt. Bundesinnenminister Horst Seehofer (CSU) sagte, die Cyberbedrohungslage im Land sei "anhaltend hoch".
Mit dem neuen Gesetz stärke man nun den rechtlichen Rahmen für die Cybersicherheit. Dabei gehe es nicht nur um die Sicherheit des 5G-Mobilfunknetzes, sondern auch um die Abwehr von Gefahren für die Wirtschaft und Allgemeinheit durch einen besseren Schutz der kritischen Infrastruktur. Außerdem würden Unternehmen, die im öffentlichen Interesse agieren, besser geschützt.
Das "IT-Sic 2.0" sieht eine Stärkung des Bundesamtes für Sicherheit in der Informationstechnik (BSI) vor. Das Amt soll personell aufgestockt werden und erhält weitreichende neue Kompetenzen. So kann das BSI künftig den Bundesbehörden Mindeststandards zum Schutz der IT-Systeme vorschreiben und deren Einhaltung kontrollieren. Betreiber "kritischer Infrastrukturen" werden verpflichtet, Systeme zur Angriffserkennung einzusetzen. Das Gesetz sieht auch die Einführung eines einheitlichen IT-Sicherheitskennzeichens für Produkte vor, das das BSI vergeben soll. Dies stärke auch den Verbraucherschutz für alle, sagte Seehofer.
Der Branchenverband Bitkom hatte in dem Gesetzgebungsverfahren unter anderem kritisiert, dass das BSI künftig einzelnen Unternehmen technische Zugriffs- und Weisungsbefugnisse erteilen darf. Der "Stand der Technik" sollte nach Ansicht des Verbandes aber nicht durch das BSI festgeschrieben werden können. Dies müsse stattdessen in enger Abstimmung und unter Einbeziehung der betroffenen Branchen sowie nach transparenten Beteiligungskriterien erfolgen.
Das Gesetz beinhaltet auch Vorgaben für kritische Infrastrukturen wie dem neuen superschnellen 5G-Mobilfunknetz. Hersteller von Komponenten sollen demnach eine Erklärung zu ihrer Vertrauenswürdigkeit abgeben, das Innenministerium soll den Einsatz untersagen können. Um die Regelung gab es auch mit Blick auf eine mögliche Beteiligung des chinesischen Anbieters Huawei lange Diskussionen.
In dem Gesetz ist aber kein pauschaler Ausschluss von Huawei oder anderen umstrittenen Anbietern wie ZTE festgeschrieben. Die hohen Hürden könnten allerdings die Verwendung von Komponenten aus China massiv behindern. Im Extremfall müssten die deutschen Netzbetreiber - Deutsche Telekom, Vodafone und Telefónica - gezwungen werden, Komponenten von Huawei wieder aus dem Netz zu entfernen.
Kritiker halten den chinesischen Technologie-Konzern Huawei für ein Sicherheitsrisiko. Sie befürchten Spionage oder Sabotage. Das Unternehmen hat solche Vorwürfe stets zurückgewiesen und darauf verwiesen, dass es keine Beweise für die Anschuldigungen gebe.
Die Digitalexpertinnen Joana Cotar (AfD) und Anke Domscheit-Berg (Linke) kritisierten, dass die zivilgesellschaftlichen Organisationen in dem Gesetzgebungsverfahren nur einen Tag Zeit hatten, zu dem Gesetzesentwurf Stellung zu nehmen.
Der Vorsitzende des Ausschusses Digitale Agenda, Manuel Höferlin (FDP), forderte statt eines neuen BSI-Labels die Einführung einer Produkthaftung der Anbieter. Wie die Linken wies er auf einen Interessenskonflikt des BSI hin. Das Amt solle Sicherheitslücken schließen, gleichzeitig nutzten Geheimdienste diese Lücken aus. Vor diesem Hintergrund müsse das BSI aus dem Innenministerium ausgelagert und in ein Digitalministerium überführt werden. Der stellvertretende Fraktionschef der Grünen, Konstantin von Notz, kritisierte, das BSI werde zu einer Art Ersatz-Geheimdienst degradiert.
Der Bundesverband der Deutschen Industrie (BDI) erklärte, für größere Cybersicherheit müssten Staat und Wirtschaft auf mehr Teamplay setzen. "Das IT-Sicherheitsgesetz 2.0 ist ungeeignet, um die aktuellen und zukünftigen Herausforderungen im Mannschaftsspiel Cybersicherheit zu lösen." Das Gesetz verpflichte Unternehmen zur Umsetzung organisatorischer und technischer Cybersicherheitsmaßnahmen. "Damit diese auch wirken, sollten Unternehmen die Möglichkeit erhalten, die Vertrauenswürdigkeit von Beschäftigten, die in besonders sicherheitskritisch eingestuften Bereichen tätig sind, überprüfen lassen zu können."
© dpa-infocom, dpa:210128-99-209630/2
