taz_akt_736319866973

Neues IT-Sicherheitsgesetz: Das Hintertürchen steht offen

NETZE Scharfe Kritik an Plänen für neues Gesetz. Experten warnen vor Missbrauchsmöglichkeiten

BERLIN taz | Mit einem neuen IT-Sicherheitsgesetz will die Bundesregierung für erhöhte Sicherheit der Bürger sorgen – könnte man denken. Doch den Entwurf, der derzeit durchs Parlament geht, halten viele ExpertInnen für unausgegoren. Von dem Vorhaben der schwarz-roten Regierung würden vor allem das Innenministerium und dessen Ermittlungsbehörden profitieren.

Mit dem Gesetz sollen bestimmte Unternehmen künftig verpflichtet werden, Hackerangriffe an das Bundesamt für Sicherheit in der Informationstechnik (BSI) zu melden. Dies untersteht dem Bundesinnenministerium und unterhält in Bonn ein eigenes Lagezentrum. Das Pikante: Dort sitzen auch Verbindungsbeamte des Bundeskriminalamtes, des Bundesamtes für Verfassungsschutz und des Bundesnachrichtendienstes mit am Tisch.

So könnten künftig auch jene Stellen direkten Zugang zu den sensiblen Unternehmensdaten erhalten, die noch für ganz andere Vorhaben einen direkten Nutzen aus der Kenntnis aller aktuellen Sicherheitslücken ziehen – weil sie ihrerseits nicht nur Gefahrenabwehr betreiben, sondern auch selbst digitale Angriffe durchführen.

Ende 2014 etwa war bekannt geworden, dass der Bundesnachrichtendienst (BND) bemüht sein soll, auf dem Schwarzmarkt das Wissen um Sicherheitslücken aufkaufen zu können, um dieses für Angriffe gegen Zielpersonen zu nutzen. Der neue Gesetzentwurf sieht nun explizit vor, dass das BSI die vorliegenden Daten an „die sonst zuständigen Behörden des Bundes zur Erfüllung ihrer Aufgaben“ weiterreicht.

Was aber ist die Erfüllung der Aufgabe des Bundesamtes für Verfassungsschutz? Und heißt dies nicht eigentlich: Anfallende Daten im Lagezentrum und die Kenntnis über die Sicherheitslücken könnten etwa von BND und BKA genutzt werden, um die eigene Spähsoftware – Stichwort Staatstrojaner – weiterzuentwickeln?

Juristen haben Bedenken

Massive Kritik an dem Gesetz gibt es daher etwa vom Chaos Computer Club, aber – aus anderen Gründen – auch aus dem Wirtschaftsverband BDI. Doch auch Juristen haben Bedenken, etwa im Hinblick auf die geplante Speicherpraxis. Denn das Gesetz sieht keine Löschfristen vor, sondern ermutigt Unternehmen, etwaige Datenauswertungen lange vorzuhalten, um sie gegebenenfalls zu weiteren Analysen heranzuziehen.

Der Wirtschaftsrechtler Alexander Roßnagel von der Universität Kassel hält das für bedenklich. Der Gesetzentwurf genüge nicht den höchstrichterlichen Vorgaben, wie sie etwa der Europäische Gerichtshof im Zusammenhang mit der Vorratsdatenspeicherung formuliert hat. Auch Gerrit Hornung, der an der Universität Passau öffentliches Recht, IT-Recht und Rechtsinformatik lehrt, hat Bedenken gegen diese Uferlosigkei. Er nennt sie eine „kleine Vorratsdatenspeicherung“. MARTIN KAUL