Entwurf des IT-Sicherheitsgesetzes: Kennzeichnung nur freiwillig

Die Novelle des IT-Sicherheitsgesetzes nimmt Form an. Neues gibt es für Verbraucher:innen – und für Huawei.

Von wem dürfen die Mobilfunkmasten kommen? Das ist auch eine Frage der IT-Sicherheit Foto: Patrick Pleul/dpa

BERLIN taz | Etwas mehr Verbraucherschutz, neue Rechte für das Bundesamt für Sicherheit in der Informationstechnik (BSI) und eine Einigung in Sachen Huawei – das sind die wesentlichen Punkte des neuen IT-Sicherheitsgesetzes. Am Wochenende gelangte ein neuer Entwurf an die Öffentlichkeit, zwei Jahre nach Beginn der Debatte über eine Neufassung.

Das IT-Sicherheitsgesetz gibt es seit 2015. Sein Fokus lag zunächst auf der sogenannten kritischen Infrastruktur wie etwa Energieversorgung und deren Schutz vor Angriffen. Spätestens mit der Debatte über den Aufbau des 5G-Netzes und der Frage, ob der chinesische Netzwerkausrüster Huawei dafür Technik liefern darf, stand jedoch eine weitere Neufassung an.

Während die Netzbetreiber in Deutschland – Telekom, Vodafone und Telefónica – ein Interesse daran haben, auch Sendemasten von Huawei zu verwenden, zeigte sich die Politik gespalten. Allen voran in der Union gibt es zahlreiche Kritiker:innen. Deren Befürchtung: Der chinesische Konzern könnte Hintertüren für Spionagezwecke in seine Hardware einbauen.

Der aktuelle Gesetzentwurf geht auf diese Befürchtungen ein. Zwar schließt er keinen Anbieter pauschal aus, erhöht aber die Hürden. So heißt es in der Gesetzesbegründung: Für „kritische Komponenten“ soll der Einsatz umfassend geprüft werden mit der Möglichkeit, die Nutzung vorab zu untersagen „soweit überwiegende öffentliche Interessen, insbesondere sicherheitspolitische Belange diesem entgegenstehen“.

Das könnten etwa fehlende Garantien sein oder Beweise für Hintertüren. Sollten die entsprechenden Regelungen so verabschiedet werden und der Einsatz von Huawei-Komponenten untersagt, hätten die Netzbetreiber, die jetzt schon mit diesen Komponenten ausbauen, ein Problem. Sie müssten die Teile entsprechend zurückbauen – was die Kosten für den Netzausbau in die Höhe treiben würde.

Der Gesetzentwurf sieht darüber hinaus vor, die Rolle des Bundesamtes für Sicherheit in der Informationstechnik (BSI) deutlich zu stärken. So soll es mehr Befugnisse erhalten und etwa in bestimmten Situationen Internetprovider anweisen können, bei der Bekämpfung von Schadsoftware zu kooperieren.

Darüber hinaus soll das BSI auch Aufgaben aus dem Bereich des Verbraucherschutzes übernehmen. Geplant ist etwa ein „IT-Sicherheitskennzeichen“. Damit sollen Verbraucher:innen beim Kauf erkennen, welches Niveau an IT-Sicherheit sie bei Produkten und Diensten zu erwarten haben – zumindest in der Theorie. Denn in der Praxis wird die Kennzeichnung im Wesentlichen auf Angaben der Hersteller beruhen. Und weil eine verpflichtende Kennzeichnung auf EU-Ebene eingeführt werden müsste, wird es bei einer freiwilligen Angabe bleiben.