Neues IT-Sicherheitsgesetz: Vorratsdatenspeicherung plus Eins

Mit einem neuen IT-Sicherheitsgesetz will die Regierung die Bürger angeblich besser beschützen. Profitieren wird vor allem das Innenministerium.

Auf diesem Bild zählt einiges zur kritischen Infrastruktur: Wer profitiert vom geplanten Sicherheitsgesetz? Bild: dpa

BERLIN taz | Der Satz des Herrn Professors klingt nüchtern und kühl. „Der Name des Gesetzes verspricht mehr als seine Regelungen einlösen“, sagt der Mann mit dem schlanken Gesicht und den weißen, gepflegten Haaren. Prof. Dr Alexander Roßnagel ist geladen, seines Zeichens Wirtschaftsrechtler an der Universität Kassel, und vor dem Innenausschuss des Deutschen Bundestages darf er nun also seine Einschätzung abgeben.

Es ist Montagnachmitag und heute geht es um ein Vorhaben, das nun wahrlich jeden Menschen irgendwie betreffen könnte: Mit einem neuen IT-Sicherheitsgesetz will die Bundesregierung für eine erhöhte Sicherheit der Bürger im Internet sorgen. Allein eine Frage ist nach wie vor besonders offen: Wie bitteschön geht das am besten?

Die Bundesregierung hat dazu einen Gesetzesentwurf vorgelegt, der derzeit durch das Parlamentarische Verfahren geht. Allerdings: Fachleute sehen noch zahlreiche Probleme ungelöst. Mit dem Gesetz könnte die Bundesregierung vor allem eines stärken: Das Bundesinnenministerium und die ihm untergeordneten Behörden.

Denn der Gesetzesentwurf sieht vor allem eine Stärkung des Bundesamts für Sicherheit in der Informationstechnik (BSI) mit Sitz in Bonn vor. Das macht durchaus Sinn. Das BSI ist offiziell dafür zuständig, deutsche Behörden, Unternehmen und Bürger möglichst gut vor digitalen Bedrohungen zu schützen.

„Kritische Infrastruktur“

Dazu verfügt das BSI unter anderem über ein Lagezentrum, in dem die deutsche Netzinfrastruktur gescannt wird und dem Unternehmen freiwillig größere Hackerangriffe melden können. Mit dem IT-Sicherheitsgesetz soll dieses Lagezentrum deutlich ausgebaut werden. Außerdem sollen mit einer neuen Meldepflicht bestimmte Unternehmen gesetzlich dazu verpflichtet werden, Vorkommnisse an das Lagezentrum zu melden, sobald „kritische Infrastruktur“ in besonderem Ausmaß von Angriffen bedroht ist.

Kritik an dem Gesetz gibt es reichlich: So hält etwa der Chaos Computer Club das Vorhaben für gänzlich ungeeignet, um die IT-Sicherheit in Deutschland zu erhöhen. "Hier soll das Problem der IT-Sicherheit mit noch mehr Bürokratie erschlagen werden, statt Ressourcen freizugeben für produktive Sicherheitspolitik", sagte etwa CCC-Sprecher Linus Neumann bei der Anhörung. Er fordert stattdessen mehr Mittel, um relevante Sicherheitsstrukturen pro-aktiv untersuchen und auf Schwachstellen testen zu können.

Auch die Gegenseite, der Bundesverband der Deutschen Industrie, steht dem Gesetzentwurf skeptisch gegenüber. Unter anderem, weil darin nicht geregelt wird, was „kritische Infrastruktur“ eigentlich sein soll. Eine Verbandssprecherin sagte: „Viele Unternehmen wissen selbst nicht, ob sie vom Gesetz betroffen sind oder nicht.“ Hintergrund ist, dass unklar ist, wie sich juristisch definieren soll, welche Unternehmen „kritische Infrastruktur“ vorhalten – oder auch nur Teil davon sind.

Klar ist dagegen, dass von dem Gesetz vor allem das Bundesinnenministerium profitiert – und der Gesetzestext einige Lücken aufweist, die politisch heikel und aus Grundrechtsperspektive durchaus beachtlich sind. Teil des Gesetzes ist neben der Stärkung des ebenfalls dem Innenministerium untergeordneten BSI unter anderem ein Stellenausbau beim Bundesamt für Verfassungsschutz und beim Bundeskriminalamt (BKA). Auch das ist angesichts der zunehmenden digitalen Bedrohungen noch keinesfalls abwegig.

Nutzen aus der Kenntnis von Sicherheitslücken

Pikant ist jedoch, dass mit dem BSI durch die geplante Meldepflicht ausgerechnet jene Stelle an die sensiblen Unternehmensdaten gelangt, in deren Hauptsitz auch das Bundesamt für Verfassungsschutz, der deutsche Auslandsgeheimdienst BND sowie das BKA mit eigenen Verbindungsbeamten am Tisch sitzen. Diese Behörden könnten demnach möglicherweise auch für ganz andere Vorhaben einen direkten Nutzen aus der Kenntnis von Sicherheitslücken ziehen – weil sie ihrerseits nicht nur Gefahrenabwehr betreiben, sondern auch selbst digitale Angriffe durchführen. Der Gesetzesentwurf sieht unterdessen explizit vor, dass das BSI die vorliegenden Daten an „die sonst zuständigen Behörden des Bundes zur Erfüllung ihrer Aufgaben“ weiterreicht.

Was aber ist die Erfüllung der Aufgabe des Bundesamtes für Verfassungsschutz? Und heißt dies nicht eigentlich: Anfallende Daten im Lagezentrum könnten etwa vom BKA genutzt werden, um die eigene Spähsoftware – Stichwort Staatstrojaner – weiterzuentwickeln?

Bedenken haben Juristen auch im Hinblick auf die geplante Speicherpraxis. Denn das Gesetz sieht keine Löschungsfristen vor, sondern ermutigt Unternehmen, etwaige Datenauswertungen lange vorzuhalten, um sie gegebenenfalls zu weiteren Analysen heranzuziehen. Der Mann mit den weißen Haaren, Professor Roßnagel, nennt das deshalb hochgradig bedenklich. Der Gesetzesentwurf genüge nicht den höchstrichterlichen Vorgaben wie sie etwa der Europäische Gerichtshof im Hinblick auf die Vorratsdatenspeicherung formuliert hat.

Es ist heute noch ein anderer Rechtsprofessor gekommen. Er heißt Gerrit Hornung und hält an der Universität Passau den Lehrstuhl für öffentliches Recht, IT-Recht und Rechtsinformatik. Auch er hat Bedenken gegen diese Uferlosigkeit – und hat auch ein Wort für sie. Er nennt sie eine „kleine Vorratsdatenspeicherung“.

Einmal zahlen
.

Fehler auf taz.de entdeckt?

Wir freuen uns über eine Mail an fehlerhinweis@taz.de!

Inhaltliches Feedback?

Gerne als Leser*innenkommentar unter dem Text auf taz.de oder über das Kontaktformular.

Bitte registrieren Sie sich und halten Sie sich an unsere Netiquette.

Haben Sie Probleme beim Kommentieren oder Registrieren?

Dann mailen Sie uns bitte an kommune@taz.de.