ZBI LOGO 1200 tp

Das Bundesinnenministerium hat vor wenigen Tagen das IT-Sicherheitsgesetz 2.0 in die Ressortabstimmung gegeben. Die geplanten Maßnahmen sollten die IT-Sicherheit deutlich verbessern.

Der Verband der Ingenieure für Kommunikation (IfKom e. V.) begrüßt die darin enthaltene Einführung eines einheitlichen freiwilligen Gütesiegels für die Sicherheit von Produkten als verbraucherfreundliche Maßnahme. Ein IT-Sicherheitskennzeichen kann die Kaufentscheidung zu Gunsten sicherer Produkte deutlich beeinflussen. Zugleich stellt ein solches Sicherheitskennzeichen einen Wettbewerbsvorteil dar. Damit dieses Gütesiegel seinen Zweck erfüllen kann, müssen die Kriterien transparent und dem Ziel entsprechend anspruchsvoll sein. Die notwendigen Rechtsverordnungen auf der Grundlage des IT-Sicherheitsgesetzes sind daher so auszugestalten, dass die Verbraucher sich auf die Aussagen des IT-Sicherheitskennzeichens verlassen können. Für ein wirksames Qualitätssiegel zur IT-Sicherheit sind die im Gesetzentwurf aufgeführten zusätzlichen Stellen beim Bundesamt für Sicherheit in der Informationstechnik (BSI) für die Prüfungen und Kontrollen im Sinne einer Marktaufsicht gut angelegtes Geld, ebenso wie die zusätzlichen Stellen, um Security by Design am Markt durchzusetzen, damit den Verbrauchern sichere Produkte zur Verfügung stehen, was heute oft nicht der Fall ist.

Den Sicherheitsbedenken gegen chinesische Hersteller, die insbesondere im Zusammenhang mit dem Aufbau des 5G-Mobilfunknetzes diskutiert werden, versucht der Gesetzentwurf mit einer Herstellererklärung entgegenzutreten. Kritische Komponenten sollen nur von Herstellern eingesetzt werden dürfen, die eine solche Garantieerklärung über die Vertrauenswürdigkeit ihrer Produkte abgegeben haben. Diese Erklärung erstreckt sich dabei auf die gesamte Lieferkette des Herstellers. Das Bundesinnenministerium soll den Einsatz solcher Komponenten untersagen können, wenn der Hersteller nicht vertrauenswürdig ist.

Die Skepsis gegenüber Technik aus Asien, insbesondere aus China, ist nicht unbegründet, ein Verbot des Einsatzes von Huawei-Technik würde aber den Rollout des 5G-Netzes deutlich behindern. Hier zeigen sich die Nachteile des globalen Einkaufs, die auch in der Corona-Krise deutlich werden. In Deutschland und in der EU wurde eine eigene Fertigung von Komponenten der Informations- und Kommunikationstechnik deutlich heruntergefahren. Die Netzbetreiber kaufen ihre Komponenten auf dem Weltmarkt, also vornehmlich in den USA und Asien ein. Die IfKom appellieren in diesem Zusammenhang, grundsätzlich wieder über eine nennenswerte Fertigung in Deutschland oder zumindest in der EU nachzudenken!

Um Cyber-Sicherheitsvorfällen zu begegnen, wird der Schutz der Regierungsnetze ausgeweitet. Dazu soll das BSI mehr Kompetenzen und zusätzliches Personal erhalten. Als sinnvoll erachten die IfKom auch den Schutz der Wirtschaft, indem die für die Betreiber Kritischer Infrastrukturen bestehenden Meldepflichten und Verpflichtungen zur Einhaltung der Mindeststandards auf weitere Teile der Wirtschaft ausgeweitet werden.

Welche Regelungen schließlich Gesetzeskraft erlangen, bleibt abzuwarten. Sowohl in der jetzt laufenden Ressortabstimmung als auch im späteren Gesetzgebungsverfahren sind sicherlich Änderungen zu verzeichnen. Bereits im Vorfeld kritisch diskutierte Punkte wie Ergänzungen im Strafgesetzbuch mit neuen Straftatbeständen oder die Pflicht zur Herausgabe von Passwörtern wurden nicht mehr in den Entwurf aufgenommen, könnten im laufenden Verfahren aber wieder diskutiert werden.