IT-Sicherheitsgesetz: staatliche Kontrolle und höhere Kosten

Bundesinnenminister Thomas de Maizière: Da ein IT-Ausfall möglicherweise die innere Sicherheit Deutschlands beeinträchtigen könnte, ist das Bundesministerium des Innern für die Cybersecurity zuständig (Bild: Bundesministerium des Inneren).

Lange ist bekannt, dass die Bundesregierung kein schlüssiges Bild über die Bedrohungslage aus dem Internet hat. Aber erst die vergangenen Monate haben gezeigt, dass die Verantwortlichen mit ihren bisherigen Einschätzungen völlig falsch lagen. Umso dringender bemühen sich die Experten aus den verantwortlichen Ministerien nun, ein IT-Sicherheitsgesetz zu formulieren. Sie hoffen, die Wirtschaft mit in die staatlichen Sicherheitsbemühungen einzubinden – um gleichzeitig deren Wissen und Know-how über die Bedrohungen aus den internationalen Netzwerken zu nutzen.

Der Zeitplan ist eng getaktet: Wie aus dem Innenministerium zu hören ist, plant man in der ersten Hälfte dieses Jahres, die Entwürfe auszuarbeiten und innerhalb der Regierung sowie den Verbänden und Lobbyisten zur Diskussion vorzulegen. Bis Ende dieses Jahres wolle die Regierung den Entwurf dann überarbeiten, verabschieden und Anfang 2015 in den Bundestag einbringen. Wenn alles gut läuft, würde bis zum Sommer 2015 das Cybersecurity-Gesetz in Kraft treten.

Alexander Dobrindt, Bundesminister für Verkehr und digitale Infrastruktur, kümmert sich um den Aufbau der digitalen Netzwerke. Hier liegt die Verantwortung für den Aufbau eines möglichst flächendeckenden und schnellen Informations- und Kommunikationsnetzwerks innerhalb Deutschlands (Bild: Bundesministerium für Verkehr und digitale Infrastruktur).

Die Zeit drängt. Denn aus politischer Sicht sind die digitalen Netzwerke innerhalb Deutschlands zum großen Teil nur ungenügend geschützt. Auf der Suche nach dem Schuldigen deuten viele mit dem Finger auf die letzte, schwarzgelbe Bundesregierung. Die habe es nicht geschafft, ihren „Entwurf eines Gesetzes zur Erhöhung der Sicherheit informationstechnischer Systeme“ (PDF) in den Bundestag einzubringen. Doch diese Kritik greift zu kurz.

Das Bundesinnenministerium hatte diesen ersten Entwurf zum großen Teil in der Zeit vor dem Bekanntwerden der NSA-Angriffe erarbeitet. Doch seitdem hat sich die Einschätzung der Lage grundsätzlich gewandelt. Viele mögliche Bedrohungen und Angriffsmöglichkeiten waren den Verantwortlichen damals entweder nicht bekannt – oder sie haben sie schlicht ignoriert.

Tatsächlich arbeiten die Verantwortlichen schon seit Herbst vergangenen Jahres an den Eckpunkten des neuen Entwurfes. Im Koalitionsvertrag haben sie die Eckpunkte festgeschrieben. So verstehe die schwarzrote Regierungskoalition das weltweite Netz als ein „globales Freiheitsversprechen“. „Spätestens der NSA-Skandal hat die Verletzlichkeit der digitalen Gesellschaft aufgezeigt“, heißt es weiter. Die IT-Sicherheit werde zu einer „wesentlichen Voraussetzung zur Wahrung der Freiheitsrechte“.

Heiko Maas, Bundesminister der Justiz und für Verbraucherschutz: Das Bundesministerium der Justiz und für Verbraucherschutz kümmert sich um den Verbraucherschutz und die Datensicherheit (Bild: Bundesministerium der Justiz und für Verbraucherschutz).

Beim Konzept orientiert sich das Innenministerium weiter an der „Cyber-Sicherheitsstrategie für Deutschland“ (PDF) aus dem Jahr 2011. Die Betreiber von „Kritischen Infrastrukturen“ werden verpflichtet, die Angriffe auf ihre Netzwerke und IT-Anlagen zu melden. Die Rolle der Behörden – wie dem Bundesamt für die Sicherheit in der Informationstechnik (BSI) – sei es, diese Meldungen zu sammeln, die Unternehmen vor Bedrohungen zu warnen und neue Sicherheitsstandards zu definieren. In diesem Kreislauf würden die Sicherheitssysteme aller Kritischen Infrastrukturen immer auf dem aktuellen Stand gehalten werden.

Auch das Ziel des ersten Gesetzentwurfs bleibt erhalten. Die Regierung möchte ein „Mindestsicherheitsniveau für IT-Systeme“ erreichen. Neu ist, dass die Verantwortlichen Cybersecurity mit dem Netzaufbau verbinden. So wird offensichtlich geprüft, ob der Internetverkehr innerhalb Europas vom Rest des Internets getrennt werden solle. An dieser Stelle gehen die Meinungen in den Ministerien allerdings auseinander.

Sigmar Gabriel, Bundesminister für Wirtschaft und Energie: Sein Ministerium hat die Federführung bei der Umsetzung der Informations- und Kommunikationsstrategie. Sie ist im Zusammenwirken von Politik, Wirtschaft und Wissenschaft entstanden. Zentrale Plattform ist der Nationale IT-Gipfel (Bild: Bundesministerium für Wirtschaft und Energie).

Ministerien streiten über „Schengen-Routing“

Quellen aus dem Innenministerium berichten, dass die verantwortlichen Ministerien „bei der Meinungsbildung seien“. Anscheinend gibt es Abwägungen zwischen dem „Schengen-Routing“ und der möglichen Pflicht, den gesamten Datenverkehr zu verschlüsseln. Daran ändert wohl auch nichts, dass Kanzlerin Merkel schon etwas vorgeprescht ist und bei einem Treffen vor gut drei Wochen mit dem französischen Staatspräsidenten François Hollande über den Aufbau eines sicheren europäischen Kommunikationsnetzwerks gesprochen hat.

In einer Einschätzung klingt das Bundeswirtschaftsministerium nachdenklich. Das Ministerium habe zum „nationalen bzw. europäischen Routing“ in der vergangenen Legislaturperiode Gespräche mit mehreren Netzbetreibern und Diensteanbietern geführt. Diese hätten sich „zu dem Vorschlag überwiegend kritisch geäußert“. Andererseits gäbe es jedoch Angebote für ein nationales Routing des Traffics. Deshalb sähe der Koalitionsvertrag „keine gesetzlichen Regelungen zum nationalen oder europäischen Routing vor“.

Nur im Ministerium für Verkehr und Infrastruktur hat sich Minister Alexander Dobrindt bereits deutlich für das „Schengen-Routing“ ausgesprochen. „Datenströme müssen innerhalb des Schengenraums fließen, ohne dass Server in den USA oder China dazwischengeschaltet sind“, forderte der CSU-Politiker in der „Welt“. „Wo es freien Personenverkehr gibt, muss es auch sicheren Datenverkehr geben.“

Tipp: Wissen Sie alles über Edward Snowden und die NSA? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de