Chaos Computer Club kritisiert IT-Sicherheitsgesetz

Der Chaos Computer Club (CCC) hat das IT-Sicherheitsgesetz der Bundesregierung scharf kritisiert. Keine der im Gesetzentwurf vorgesehenen Maßnahmen sei geeignet, die IT-Sicherheit in Deutschland tatsächlich zu erhöhen, führte CCC-Sprecher Linus Neumann in einer ausführlichen Stellungnahme (PDF) aus.

Neumanns Stellungnahme galt der gestrigen öffentlichen Anhörung im Innenausschuss des Deutschen Bundestags zum Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme, zu der er als einer der Sachverständigen eingeladen war. Kritisch äußerten sich dort auch andere Sachverständige sowie Vertreter der Industrie.

Für unwirksam hält der CCC die vorgesehenen Schritte, weil sie zu einer weiteren Bürokratisierung der IT-Sicherheit durch umfangreiche Auskunfts-, Dokumentations- und Berichtspflichten führen. Das aber gehe zulasten einer dringend erforderlichen pro-aktiven Herangehensweise zur effektiven Erhöhung der IT-Sicherheit. Es sei versäumt worden, eine solche zu erzwingen oder zumindest Anreize dafür zu geben. Insbesondere im Bereich der kritischen Kommunikationsinfrastrukturen sollten starke Sicherheitsstandards vorgeschrieben werden – und eine Ende-zu-Ende-Verschlüsselung zum Standard gehören.

Das im Gesetzentwurf vorgesehene exklusive Sammeln von Angriffswissen über Sicherheitslücken und -vorfälle beim Bundesamt für Sicherheit in der Informationstechnik (BSI) sieht der Chaos Computer Club besonders kritisch. Spätestens seit durch interne Kommunikation zwischen Innenministerium und BSI bekannt wurde, dass es aktiv am Staatstrojaner mitgearbeitet hatte, genieße das Amt kein Vertrauen mehr. Schon länger fordert der Hackerverein, das BSI zu einer vom Innenministerium unabhängigen Bundesbehörde mit klarem Sicherheitsauftrag zu machen, die sich grundsätzlich nicht an Maßnahmen beteiligen darf, die die IT-Sicherheit verringern.

„Für die im Gesetzentwurf mandatierte langfristige Vorhaltung von Verkehrsdaten zum Zwecke der Störungsaufklärung gibt es aus technischer Perspektive keine Grundlage“, heißt es weiter in der Stellungnahme. „Demgegenüber steht ein erhöhtes Missbrauchspotenzial, das zu einer effektiven Erhöhung des Risikos führt.“ Gezielte Maßnahmen zum Schutz der Endnutzer hingegen vermisst der CCC: „Obwohl Privatnutzer die häufigsten Opfer von Angriffen auf informationsverarbeitende Systeme sind, findet sich im vorliegenden Gesetzesentwurf weder eine Initiative noch eine Absichtserklärung zur Änderung dieser Situation.“

Tipp: Kennen Sie die Geschichte der Computerviren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de