[Other] IT-Sicherheitsgesetz 2.0: "Mittelfinger ins Gesicht der Zivilgesellschaft"

Luke_Sky123 · 18.12.20, 10:52

Zitat:

Das Innenministerium hat nach wenigen Tagen den nächsten Entwurf für die Reform des IT-Sicherheitsgesetzes vorgelegt – mit einer Kommentarfrist von 24 Stunden.

Bei Verbänden und anderen Interessensvertretern wächst der Unmut über das Hauruck-Verfahren, mit dem die Bundesregierung während der Corona-Pandemie kurz vor Weihnachten brisante Gesetzesvorhaben durchbringen will. Bei der seit Jahren umstrittenen Novelle des IT-Sicherheitsgesetzes platzte Experten der AG Kritis jetzt der Kragen angesichts der Aufforderung, den jüngsten Entwurf binnen 24 Stunden zu kommentieren: "Eine so kurze Frist ist der ministerielle Mittelfinger ins Gesicht der Zivilgesellschaft!"
Hauruck-Verfahren

Das Bundesinnenministerium (BMI) schickte die vierte, nun weitgehend mit den anderen Ressorts abgestimmte Version des umfangreichen Gesetzesentwurfs am Mittwochvormittag an Branchenvertreter. Dazu kam der Hinweis, man möge eine Stellungnahme zu den 108 Seiten bitte bis Donnerstag um 14 Uhr einreichen. Ein von einem Anwalt publizierter Abgleich mit dem vorherigen, am 2. Dezember verschickten Entwurf zeigt aber schon beim Überfliegen, dass das BMI noch signifikante Änderungen vorgenommen hat.

"Deutlicher kann das BMI nicht mehr hervorheben, dass es nicht wirklich um eine Beteiligung der Zivilgesellschaft geht, sondern eigentlich nur ein Durchwinken vorgesehen wird", moniert die AG Kritis. Auch bei der Veröffentlichung des dritten Entwurfs habe das Ressort zunächst nur 2,5 Werktage Zeit für Kommentare gegeben. Der neue Anlauf lege nahe, dass die Initiative "trotz durchgängig kritischer Stimmen" noch unbedingt am kommenden Mittwoch das Bundeskabinett passieren solle. Ähnliche Bedenken meldete der eco-Verband der Internetwirtschaft an.
Zu Recht "auf der Zinne"

Die betroffenen Verbände und Organisationen seien völlig zu Recht "auf der Zinne", erklärte der Grünen-Fraktionsvize Konstantin von Notz gegenüber heise online. "Das Gesetz ist seit Jahren überfällig. Es kam nie. Nun muss es plötzlich ganz schnell gehen." Gerade mit Blick auf die vielen anderen aktuellen Referentenentwürfe wie etwa zur Novelle des Telekommunikationsgesetzes dränge sich der Eindruck auf, "das Vorgehen hätte System". Dies sei gerade in verfassungsrechtlich heiklen Feldern "schlicht inakzeptabel". Die Fristen kämen "einem faktischen Ausschluss von Beteiligung gleich".

Prinzipiell bleibt das BMI auch mit dem vierten Entwurf bei dem Ansatz, das Bundesamt für Sicherheit in der Informationstechnik (BSI) zu einer mächtigen Cyber-Behörde mit Hackerbefugnissen aufzurüsten. Mit 799 neuen Stellen, die nun 74,24 statt früher 56,9 Millionen Euro Personalkosten verursachen, soll das Amt ein wesentlicher Akteur im Kampf gegen Botnetze, vernachlässigte Geräte im Internet der Dinge oder Verbreiter von Schadsoftware werden.

Das BSI kann dem Plan zufolge "Protokolldaten" einschließlich personenbeziehbarer Nutzerinformationen wie IP-Adressen, die bei der Online-Kommunikation zwischen Bürgern und Verwaltungseinrichtungen des Bundes sowie Parlamentariern anfallen, künftig 12 Monate lang speichern und auswerten. Die Anforderungen dafür hat das BMI zusammengestrichen. So fehlt nun etwa die Auflage, dass die Protokolldaten nur zur Abwehr von Gefahren genutzt werden dürfen, die von einem gefundenen Schadprogramm ausgehen oder zu einschlägigen Erkennungsmaßnahmen erforderlich sein könnten.

Dazu kommen interne "Protokollierungsdaten" aus sämtlichen Behörden in Form von Aufzeichnungen über die Nutzungsform von IT. Damit sollen sich etwa weit verbreitete Trojaner wie Emotet sowie komplexe, oft von Geheimdiensten ausgehende komplexe Angriffe besser erkennen lassen.

Die Behörde darf dem Entwurf nach dazu auch "Portscans" durchführen dürfen sowie "Sinkholes" und "Honeypots" zu betreiben, um IT-Angreifern einfacher auf die Spur zu kommen. Um bei Portscans den Raum der statischen IP-Adressen einzuschränken, soll das BSI nun aber eine "Weiße Liste" von nutzbaren IP-Adressbereichen aufstellen und ständig anpassen. Damit soll etwa sichergestellt werden, dass sich die gescannten Systeme "regelmäßig in Deutschland befinden".

Nicht mehr enthalten ist eine Änderung des Telemediengesetzes, mit dem das BMI als Konsequenz aus dem Doxxing-Vorfall Ende 2018 eine weitere Meldepflicht eingeführt werden sollte. Anbieter hätten demnach das Bundeskriminalamt informieren und etwa Bestandsdaten und gegebenenfalls Passwörter von Geschädigten beziehungsweise Tatverdächtigen mitliefern müssen, wenn sie Kenntnis haben von einem größeren Datenleak.

Link:[ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ]

Da fällt einem nichts mehr ein , was da in Coronazeiten passiert