IT-Sicherheitsgesetz 2.0 vom Bundestag beschlossen: Mehr Schatten als Licht

von Prof. Dr. Dennis-Kenji Kipker, veröffentlicht am 04.05.2021

Es war eine schwierige Geburt: Am Freitag, den 23.04.2021, hat der Bundestag nach einer nur halbstündigen Aussprache das Zweite Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-SiG 2.0) in der vom Innenausschuss geänderten Fassung (Drs. 19/28844) angenommen. Dabei stimmten die Koalitionsfraktionen für und die Oppositionsfraktionen gegen das Gesetz. Im laufenden Gesetzgebungsverfahren wurden verschiedene Entschließungs- und Oppositionsanträge abgelehnt, darunter auch ein Antrag der FDP-Fraktion, das BSI aus der Zuständigkeit des BMI herauszulösen und einem neu zu gründenden Digitalministerium zu unterstellen.

Inhaltlich sind viele Aspekte, die bereits Gegenstand des Regierungsentwurfes aus 2020 gewesen sind, erhalten geblieben und haben Modifikationen im Detail erfahren. Schwerpunkte des IT-SiG 2.0 sind die Stärkung des BSI, Maßnahmen zur Förderung der digitalen Souveränität und die Verbesserung des Verbraucherschutzes.

Insgesamt ist das Ergebnis der Änderungen am Regierungsentwurf zum IT-SiG 2.0, die durch den Innenausschuss empfohlen wurden, ernüchternd. Im Wesentlichen positiv hervorzuheben ist nur, dass in Teilen vom ausufernden Einsatz Technischer Richtlinien (TR) abgesehen wurde, um im IT-SiG 2.0 festgelegte Anforderungen, so für den „Stand der Technik“, das IT-Sicherheitskennzeichen und die Herstellererklärung zum Einsatz von kritischen Komponenten zu konkretisieren. So können zumindest nationale Alleingänge bei der Bestimmung allgemeingültiger technischer Maßstäbe weitgehend ausgeschlossen werden. Darüber hinaus sind aber nach wie vor zahlreiche Regelungen im IT-SiG 2.0 kritikwürdig und es ist bedauerlich, dass der Gesetzgeber trotz der vielfältigen Stellungnahmen von Unternehmen, Verbänden, aus der Wissenschaft und von zivilgesellschaftlichen Akteuren nicht erheblich nachgebessert hat. So werden zentrale Anforderungen des Gesetzes nach wie vor der Konkretisierung durch untergesetzliche Vorgaben überlassen, was bei möglicherweise betroffenen Unternehmen zu Rechtsunsicherheit führt und die eigentlich jetzt zu führende rechtspolitische Debatte vom IT-SiG 2.0 weg verlagert. Die langen Speicherfristen für Protokolldaten sind aus datenschutzrechtlicher Sicht nach wie vor problematisch, ebenso der Umgang mit Schwachstellen. Die Anzeige- und Untersagungsregelung durch das BMI für den Einsatz von kritischen Komponenten geht am Ziel vorbei, einen Mehrwert für die digitale Souveränität Deutschlands zu bieten. Auch hier kann nach wie vor auf die vielfach geäußerten kritischen Stimmen verwiesen werden: So wurde nicht nur angezweifelt, ob eine Garantieerklärung zur IT-Sicherheit überhaupt technisch realisierbar ist, sondern auch, ob die vorgesehene Sanktionsbefugnis des BMI tatsächlich ein durchgreifendes politisches Mittel sein kann, um digitale Souveränität im globalen Kontext zu schaffen. Letztlich scheint darüber hinaus auch das freiwillige IT-Sicherheitskennzeichen für den Verbraucher einen konkreten Mehrwert nur auf dem Papier zu bieten, da die Einhaltung von dessen Anforderungen ausweislich des Gesetzeswortlauts nur administrativ als Bestandteil einer „Plausibilitätsprüfung“ nachvollzogen wird. Ebenso wird nicht ersichtlich, ob das Kennzeichen den Verbraucher tatsächlich erreicht, oder nur auf einen fiktiven „BSI-Verbraucher“ abgestellt wird, der politisch zur Bedarfsherleitung gewünscht ist.

Im Ergebnis wird die nationale Lage der IT-Sicherheit durch das IT-SiG 2.0 nicht flächendeckend und auf gleichbleibend hohem Niveau verbessert. Gegenüber seiner Vorgängerregelung aus 2015 muss das IT-SiG 2.0 erhebliche Abstriche machen, die das Resultat einer langwierigen, streckenweise ziellosen und unfruchtbaren politischen Debatte sind.

Das IT-SiG 2.0 wurde am 07.05.2021 im Bundesrat bestätigt (https://www.bundesrat.de/DE/plenum/bundesrat-kompakt/21/1004/1004-pk.html#top-10). Es tritt mit der sich anschließenden Veröffentlichung im Bundesgesetzblatt in Kraft.

Der vollständige Beitrag kann eingesehen werden in MMR-Aktuell 2021, 438414 bzw. unter diesem Link: MMR-Aktuell 2021, 438414 - beck-online.

Diesen Beitrag per E-Mail weiterempfehlenDruckversion

Hinweise zur bestehenden Moderationspraxis
Kommentar schreiben

2 Kommentare

Kommentare als Feed abonnieren

Auch im Bundesrat hat die Mehrheit inzwischen zugestimmt,

angeblich "zähneknirschend",

so jedenfalls schreibt es Stefan Krempl bei Heise:

https://www.heise.de/news/Bundesrat-laesst-IT-Sicherheitsgesetz-2-0-zaehneknirschend-passieren-6041685.html

5

Solche Sachen durchzudrücken, scheint derzeit nicht allzuschwer zu sein, da Corona das Alles beherrschende (insbesondere das Fernsehen beherrschende) Thema ist.

2008/2009 sah das noch anders aus, als zur "Freiheit-statt-Angst"-Demo nach Berlin rund Hunderttausend kamen. Oder auch 2011/2012, als die Piratenpartei populär wurde und Wahlerfolge feierte.

Der Widerstand und die Kritik der derzeitigen Bundestags-Opposition

siehe dazu etwa:

https://www.heise.de/news/Geheimdienste-CDU-CSU-sichert-passgenauen-Staatstrojaner-Einsatz-zu-6041762.html

ist nicht sehr laut, und wird von der Öffentlichkeit derzeit auf Corona fixierten breiteren Öffentlichkeit wohl keider kaum wahrgenommen.

5

Kommentar hinzufügen