Bitkom fordert Nachbesserungen beim IT-Sicherheitsgesetz 2.0
Berg: „Unklarheiten im Gesetz belasten 5G-Aufbau.“
Berlin, 19. Mai 2020 - Der Digitalverband Bitkom begrüßt, dass der Gesetzgebungsprozess zum neuen IT-Sicherheitsgesetz weitergeht und fordert Nachbesserungen am jüngsten Entwurf. „Die Neuauflage des IT-Sicherheitsgesetzes wird bereits seit einigen Jahren diskutiert. Der jüngste Entwurf lässt noch viele kritische Themen im Unklaren. Für Unternehmen bedeutet dies vor allem Unsicherheit über künftige Auflagen und damit verbundene Investitionen in Technik und Personal“, sagt Bitkom-Präsident Achim Berg. Das geplante Zweite Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme sieht unter anderem eine starke Kompetenzerweiterung für das Bundesamt für Sicherheit in der Informationstechnik (BSI) vor, etwa im Bereich Verbraucherschutz und Zertifizierungen. „Mit dem Gesetz würde das BSI zu einer Art Superbehörde mit sehr weitreichenden Befugnissen aufsteigen. Dabei ist fraglich, ob die vorgesehenen Aufgaben bei einer Behörde richtig aufgehoben sind oder nicht besser durch qualifizierte vertrauenswürdige Unternehmen erbracht werden sollten. Das gilt etwa für geplante Dienstleistungen im Bereich der IT-Architekturen und IT-Sicherheitsberatungen“, so Berg. Zusätzliche Weisungsbefugnisse würden den Wettbewerb im Markt stark beeinträchtigen. Unklar sei auch, ob der geplante Stellenzuwachs für die vielfältigen neuen Aufgaben ausreichend ist.
Zusammenarbeit mit Sicherheitsbehörden prüfen
Kritisch sieht Bitkom die geplante stärkere Zusammenarbeit des BSI mit Sicherheitsbehörden wie dem Bundeskriminalamt oder dem Verfassungsschutz. So sollten laut Bitkom die vom BSI aufgespürten Software-Sicherheitslücken auch weiterhin direkt an betroffene Hersteller übermittelt und nicht Ermittlungsbehörden zur Verfügung gestellt werden. Berg: „Software-Hersteller müssen unverzüglich nach Bekanntwerden über Sicherheitslücken in ihren Produkten informiert werden, um die Schwachstellen schnellstmöglich beheben zu können.“ Ein Bruch mit diesem Grundsatz würde einen massiven Vertrauensverlaust der Wirtschaft in das BSI nach sich ziehen.
Netzbetreibern fehlt weiterhin Investitionssicherheit
Auch bei den formulierten Sicherheitsanforderungen für den künftigen 5G-Netzaufbau ist der Gesetzesentwurf aus Bitkom-Sicht an entscheidenden Stellen zu unkonkret. Neben einer technischen Zertifizierung kritischer Netzkomponenten verlangt der Entwurf auch eine Garantieerklärung der Netzausrüster auf Basis politischer Kriterien „Es ist immer noch offen, wie die Bundesregierung kritische Komponenten einstuft. Die Kostenfrage bei einem nachträglichen Rückbau solcher Komponenten ist ebenfalls nicht geregelt“, so Berg. Netzbetreibern drohe damit eine den Ausbau bremsende Rechts- und Investitionsunsicherheit. „So verspielt Deutschland seine gute Ausgangsposition für einen schnellen Gigabitausbau.“
Ein Kabinettsbeschluss der Regierung und die anschließende parlamentarische Behandlung des IT-Sicherheitsgesetzes 2.0 werden für die zweite Jahreshälfte 2020 erwartet.
