IT-Sicherheitsgesetz 2.0:Superbehörde soll Deutschland gegen Hacker schützen

Lesezeit: 4 Min.

Soll sich um 70 Prozent vergrößern: Das Bundesamt für Sicherheit in der Informationstechnik. 800 Stellen sollen dort geschaffen werden, um Deutschlands Cyber-Infrastruktur zu härten. (Foto: Oliver Berg/picture alliance / Oliver Berg)

Das neue IT-Sicherheitsgesetz erlaubt es Huawei, unter Auflagen beim deutschen 5G-Ausbau mitzumachen. Das BSI wird massiv aufgerüstet und soll sich bald auch um die Bürger kümmern.

Von Constanze von Bullion, Berlin, und Max Muth

Spätestens in der Pandemie hat sich gezeigt, dass das Internet zur zentralen Infrastruktur des Lebens geworden ist. Allerdings auch, dass es viele Probleme hat: wackelige Netze, ungebetene Gäste in Zoom-Konferenzen und gehackte Unternehmen. Einige dieser Probleme soll das "Zweite Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme" lösen, das am Mittwoch im Kabinett beschlossen wurde. Es sieht vor, dass das ganze Land "gehärtet" wird, wie Sicherheitsexperten sich ausdrücken, wenn sie digitale Geräte und Netze sicherer machen.

Bis zuletzt allerdings gab es heftige Kontroversen um das Gesetz. Ein erster Entwurf von 2019 aus dem federführenden Bundesinnenministerium sah vor, dass Polizisten Verdächtige unter Androhung von Beugehaft zwingen können, ihr Passwort zu verraten. Das Vorhaben wurde nach heftiger Kritik verworfen. Dann passierte lange wenig. Seit dem 19. November 2020 wurden vier Versionen des Gesetzes bekannt, hinter den Kulissen rangen bis zuletzt die zuständigen Bundesministerien miteinander.

Auch Huawei darf bei 5G mitmachen - bei strengen Auflagen

Besonders umstritten war der Teil des Gesetzes, der der Bundesregierung mehr Kontrolle beim Bau kritischer Infrastrukturen sichern soll. Gemeint sind Mobilfunknetze, aber auch Energieversorger, Wasserwerke, Krankenhäuser, die digitalen Netze der Bundesregierung oder des Güterverkehrs. Würden sie lahmgelegt, etwa durch einen Cyberangriff, wäre die Grundversorgung in Deutschland in Gefahr.

Um solche kritischen Infrastrukturen zu schützen, sieht das IT-Sicherheitsgesetz 2.0 nun ein zweistufiges Prüfsystem vor. Es erlaubt dem Bundesamt für Sicherheit in der Informationstechnik (BSI) auf technischer Ebene die Sicherheitsrelevanz bestimmter Komponenten zu prüfen. Gibt es Hinweise auf ein Sicherheitsrisiko für die Bundesrepublik, kann eine politische Prüfung die Verlässlichkeit des Herstellers unter die Lupe nehmen.

Nicht explizit erwähnt, aber Anlass dieser doppelten Prüfung ist der chinesische Hersteller Huawei. Dessen Bauteile sind technisch geeignet für geplanten den Bau des 5G-Mobilfunknetzes. Weil chinesische Firmen aber verpflichtet sind, mit dem Geheimdienst des autoritär regierten Staates zu kooperieren, wird nicht nur in den USA, sondern auch in der Bundesregierung Spionage befürchtet - im schlimmsten Fall die Lahmlegung westlicher Digitalnetze. In der Bundesregierung wuchs das Unbehagen zuletzt.

Das Gesetz sieht nun vor, dass sämtliche Hersteller, die kritische Komponenten anbieten, die Sicherheit ihrer gesamten Lieferkette nachweisen müssen. Gibt es Bedenken, etwa weil ein sicherheitsrelevantes Bauteil von einem Hersteller aus einem problematischen Staat angeboten wird, kann die Komponente ausgeschlossen werden, vor Einbau. "Es geht nicht um einzelne Unternehmen", sagte der Sprecher des Bundesinnenministeriums am Mittwoch. Angeboten werde ein "anbieterneutraler Mechanismus".

Die Bundesregierung hat sorgsam darauf geachtet, keine Handelspartner in China zu verprellen und eine gerichtsfeste Lösung zu finden, einerseits. Andererseits soll einem Vordringen fremder Geheimdienste in kritische Systeme vorgebeugt werden. Was aber passiert, wenn Wirtschaftsinteressen in Widerspruch zu sicherheitspolitischen Aspekten geraten? Hier verhakte sich das Bundesinnenministerium über Wochen mit dem Wirtschaftsministerium und dem Auswärtigen Amt. Nun müssen alle drei Ressorts sich einig werden, bevor eine Komponente ausgeschlossen wird. Gibt es keinen Konsens, geht die Sache ins Kabinett, wo das Kanzleramt Richtlinienkompetenz hat.

Der Sprecher des Innenministeriums nannte die Kabinettsbefassung eine "Erfolgsmeldung". Im Auswärtigen Amt sprach man von einem guten Kompromiss. Verärgert zeigten sich die Verbände, denen das Innenministerium in einem Fall nur 27 Stunden zur Beurteilung des Entwurfs eingeräumt hatte. Das Ministerium habe offensichtlich kein Interesse an externer Expertise. Dabei habe das Gesetz erhebliche Auswirkungen auf die deutsche IT-Landschaft.

Das BSI wird Superbehörde

Eine Schlüsselrolle in der deutschen IT-Sicherheitslandschaft kommt dem Bundesamt für Sicherheit in der Informationstechnik (BSI) zu. Das soll nun neue Aufgaben bekommen. So soll das Amt ein freiwilliges IT-Sicherheitszertifikat für Produkte und Dienstleistungen vergeben. Hersteller lassen ihre Produkte überprüfen, wenn alles passt, kommt ein Stempel drauf, eine Art "Blauer Engel" für IT-Sicherheit also. Künftig soll das BSI auch für die IT-Sicherheit aller Bundesbehörden zuständig sein und Standards festlegen und kontrollieren. Das soll vor einen Mindestschutz vor feindlichen Hackern garantieren. Ausgenommen sind nur die Kommunikationssysteme der Streitkräfte und die des Auswärtigen Amts im Ausland. Um die vielen neuen Aufgaben zu bewältigen, entstehen bei der Behörde rund 800 neue Arbeitsplätze. Auch Bundeskriminalamt und Bundesnetzagentur bekommen mehr Stellen, nämlich 90 beziehungsweise 34.

Verbraucherportal soll Bürgern IT-Sicherheit geben

In Zukunft soll das BSI auch die Bürger mehr zum Thema IT-Sicherheit beraten. Dazu soll es ein Verbraucherportal geben, auf dem etwa aktuelle Sicherheitshinweise über Lücken in wichtigen Produkten und Betriebssystemen veröffentlicht werden. Auch über aktuell laufende Betrugsversuche im Netz soll auf dem Portal informiert werden. Dort sollen auch Herstellerinformationen zu Produkten mit dem neuen IT-Sicherheitszertifikat abrufbar sein, damit Bürger ihre Kaufentscheidungen für IT-Produkte informierter treffen können.

Mehr Infrastruktur soll als "kritisch" gelten

Große Teile des Gesetzes sind für Unternehmen interessanter als für die Endverbraucher. So soll das BSI besondere Prüf- und Kontrollbefugnisse für deutlich größere Teile der Wirtschaft erhalten als bisher. Betreiber kritischer Infrastrukturen im engeren Sinne müssen Verbindungsdaten ihrer Netze künftig vier Jahre speichern, um mögliche Cyberangriffe auch dann verfolgen zu können, wenn sie zu spät entdeckt werden. Zudem müssen die Unternehmen automatisierte Software zur Angriffserkennung einsetzen, ansonsten drohen ihnen teils hohe Bußgelder. Die hundert größten deutschen Unternehmen und Rüstungsunternehmen sollen dem BSI künftig mehr Infos über ihre IT-Verteidigung liefern müssen und ebenfalls Mindeststandards einhalten. Große Telekommunikationsdienstleister werden verpflichtet, auf Anordnung des BSI bestimmte Verbindungen umzuleiten oder zu kappen, wenn diese etwa für Cyberangriffe oder Bot-Traffic verwendet werden.

Für Unternehmen können Verstöße teuer werden

Große Unternehmen müssen dem BSI bald Sicherheitsvorfälle melden, auf Anfragen des BSI zügig antworten und ihre Systeme auf einem angemessenen Sicherheitsniveau halten. Außerdem müssen die Firmen darauf achten, dass ihre Prüfsiegel und Zertifikate immer aktuell sind. Halten sich Unternehmen nicht an die Vorgaben, kann es schnell teuer werden: Bis zu zwei Millionen Euro werden etwa fällig, wenn ein Unternehmen ein ungültiges Cybersicherheitszertifikat nach EU-Norm verwendet. Wer das neue IT-Sicherheitskennzeichen zu Unrecht führt, muss mit einer Strafe von bis zu eine Million Euro rechnen. Bis zu 100 000 Euro fallen an, wenn die fürs BSI zuständigen Kontakte in Unternehmen nicht erreichbar sind, BSI-Vertreter nicht rechtzeitig Zugang zu Geschäftsräumen bekommen oder Unterlagen nicht fristgerecht eingereicht werden.

© SZ - Rechte am Artikel können Sie hier erwerben.
Zur SZ-Startseite

Lesen Sie mehr zum Thema

Jetzt entdecken

Gutscheine: