IT-Sicherheitsgesetz

Das IT-Sicherheitsgesetz 2.0 ist verabschiedet

21.05.2021
Von   IDG ExpertenNetzwerk
Neben seiner umfassenden Forschungs- und Projekterfahrung, die Dennis-Kenji Kipker als Wissenschaftlicher Geschäftsführer an der Universität Bremen gewinnen konnte, ist bei ihm auch die Praxis als Legal Advisor des VDE, Abteilung CERT@VDE, nicht zu kurz gekommen. Daneben ist er noch im Policy-Bereich als Mitglied des Vorstandes der Europäischen Akademie für Informationsfreiheit und Datenschutz (EAID) tätig. Der Autor kümmert sich außerdem als Geschäftsführer von Certavo gleichermaßen um die IT-Sicherheit und den Datenschutz.
Es war eine schwierige Geburt: Am Freitag, den 7. Mai 2021, hat das viel erwartete IT-Sicherheitsgesetz 2.0 (IT-SiG 2.0) den Bundesrat passiert und kann nun nach der Veröffentlichung im Bundesgesetzblatt noch im Sommer in Kraft treten.

Lange erwartet wurde die neue Regulierung der IT-Sicherheit in Deutschland. Nach mehrjährigem Ringen um eine gesetzliche Grundlage zur flächendeckenden Verbesserung der IT-Sicherheit in Deutschland war es für die Regierungskoalition ein zentrales Anliegen, möglichst zeitgleich mit der neuen Cyber-Sicherheitsstrategie mit dem IT-Sicherheitsgesetz 2.0 ( IT-SiG 2.0) für Deutschland die dringend benötigten gesetzlichen Grundlagen zu schaffen.

Das neue IT-Sicherheitsgesetz 2.0 - was lange währt wird nicht unbedingt gut.
Das neue IT-Sicherheitsgesetz 2.0 - was lange währt wird nicht unbedingt gut.
Foto: Sergey Nemirovsky - shutterstock.com

IT-Sicherheit gibt Anlass für Streit

Dass das Thema IT-Sicherheit gesetzlich nicht unumstritten ist, wurde schon bei der Verabschiedung des Gesetzes im Bundestag am 23. April 2021 deutlich: Die Koalitionsfraktionen stimmten für, und die Oppositionsfraktionen gegen das Gesetz. Im laufenden Gesetzgebungsverfahren wurden außerdem verschiedene Entschließungs- und Oppositionsanträge abgelehnt, darunter auch ein Antrag der FDP-Fraktion, das BSI aus der Zuständigkeit des Bundesinnenministeriums herauszulösen und einem neu zu gründenden Digitalministerium zu unterstellen.

Im Kern ist vieles gleich geblieben

Inhaltlich sind viele Aspekte, die bereits Gegenstand des Regierungsentwurfes aus dem Dezember 2020 gewesen sind, erhalten geblieben und haben Modifikationen im Detail erfahren. Schwerpunkte des IT-SiG 2.0 sind

  • die Stärkung des BSI,

  • Maßnahmen zur Förderung der digitalen Souveränität und

  • die Verbesserung des Verbraucherschutzes.

Mehr Schatten als Licht

Insgesamt ist das Ergebnis der Änderungen am Regierungsentwurf zum IT-SiG 2.0, die durch den Innenausschuss empfohlen und letztlich beschlossen wurden, ernüchternd. Im Wesentlichen positiv hervorzuheben ist nur, dass in Teilen vom ausufernden Einsatz Technischer Richtlinien (TR) abgesehen wurde, um im IT-SiG 2.0 festgelegte Anforderungen, so für den "Stand der Technik", das IT-Sicherheitskennzeichen und die Herstellererklärung zum Einsatz von kritischen Komponenten zu konkretisieren. So können zumindest nationale Alleingänge bei der Bestimmung allgemeingültiger technischer Maßstäbe weitgehend ausgeschlossen werden.

Ds IT-SiG 2.0 birgt noch viel Rechtsunsicherheit

Darüber hinaus sind aber nach wie vor zahlreiche Regelungen im IT-SiG 2.0 kritikwürdig und es ist bedauerlich, dass der Gesetzgeber trotz der vielfältigen Stellungnahmen von Unternehmen, Verbänden, aus der Wissenschaft und von zivilgesellschaftlichen Akteuren nicht erheblich nachgebessert hat. So werden zentrale Anforderungen des Gesetzes nach wie vor der Konkretisierung durch untergesetzliche Vorgaben überlassen, was bei möglicherweise betroffenen Unternehmen zu Rechtsunsicherheit führen kann und die eigentlich schon im Gesetzgebungsverfahren zum IT-SiG 2.0 zu führende rechtspolitische Debatte zur Phase der Umsetzung hin verlagert.

Keine digitale Souveränität allein durch Gesetze

Die langen Speicherfristen für Protokolldaten sind aus datenschutzrechtlicher Sicht nach wie vor problematisch, ebenso der Umgang mit Schwachstellen. Die Anzeige- und Untersagungsregelung durch das Bundesinnenministerium für den Einsatz von kritischen Komponenten geht am Ziel vorbei, einen Mehrwert für die digitale Souveränität Deutschlands zu bieten.

Auch hier kann nach wie vor auf die vielfach geäußerten kritischen Stimmen verwiesen werden: So wurde nicht nur angezweifelt, ob eine Garantieerklärung zur IT-Sicherheit überhaupt technisch realisierbar ist, sondern auch, ob die vorgesehene Sanktionsbefugnis des Bundesinnenministeriums tatsächlich ein durchgreifendes politisches Mittel sein kann, um digitale Souveränität im globalen Kontext zu schaffen.

Lesetipp: Gaia-X Cloud - Die Rettung für unsere digitale Souveränität?

Mehr digitaler Verbraucherschutz nur in der Theorie

Letztlich scheint darüber hinaus auch das freiwillige IT-Sicherheitskennzeichen für den Verbraucher einen konkreten Mehrwert nur auf dem Papier zu bieten, da die Einhaltung von dessen Anforderungen ausweislich des Gesetzeswortlauts nur administrativ als Bestandteil einer "Plausibilitätsprüfung" nachvollzogen wird.

Lesetipp: Produkttests ja - aber bitte mit Standards

Ebenso wird nicht ersichtlich, ob das Kennzeichen den Verbraucher tatsächlich erreicht, oder nur auf einen fiktiven "BSI-Verbraucher" abgestellt wird, der politisch zur Bedarfsherleitung gewünscht ist.

Fazit: Das IT-SiG "1.0" war besser

Im Ergebnis wird die nationale Lage der IT-Sicherheit durch das IT-SiG 2.0 nicht flächendeckend und auf gleichbleibend hohem Niveau verbessert. Gegenüber seiner Vorgängerregelung aus 2015 muss das IT-SiG 2.0 erhebliche Abstriche machen, die das Resultat einer langwierigen, streckenweise ziellosen und unfruchtbaren politischen Debatte sind. (bw)