IT-Sicherheitsgesetz

Das IT-Sicherheitsgesetz 2.0 ist verabschiedet

21.05.2021

Von

Dennis-Kenji Kipker (Experte) IDG ExpertenNetzwerk

Dennis-Kenji Kipker arbeitet als Professor für IT-Sicherheitsrecht an der Hochschule Bremen an der Schnittstelle von Recht und Technik in der Informationssicherheit und im Datenschutz. Dabei kommt bei ihm auch die Praxis nicht zu kurz: So ist er außerdem als Legal Advisor des VDE, CERT@VDE tätig und prägt im Policy-Bereich als Mitglied des Vorstandes der Europäischen Akademie für Informationsfreiheit und Datenschutz (EAID) in Berlin die zukünftige europäische und deutsche Cyber-Politik maßgeblich mit. Als Geschäftsführer des Beratungsunternehmens Certavo in Bremen setzt er sich überdies für die Entwicklung und Umsetzung pragmatischer Lösungen zur digitalen Compliance-Konformität von Unternehmen ein.“

Alle Posts des Autors Email: Connect:

Es war eine schwierige Geburt: Am Freitag, den 7. Mai 2021, hat das viel erwartete IT-Sicherheitsgesetz 2.0 (IT-SiG 2.0) den Bundesrat passiert und kann nun nach der Veröffentlichung im Bundesgesetzblatt noch im Sommer in Kraft treten.

Lange erwartet wurde die neue Regulierung der IT-Sicherheit in Deutschland. Nach mehrjährigem Ringen um eine gesetzliche Grundlage zur flächendeckenden Verbesserung der IT-Sicherheit in Deutschland war es für die Regierungskoalition ein zentrales Anliegen, möglichst zeitgleich mit der neuen Cyber-Sicherheitsstrategie mit dem IT-Sicherheitsgesetz 2.0 ( IT-SiG 2.0) für Deutschland die dringend benötigten gesetzlichen Grundlagen zu schaffen.

Das neue IT-Sicherheitsgesetz 2.0 - was lange währt wird nicht unbedingt gut.
Foto: Sergey Nemirovsky - shutterstock.com

IT-Sicherheit gibt Anlass für Streit

Dass das Thema IT-Sicherheit gesetzlich nicht unumstritten ist, wurde schon bei der Verabschiedung des Gesetzes im Bundestag am 23. April 2021 deutlich: Die Koalitionsfraktionen stimmten für, und die Oppositionsfraktionen gegen das Gesetz. Im laufenden Gesetzgebungsverfahren wurden außerdem verschiedene Entschließungs- und Oppositionsanträge abgelehnt, darunter auch ein Antrag der FDP-Fraktion, das BSI aus der Zuständigkeit des Bundesinnenministeriums herauszulösen und einem neu zu gründenden Digitalministerium zu unterstellen.

Im Kern ist vieles gleich geblieben

Inhaltlich sind viele Aspekte, die bereits Gegenstand des Regierungsentwurfes aus dem Dezember 2020 gewesen sind, erhalten geblieben und haben Modifikationen im Detail erfahren. Schwerpunkte des IT-SiG 2.0 sind

die Stärkung des BSI,
Maßnahmen zur Förderung der digitalen Souveränität und
die Verbesserung des Verbraucherschutzes.

Mehr Schatten als Licht

Insgesamt ist das Ergebnis der Änderungen am Regierungsentwurf zum IT-SiG 2.0, die durch den Innenausschuss empfohlen und letztlich beschlossen wurden, ernüchternd. Im Wesentlichen positiv hervorzuheben ist nur, dass in Teilen vom ausufernden Einsatz Technischer Richtlinien (TR) abgesehen wurde, um im IT-SiG 2.0 festgelegte Anforderungen, so für den "Stand der Technik", das IT-Sicherheitskennzeichen und die Herstellererklärung zum Einsatz von kritischen Komponenten zu konkretisieren. So können zumindest nationale Alleingänge bei der Bestimmung allgemeingültiger technischer Maßstäbe weitgehend ausgeschlossen werden.

Ds IT-SiG 2.0 birgt noch viel Rechtsunsicherheit

Darüber hinaus sind aber nach wie vor zahlreiche Regelungen im IT-SiG 2.0 kritikwürdig und es ist bedauerlich, dass der Gesetzgeber trotz der vielfältigen Stellungnahmen von Unternehmen, Verbänden, aus der Wissenschaft und von zivilgesellschaftlichen Akteuren nicht erheblich nachgebessert hat. So werden zentrale Anforderungen des Gesetzes nach wie vor der Konkretisierung durch untergesetzliche Vorgaben überlassen, was bei möglicherweise betroffenen Unternehmen zu Rechtsunsicherheit führen kann und die eigentlich schon im Gesetzgebungsverfahren zum IT-SiG 2.0 zu führende rechtspolitische Debatte zur Phase der Umsetzung hin verlagert.

Keine digitale Souveränität allein durch Gesetze

Die langen Speicherfristen für Protokolldaten sind aus datenschutzrechtlicher Sicht nach wie vor problematisch, ebenso der Umgang mit Schwachstellen. Die Anzeige- und Untersagungsregelung durch das Bundesinnenministerium für den Einsatz von kritischen Komponenten geht am Ziel vorbei, einen Mehrwert für die digitale Souveränität Deutschlands zu bieten.

Auch hier kann nach wie vor auf die vielfach geäußerten kritischen Stimmen verwiesen werden: So wurde nicht nur angezweifelt, ob eine Garantieerklärung zur IT-Sicherheit überhaupt technisch realisierbar ist, sondern auch, ob die vorgesehene Sanktionsbefugnis des Bundesinnenministeriums tatsächlich ein durchgreifendes politisches Mittel sein kann, um digitale Souveränität im globalen Kontext zu schaffen.

Lesetipp: Gaia-X Cloud - Die Rettung für unsere digitale Souveränität?

Mehr digitaler Verbraucherschutz nur in der Theorie

Letztlich scheint darüber hinaus auch das freiwillige IT-Sicherheitskennzeichen für den Verbraucher einen konkreten Mehrwert nur auf dem Papier zu bieten, da die Einhaltung von dessen Anforderungen ausweislich des Gesetzeswortlauts nur administrativ als Bestandteil einer "Plausibilitätsprüfung" nachvollzogen wird.

Lesetipp: Produkttests ja - aber bitte mit Standards

Ebenso wird nicht ersichtlich, ob das Kennzeichen den Verbraucher tatsächlich erreicht, oder nur auf einen fiktiven "BSI-Verbraucher" abgestellt wird, der politisch zur Bedarfsherleitung gewünscht ist.

Fazit: Das IT-SiG "1.0" war besser

Im Ergebnis wird die nationale Lage der IT-Sicherheit durch das IT-SiG 2.0 nicht flächendeckend und auf gleichbleibend hohem Niveau verbessert. Gegenüber seiner Vorgängerregelung aus 2015 muss das IT-SiG 2.0 erhebliche Abstriche machen, die das Resultat einer langwierigen, streckenweise ziellosen und unfruchtbaren politischen Debatte sind. (bw)

Aktuelle IDG-Studien

Seit der Einführung von ChatGPT beherrscht kein anderes IT-Thema so die Schlagzeilen wie (generative) künstliche Intelligenz. Wir schauen auf Einsatzszenarien, Hintergründe und Folgen.

Mehr zur Studie erfahren
Der Einsatz von No-/Low-Code boomt. Lange dauert es wohl nicht mehr, bis Software-Entwicklung und Prozessmodellierung via grafischer UI das klassische Coding überholen. Mehr in der Studie.

Mehr zur Studie erfahren
Unternehmen rüsten auf: Je komplexer die Gefährdungslage, desto stärker der Bedarf an Security Services. Dazu alles zu Cyberattacken und Gegenmaßnahmen.

Mehr zur Studie erfahren
Hybrid Work: Wer als Arbeitgeber für die jungen Generationen interessant und attraktiv sein will, darf nicht auf eine moderne IT-Infrastruktur und -Arbeitsumgebung verzichten. Mehr in der Studie.

Mehr zur Studie erfahren
Das datengesteurte Unternehmen - Realität oder Hirngespinst? Erst wenige Firmen schaffen es, mithilfe von Daten-Insights neue Geschäftsmodelle auf die Beine zu stellen. Mehr in der Studie.

Mehr zur Studie erfahren
Für knapp neun von zehn Unternehmen kommt künftig eine Migration in die Cloud ohne strategischen Ansatz nicht infrage. Trends und Zahlen rund ums Thema in unserer Studie.

Mehr zur Studie erfahren
Unternehmen wollen energieeffizienter und nachhaltiger werden. Dazu müssen sie aber noch ihre IT-Strategien anpassen und die notwendige Datenbasis schaffen. Mehr dazu in der Studie.

Mehr zur Studie erfahren
Integrationsplattformen sind Drehscheiben für die Vernetzung von Anwendungen im Unternehmen und unterstützen zudem die Prozessautomatisierung. Mehr in der Studie.

Mehr zur Studie erfahren
Die End-to-End-Automatisierung von Geschäftsprozessen stellt einen wichtigen Eckpfeiler der digitalen Transformation der Unternehmen dar. Trends und Zahlen rund ums Thema in unserer Studie.

Mehr zur Studie erfahren
Auch in wirtschaftlich schwierigen Zeiten ist das (IT/Enterprise) Service Management geschäftskritsich - gerade mit Hinblick auf eine stärkere (Prozess-)Automatisierung. Trends und Zahlen dazu in der Studie.

Mehr zur Studie erfahren