IT-Sicherheitsgesetz 2.0: Die Anhörung im deutschen Bundestag legt erhebliche Mängel offen
Das Gesetz zur Erhöhung der Sicherheit in der Informationstechnologie, kurz IT-Sicherheitsgesetz aus dem Jahr 2015 wurde und wird von vielen Sachverständigen als nicht zielführend beschrieben. Der aktuelle Gesetzentwurf für die Version 2.0 des IT-Sicherheitsgesetz wurde am 01.03.2021 erstmals in einem öffentlichen Ausschuss besprochen. Die sechs geladenen Sachverständigen kritisierten den Gesetzentwurf in mehreren Punkten. Keiner der Experten konnte den Gesetzentwurf für die Zustimmung im Bundestag empfehlen.
Fehlende Rechts- und Zukunftssicherheit
Der Staatsrechtler Prof. Dr. Klaus F. Gärditz äußerte Bedenken über die Rechtssicherheit des Paragrafen 9b. Mit diesem soll der Ausschluss von Herstellern und Hardware aus dem deutschen Markt ermöglicht werden, wenn der Hersteller "nicht vertrauenswürdig" ist. Das heißt, wenn der Verdacht besteht, dass für einen ausländischen Geheimdienst spioniert wird. Sowohl die Feststellbarkeit der Vertrauenswürdigkeit als auch die Umsetzbarkeit zweifelte der Staatsrechtler weiterhin an. Der Paragraf könnte zu einem Placebo verkommen, da man bilaterale Verhältnisse mit der Umsetzung schwächen würde.
Sebastian Artz vom Branchenverband Bitkom moniert, dass die Vorlage keinesfalls zukunftssicher sei. Im Gesetzesentwurf werde auf den Stand der Technik Bezug genommen, dieser ändere sich aber in der IT-Branche nahezu jährlich. Somit sei ein dynamisches Regelwerk wünschenswert.
Verschlechterung der Sicherheit für Bürger
Die Arbeitsgemeinschaft kritische Infrastruktur, vertreten durch Manuel Atuf, sowie Martin Schallbuch vom Digital Society Institute und Linus Neumann vom CCC wünschen sich eine Stärkung der Bürger. Entgegen der Vorlage sollten Sicherheitslücken jeglicher Art nicht zurückgehalten werden, um staatlichen Interessen zu dienen. Linus Neumann sagte dazu: "Sicherheitslücken kennen kein gut oder böse, aber böse Leute kennen Sicherheitslücken." Insgesamt sehen die drei Verbände einen Widerspruch zwischen dem Wunsch, eine sichere Infrastruktur zu schaffen und dem Wunsch von Nachrichtendiensten und Sicherheitsbehörden, Zugang zu verschlüsselten Informationen zu erlangen.
Dr. Sven Herpig vom Verein "Stiftung Neue Verantwortung" stellt fest, dass der Entwurf nicht genüge, um Verbraucher zu schützen. Das angedachte freiwillige Prüfsiegel werde unsichere IT-Produkte nicht vom deutschen Markt fernhalten.
Zusammengefasst zeigt sich, dass mit dem IT-Sicherheitsgesetz 2.0 keine Verbesserung in Sicht ist. Durch die fehlende Evaluierung des Vorgängers wurden viele Fehler wiederholt. Kompromisslose Sicherheit wird durch viele Schlupfstellen in der Gesetzesvorlage verhindert, aber dafür neuer bürokratischer Aufwand geschaffen. Im Gesetzentwurf verankerte Fristen sind zu kurzzeitig und die Stellung des Bundesamtes für Sicherheit in der Informationstechnik wird weiter geschwächt. In der Fragerunde erläuterten die Sachverständigen eingehend, wie viele der Mechanismen, welche die neue Vorlage bietet, ausgehebelt werden können.