Diverse Angriffe auf IT-Systeme zeigen, wie die fortschreitende Digitalisierung nicht nur Vorteile mit sich bringt, sondern auch einige Probleme.
Das BSI hat auch 2020 einen Lagebericht zur IT‑Sicherheit in Deutschland veröffentlicht[1]. Aus Sicht des BSI stellen Ransomware-Attacken eine Hauptgefahr im Bereich der Cyber-Kriminalität dar.[2] In seinem aktuellen Lagebericht attestiert das BSI den Angreifern eine hohe Dynamik bei der (Weiter‑) Entwicklung von Schadsoftware. So konnten im Jahr 2019 ganze 114 Millionen neue Schadprogramm-Varianten im Berichtszeitraum 2019 identifiziert werden[3], 2020 waren es sogar über 117 Millionen.[4] Die oft zu beobachtende digitale Hilflosigkeit auf Seiten der Anwender könne nur durch eine konsequente Nutzung von IT‑Sicherheitsmaßnahmen nach dem Stand der Technik sowie durch eine Stärkung der digitalen Eigenverantwortung entgegengewirkt werden.
Der Gesetzgeber hat die Gefahrenlage für IT-Systeme ebenfalls erkannt und 2015 mit dem ersten IT‑Sicherheitsgesetz reagiert.[5] Das Gesetz zielte – mit einer Reihe verschiedener Maßnahmen wie der Umschreibung von Sicherheitspflichten von Betreibern und der Einführung von Meldepflichten für Störungen der IT-Sicherheit – auf eine signifikante Verbesserung der IT‑Sicherheit in Deutschland ab.[6] Aufgrund der anhaltend hohen Bedrohung durch Angriffe auf die IT‑Infrastruktur hat der Gesetzgeber im April 2019 nachgelegt und einen ersten Entwurf für ein IT‑Sicherheitsgesetz 2.0 vorgelegt.[7] Im Mai 2020 folgte der zweite Entwurf, in dem einige heftig umstrittene Regelungen des ersten Entwurfes – etwa die geplanten neuen Straftatbestände des digitalen Hausfriedensbruchs und der Kriminalisierung des Darknets oder einer Pflicht zur Herausgabe von Passwörtern – wieder gestrichen worden waren. Die vorläufige Streichung erfolgte dabei lediglich aus formalen Beweggründen.[8]
Ein inzwischen veröffentlichter dritter Entwurf[9] sieht, wie das erste IT‑Sicherheitsgesetz, ein Maßnahmenbündel zur Erhöhung des Schutzniveaus vor. Insbesondere das BSI soll gestärkt werden. Wann das Gesetz in Kraft treten wird, ist zurzeit jedoch aufgrund regierungsinterner Differenzen über den 5G-Ausbau noch nicht absehbar.[10]
Zu dem Entwurf haben sich eine Vielzahl von Interessensverbänden zu Wort gemeldet, etwa der Bundesverband der deutschen Industrie (BDI), der Verband der Internetwirtschaft (eco), der Bundesverband Informationswirtschaft, Telekommunikation und neue Medien e.V. (Bitkom), die Gesellschaft für Informatik e.V. (GI), der Bundesverband IT-Sicherheit e.V. (TeleTrusT), der Chaos Computer Club e.V. (CCC) und die AG KRITIS. Auch Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) nahm zu den geplanten Regelungen Stellung.
Weitere Informationen und Stellungnahmen zum IT-Sicherheitsgesetz 2.0 finden sich auf der Themenseite des Bundesministeriums des Inneren, für Bau und Heimat (BMI).
Die verschiedenen Interessen von Unternehmen, Nutzern und Datenschützern führen dazu, dass bei der Regelung von IT-Sicherheit vielfältige Netzpolitische Positionen in Ausgleich gebracht werden müssen. Einige Forderungen können dabei dennoch auf breite Zustimmung hoffen und sollten daher vom Gesetzgeber bei der weiteren Regelung der IT-Sicherheit berücksichtigt werden:
- Die Erkenntnisse, die das BSI sammelt, sollten nicht zu anderen als den im BSIG normierten Zwecken genutzt werden. Das Vertrauen in das BSI ist für die Stärkung der IT-Sicherheit zentral.
- Es müssen klare, nachvollziehbare Haftungs- und Verantwortungsregelungen bestehen.
- „Security by Design“ sollte zum Schutz der Privatanwender im Bereich der IT‑Sicherheit noch stärker berücksichtigt werden.
- Die Ausarbeitung von IT-Sicherheitsstandards sollte, wenn möglich, in einem internationalen Rahmen geschehen.
- Die Durchsetzung von Vorgaben zur IT-Sicherheit sollte mittelfristig auch Privaten und Verbänden ermöglicht werden.
Stand: 01.12.2020
[1] Bundesamt für Sicherheit in der Informationstechnik (BSI), Die Lage der IT-Sicherheit in Deutschland 2020, September 2020.
[2] Vgl. BSI, Die Lage der IT-Sicherheit in Deutschland 2020, September 2020, S. 9 f, dort auch zum Folgenden.
[3] Vgl. BSI, Die Lage der IT-Sicherheit in Deutschland 2019, Oktober 2019, S. 75.
[4] BSI, Die Lage der IT-Sicherheit in Deutschland 2020, September 2020, S. 9.
[5] Vgl. dazu: Hornung, NJW 2015, 3334.
[6] Hornung, NJW 2015, 3334, 3335.
[7] Vgl. zum ersten Entwurf: Kipker/Scholz, MMR 2019, 431.
[8] Vgl. Meister, IT-Sicherheitsgesetz 2.0 – Seehofer will BSI zur Hackerbehörde ausbauen, Netzpolitik.org, 12.05.2020; zum zweiten Entwurf (und zu einem Vergleich des ersten und zweiten Entwurfes) siehe Müllmann/Ebert/Reissner, CR 2020, 584.
[9] Referentenentwurf des Bundesinnenministeriums für ein IT-SiG 2.0 vom 19.11.2020.
[10] Dinges, IT-Sicherheitsgesetz 2.0 – Aller guten Dinge sind drei, Netzpolitik.org, 23.11.2020.
Sämtliche Links wurden zuletzt am 20.12.2020 abgerufen.