Kabinettsentwurf zur IT-Sicherheit zeigt – Bundesregierung mit Schutz digitaler Infrastrukturen überfordert 

Heute hat das Bundeskabinett den Entwurf eines seit Monaten in der Diskussion befindlichen IT-Sicherheitsgesetzes beschlossen. Der Entwurf wird den vor uns liegenden Herausforderungen bezüglich des Schutzes der wichtigsten Infrastruktur unserer Zeit nicht gerecht. Klar ist doch: Die Sicherheit digitaler Infrastrukturen ist massiv gefährdet. Das hat nicht zuletzt der durch Edward Snowden aufgedeckte Überwachungsskandal gezeigt. Ein umfassender und effektiver Schutz vor Ausspähung und einer Erosion der Privatsphäre ist daher eine der größten Herausforderungen unserer Zeit. Dennoch ist der Entwurf alles in allem bestenfalls Stückwerk. Insgesamt wird er keinen essentiellen Beitrag für mehr IT-Sicherheit leisten.

Heute hat das Bundeskabinett den Entwurf eines seit Monaten in der Diskussion befindlichen IT-Sicherheitsgesetzes beschlossen. Der Entwurf wird den vor uns liegenden Herausforderungen bezüglich des Schutzes der wichtigsten Infrastruktur unserer Zeit nicht gerecht. Klar ist doch: Die Sicherheit digitaler Infrastrukturen ist massiv gefährdet. Das hat nicht zuletzt der durch Edward Snowden aufgedeckte Überwachungsskandal gezeigt. Ein umfassender und effektiver Schutz vor Ausspähung und einer Erosion der Privatsphäre ist daher eine der größten Herausforderungen unserer Zeit. Die Notwendigkeit eines solchen Schutzes digitaler Infrastrukturen kann direkt aus dem Grundgesetz abgeleitet werden. Hierauf haben mehrere namhafte Verfassungsrechtler in einer Anhörung des Parlamentarischen Untersuchungsausschusses bereits vor Monaten hingewiesen.

Die Dimension des Skandals und das Ausmaß der Kompromittierung digitaler Infrastrukturen hat die Bundesregierung bis heute jedoch nicht erkannt. Die notwendigen Konsequenzen zieht sie auch weiterhin nicht. Der jüngste Beschluss des Entwurfs eines IT-Sicherheitsgesetzes macht dies einmal mehr deutlich deutlich. So hat die Bundesregierung in ihrer „Digitalen Agenda“ großspurig angekündigt, Deutschland zum „Verschlüssellungsland Nummer eins“ machen zu wollen. Die Konsequenz, bei allen IT-Großprojekten zukünftig durchgehende Ende-zu-Ende-Verschlüsselungen zu implementieren, zieht sie jedoch auch weiterhin nicht. Hierzu findet sich offenbar kein Wort im jetzigen Entwurf.

Der Entwurf ist alles in allem bestenfalls Stückwerk. Insgesamt wird er keinen essentiellen Beitrag für mehr IT-Sicherheit leisten. Eine generelle Bestandsaufnahme bestehender Risiken wird nicht vorgenommen, in Frage stehende Kooperationen mit US-Anbietern nicht überprüft. Das bewusste Offenhalten und Verbauen von Sicherheitslücken wird weiter als legitim angesehen. Meldepflichten sollen zwar für private Unternehmen gelten, nicht jedoch für öffentliche Stellen.

Die tatsächliche Einbeziehung und wirkliche Stärkung der Unabhängigkeit der Datenschutzbeauftragten, die diese Woche auch noch Gegenstand weiterer parlamentarischer Beratungen sein wird, ist angesichts der sich mit dem Bundesamt für Sicherheit in der Informationstechnik (BSI) überschneidenden Kompetenzen für uns weiterhin zwingend. Dass die Bundesregierung dies bislang nicht berücksichtigt, belegt ihren fehlenden Schutzwillen einmal mehr.

Wir erwarten ferner weiterhin, dass von der in bisherigen Entwürfen versteckten, anlasslosen Vorratsdatenspeicherung sofort wieder Abstand genommen wird. Ob dies tatsächlich der Fall ist und sich entsprechende Regelungen nicht weiterhin im heute verabschiedeten Beschluss finden, werden wir kritisch prüfen. Auch darüber hinaus sehen wir insgesamt noch erheblichen Nachbesserungsbedarf und werden im nun beginnenden parlamentarischen Beratungsprozess eigene Vorschläge vorlegen.