16.12.2020

eco Verband: Neue IT-Gesetzgebung der Bundesregierung schwächt Vertrauenswürdigkeit digitaler Kommunikation

  • Staatliche Überwachung statt Erhöhung der IT-Sicherheit
  • Fehlende Rechts- und Planungssicherheit für Unternehmen bei geringem Mehrwert für IT-Sicherheit
  • Bundesregierung sollte Beratungen des IT-Sicherheitsgesetzes 2.0 zugunsten europäischer Regelung zurückstellen 

Mit den heute vom Bundeskabinett in aller Eile beschlossenen Entwürfen für ein IT-Sicherheitsgesetz 2.0, das neue Telekommunikationsgesetz sowie das BND-Gesetz schwächt die Bundesregierung nachhaltig die allgemeine IT-Sicherheit und beschädigt die Vertrauenswürdigkeit digitaler Kommunikation in Deutschland, so die Einschätzung von eco – Verband der Internetwirtschaft e.V.

„Nicht ‚Verbesserung der IT-Sicherheit‘, sondern ‚Ausweitung staatlicher Überwachung‘ lautet die korrekte Überschrift, unter der diese Gesetzesvorgänge eingeordnet werden können“, sagt der stellvertretende eco Vorstandsvorsitzende Klaus Landefeld. Alle drei Entwürfe enthalten Regelungen zur Überwachung digitaler Kommunikation, die gleichzeitig zu einer Schwächung der IT-Sicherheit führten.

Im IT-Sicherheitsgesetz 2.0 betrifft dies beispielsweise den Umgang mit Informationen über Sicherheitslücken und Daten, die das BSI im Rahmen seiner neuen Befugnisse erhebt. Das Gesetz sieht unter anderem vor, dass das BSI Informationen über Sicherheitslücken zurückzuhalten soll, sofern es Sicherheitsbehörden gegenüber zur Verschwiegenheit verpflichtet ist. Auch soll das BSI nun Datenverkehr an von ihm benannte Server umleiten lassen und selbst Angriffe auf IT-Systeme vortäuschen und im Zuge dessen auch in diese Systeme eindringen dürfen.

Das TKG erweitert den Definitionsbereich der Telekommunikationsdienstleister, die künftig verpflichtet werden Überwachungsmaßnahmen umzusetzen und hält entgegen der inzwischen drei existierenden EuGH Urteile weiterhin an der anlasslosen massenhaften Vorratsdatenspeicherung fest, die in dieser Form als unionsrechtswidrig einzustufen ist.

Das BND-Gesetz ermöglicht es dem Bundesnachrichtendienst zudem, das Kommunikationsverhalten sowie die GPS- und Bewegungsdaten von beliebigen Personen im In- und Ausland ohne Weiteres zu überwachen. Neben der allgemeinen Informationsbeschaffung im Internet zählen hierzu auch Daten, die beim Online-Banking, bei Hotelbuchungen sowie über Mobilfunkgeräte und Navigationssysteme übermittelt werden.

Überdies bedeuten die Regelungen für die betroffenen Unternehmen teils erhebliche Einschnitte in ihre Rechts-, Planungs- und Investitionssicherheit.

„Im Namen der IT-Sicherheit von TK-Netzen und bei TK-Diensten werden überzogen strenge, teils nichtzielführende Anforderungen gestellt, die die IT-Sicherheit kaum erhöhen dürften, dafür aber die betroffenen Unternehmen vor erhebliche Herausforderungen stellen und schlimmstenfalls in ihrer Geschäftstätigkeit einschränken werden“, sagt Klaus Landefeld.

Ein zentrales Problem ist die fehlende Synchronisierung mit der europäischen Gesetzgebung, die eco mehrfach im Kontext des IT-SiG 2.0 angemahnt hat. Dies betrifft insbesondere die Harmonisierung des IT-Sicherheitsgesetzes mit der geplanten Überarbeitung der Richtlinie zur Gewährleistung einer hohen Netzwerk- und Informationssicherheit (NIS) auf europäischer Ebene, die von der EU-Kommission heute vorgestellt wurde: „Eine vorschnelle nationale Regulierung birgt das Risiko, anschließend noch einmal gesetzgeberisch tätig werden zu müssen , weil im IT-Sicherheitsgesetz und in der NIS-Richtlinie systematisch unterschiedliche Ansätze verfolgt und unterschiedlich geregelt werden. Besser wäre es vor diesem Hintergrund gewesen, wenn man den Kabinettsbeschluss zum IT-SiG 2.0 zurückgestellt und die weiteren Entwicklungen auf europäischer Ebene abgewartet hätte“, so Landefeld. Für Unternehmen werden diese Nachbesserungen oft mit zusätzlichen Kosten verbunden sein, um bereits implementierte Systeme und Lösungen nochmals für die zusätzliche europäische Regulierung anzupassen.

„Die Internetwirtschaft braucht keinen Wildwuchs an Sicherheitsanforderungen, sondern objektive, sachgerechte und angemessene Vorgaben, welche den rechtsstaatlichen Anforderungen in Deutschland und Europa genügen“, so das Fazit von Klaus Landefeld.

Download eco Stellungnahmen

Download der Pressemitteilung

Terrorbekämpfung nicht auf Kosten der Sicherheit aller