Kurz vor Ende der Wahlperiode soll das zuletzt 2015 grundlegend erneuerte IT-Sicherheitsrecht weiterentwickelt werden. „Pappa ante portas“ habe ich die Zielrichtung des Gesetzentwurfs an anderer Stelle genannt – denn der Entwurf verfolgt einen zutiefst paternalistischen Ansatz der IT-Sicherheit: Der Staat, namentlich das BSI, soll es richten und die Sicherheit unseres Landes bewahren. Doch damit springt die Regierung zu kurz.
Belastung für die Wirtschaft, wenig konkreter Mehrwert
Über die Kritischen Infrastrukturen hinaus werden weitere Bereiche der Wirtschaft in die Regulierung einbezogen: die größten Konzerne ebenso wie Chemie- oder Rüstungsunternehmen. Sie haben zusätzliche Aufwände für Sicherheitsmaßnahmen und Meldepflichten zu tragen – mit wenig konkreter Gegenleistung. Der Entwurf entwickelt nur den Kreis der Verpflichteten weiter, nicht aber die Leistungen des Bundesamtes für Sicherheit in der Informationstechnik (BSI) für die Unternehmen. Das Amt hat ein sehr weitgehendes Ermessen, wann es welche Unternehmen informiert. Die Verpflichtung zur Unterrichtung von Unternehmen wurde nicht erweitert sondern eingeschränkt: Unterrichtungen über Sicherheitsmängel aus Produktuntersuchungen oder sogar Portscans können vom BSI sogar zurückgehalten werden.
Nicht geklärt wird auch das Verhältnis zwischen IT-Sicherheitsauflagen aus dem IT-Sicherheitsgesetz und IT-Sicherheitsauflagen aus der Datenschutzgrundverordnung (DSGVO). Beide stehen unverbunden nebeneinander. Für die gleichen IT-Systeme müssen Unternehmen IT-Sicherheits-Compliance aus zwei verschiedenen Rechtsquellen beachten – plus das sektorale IT-Sicherheitsrecht. Für die deutsche Wirtschaft bedeuten solche unkonsolidierten Auflagen und Meldepflichten eine enorme Bürokratielast ohne definierten Mehrwert.
Sonderpolizei für den digitalen Raum
Mit dem Gesetzentwurf erhält das BSI eine Reihe sinnvoller Kompetenzen zur aktiven Cyberabwehr. Gleichzeitig entwickelt sich das Amt zunehmend zu einer universellen Gefahrenabwehrbehörde für den digitalen Raum. Produkte untersuchen, Rechner im Internet scannen, Datenverkehre umleiten, Löschbefehle an Clients senden – damit verändert sich die Rolle des BSI hin zu einer speziellen Polizeibehörde. Das wirft Fragen nach dem Verhältnis von Bund und Ländern auf. Der Entwurf begründet die Zuständigkeit des Bundes für solche Regelungen nur sehr dünn. Verfassungsrechtlich dürfte das kaum noch zu halten sein. Keine Frage: die Befugnisse für das BSI sind sinnvoll und können kaum dezentral ausgeübt werden. Nur sollte man das dann auch klarstellen und durch eine Grundgesetzänderung eine Zuständigkeit des Bundes für die Gefahrenabwehr im Cyberraum schaffen.
Die neue Rolle des BSI führt auch zu der Frage, wann und zu welchem Zweck das BSI seine Gefahrenabwehrbefugnisse wahrnimmt – und wer von den Erkenntnissen profitiert. Dass Sicherheitserkenntnisse vom BSI vor den Betroffenen zurückgehalten werden können, ohne dass hierfür zumindest Abwägungskriterien benannt werden, ist nicht vertretbar. Das BSI ist in erster Linie für die Bürgerinnen, Bürger und Unternehmen da – Gründe, ausnahmsweise hinter ihrem Rücken zu agieren, müssen ausdrücklich benannt und gerechtfertigt werden.
Bürokratisierung statt Politik
Keine Entscheidung bringt der Entwurf in Sachen Huawei-Einsatz im 5G-Netz. Deutschland verweigert sich weiterhin einer politischen Entscheidung und setzt auf technische Richtlinien und Bürokratie, so auch im neuen Gesetzentwurf. Was die große Koalition politisch nicht entscheiden kann, soll das BSI mit technischer Zertifizierung und ein „Jour Fixe der Referatsleiter“ mit Vertrauenswürdigkeitsprüfungen lösen. Doch das fein ziselierte bürokratische Konstrukt in Paragraph 9b des Entwurfs läuft am Ende doch auf eine politische Entscheidung hinaus. Werden sich die Ministerien bei der Entscheidung über das Verbot des Einsatzes einer bestimmten Komponente nicht einig, kann jedes Ressort das Thema politisch eskalieren. Der Entwurf ist insofern eine Schiebeverfügung in Sachen 5G. Die Politik möchte das Thema jetzt erst einmal vom Tisch haben. Auf der Strecke bleibt die Rechtssicherheit für Hersteller und Betreiber – und eine klare außen- und sicherheitspolitische Linie.
Überforderung des BSI
Der paternalistische Ansatz des Gesetzentwurfs hat eine einfache Weltsicht: IT-Sicherheit wird allein vom BSI definiert, alle relevanten Sicherheitsinformationen müssen an das BSI fließen, alle wichtigen Maßnahmen werden vom BSI angeleitet. Selbst die in Sachen IT-Sicherheit nun wahrlich nicht unerfahrenen größten Konzerne Deutschlands sollen per Selbsterklärung ihre IT-Sicherheitsmaßnahmen aufschreiben, das BSI wird dann die richtigen „Hinweise“ geben, was sie besser machen können. Dieses einfache Konzept wird in der Realität scheitern. Mit der Fülle von Selbsterklärungen, Informationspflichten und Untersuchungsbefugnissen wird das Amt in Informationen ertrinken, die noch dazu – das ist das Wesensmerkmal der digitalen Welt – eine kurze Halbwertszeit haben.
Mit der umfänglichen Erweiterung der Befugnisse des BSI soll hierfür zwar ein enormer personeller Aufwuchs des Amtes einhergehen. Zu den 1.435 Stellen im Bundeshaushalt 2020 sollen 799 weitere hinzukommen. Doch die Leistungsfähigkeit von Behörden wächst leider nicht mit ihrer Größe – zumal bei einer Materie, die hochgradig vernetzt ist, wo also der behördeninternen Koordinierung und Zusammenarbeit die allergrößte Bedeutung zukommt. Mit dem Abladen des Gesamtproblems IT-Sicherheit beim BSI bringt die Regierung das Amt in die Gefahr, von einer wegen ihrer Expertise geschätzten einzigartigen Institution zu einer Großbürokratie zu werden, die am Ende dann aber doch immer irgendwo irgendetwas übersieht und die Unternehmen, die Bürgerinnen und Bürger nicht rechtzeitig warnt.
Angemessene IT-Sicherheit lebt inmitten einer enorm schnellen, digital getriebenen Innovation von Eigenverantwortung, davon, dass neue Lösungen ausprobiert werden, dass die Abwehr von Angreifern auch durch die Anwenderunternehmen und die IT-Sicherheitswirtschaft schnell weiterentwickelt wird. Das „sternförmige“ Konzept des IT-Sicherheitsgesetzes 2.0, mit dem BSI als „Spinne im Netz“, wird dem nicht gerecht. Einen Ausbau von incentivierenden, die Eigenverantwortung der Unternehmen und die Resilienz von Wirtschaft und Zivilgesellschaft stärkenden Ansatz findet man im Entwurf nicht. Das mag sicherlich auch an der mangelnden Einbindung von Wirtschaft, Wissenschaft und Zivilgesellschaft in die Konzeption des Entwurfs liegen. Eine Beteiligung fand erst in der letzten Woche statt. Was in zweieinhalb Jahren von der Regierung erarbeitet wurde, sollte in wenigen Tagen kommentiert werden – zumal zu einem Zeitpunkt, als eine Änderung des Entwurfs im Hinblick auf einen feststehenden Kabinetttermin schon gar nicht mehr möglich war.
Mögliche Beanstandungen im Notifizierungsverfahren
Mit dem Entwurf der Regierung ist die Debatte um das IT-Sicherheitsgesetz nicht zu Ende. Im Notifizierungsverfahren ist nun die EU-Kommission am Zug. Gerade im Hinblick auf die anstehende Überarbeitung der entsprechenden EU-Richtlinie wird sie den Entwurf genau prüfen - und sicherlich auch einiges beanstanden, zum Beispiel die nahezu unbeschränkte Verordnungsermächtigung, mit der das BMI Interoperabilitäts- und Sicherheitsstandards für jedes IT-Produkt in Deutschland festsetzen will – angesichts des einheitlichen EU-Binnenmarktes eine kaum vertretbare Regelung. Auch die Beratungen im Deutschen Bundestag werden Änderungen am Entwurf bringen. Zu hoffen ist dabei insbesondere auf einen höheren, gesetzlich ausdrücklich bestimmten Mehrwert für die deutschen Unternehmen, aber auch auf ein Zurückschneiden von Bürokratie und auf einen Schutz des BSI vor Überforderung.
Martin Schallbruch ist Direktor des Digital Society Institute der ESMT Berlin und Herausgeber des Praxishandbuchs IT-Sicherheisrechts (Nomos, 2020).
