Am Dienstag den 3. März veranstaltete der eco, Verband der deutschen Internetwirtschaft, im Rahmen des polITalk 1/2015 eine Diskussionsveranstaltung mit dem Titel „NIS-Richtlinie und IT-Sicherheitsgesetz – harmonisierte IT-Sicherheitsstandards oder europäischer Flickenteppich?“
Es diskutierten Martin Schallbruch vom Bundesinnenministerium (BMI), Konstantin von Notz von Bündnis90/Grüne und Oliver Süme vom eco über den aktuellen Stand des IT-Sicherheitsgesetzes.
NIS-Richtlinien versus IT-Sicherheitsgesetz
Die NIS-Richtlinien (Network and Information Security Directive) werden zur Zeit auf EU-Ebene erarbeitet und stehen auf der Agenda an oberer Position. Sie sollen noch in diesem Jahr beschlossen werden. Allerdings dauert es immer mindestens zwei Jahre bis EU-Recht in nationales Recht umgesetzt wird.
Das IT-Sicherheitsgesetz: Kurz vor Weihnachten gab Bundesinnenminister de Maizière die Losung aus, dass die IT-Systeme und digitalen Infrastrukturen Deutschlands die sichersten weltweit werden sollen und das IT-Sicherheitsgesetz wurde beschlossen.
Streitpunkte: Zeitpunkt und Umfang von NIS und IT-Sicherheitsgesetzt
Als große Diskrepanz zwischen den Diskutanten stellte sich der Zeitplan des IT-Sicherheitsgesetzes heraus. Schallbruch (BMI) sagte, dass das geplante IT-Sicherheitsgesetz den geplanten NIS-Richtlinien sehr nahe kommt, doch nicht auf dessen Beschluss gewartet werden kann. Bis zur Sommerpause soll das IT-Sicherheitsgesetz verabschiedet worden sein. Süme (eco) entgegnete, dass sich die Wirtschaft Sorgen mache, da unklar ist, was nun wirklich in den NIS-Richtlinien zu finden sein wird.
Ein weiterer Streitpunkt ist die Einbeziehung der Telekommunikationsanbieter. Das BMI möchte diese mit einschließen – der eco pocht im Namen der Wirtschaft darauf nur die KRITische InfraStruktur (KRITIS) mit in das IT-Sicherheitsgesetz einzubeziehen. Ein weiteres Problem: KRITIS ist bisher nicht abschließend definiert. Der BMI will dies noch debattieren – gemeinsam mit der Wirtschaft. Von Notz (Grüne) versteht die Eile der Bundesregierung nicht. Er stimmt zu, dass „die Hütte brennt“, meint aber, wenn die Bundesregierung das IT-Sicherheitsgesetz verabschiedet, ohne auf die NIS-Richtlinien zu warten, sei „ein Flickenteppich vorprogrammiert“ und damit die IT-Unsicherheit. Da die jetzige EU-Ratspräsidentschaft noch in dieser Periode die NIS-Richtlinien abschließen will, handle es sich nur um wenige Monate die abzuwarten wären.
Verschlüsselung, Datenschutz und Anonymität
Eine andere Thematik wurde durch den Moderator Stefan Krempl (heise online) in die Diskussion mit eingeführt. Nämlich mit der Frage, inwieweit nicht auch „Verschlüsselung“, „Datenschutz“ und „Anonymität im Netz“ im IT-Sicherheitsgesetz eine Rolle spielen würden. Dass diese Punkte elementare Bestandteile des IT-Sicherheitsgesetzes wären, wurde einheitlich betont.
Nun ging die Debatte richtig los. Schallbruch stellte sich auf den Standpunkt, dass verlässliche Verschlüsselung auf der einen Seite sehr wichtig für die Infrastruktur-Sicherheit sei, aber die Strafverfolgungsbehörden gleichzeitig die Möglichkeit bräuchten, diese doch zu knacken. Wie diese Art von Verschlüsselung aussehen soll? Wie das gehen soll weiß er selbst aber nicht.
Von Notz sprach sich vehement gegen anlasslose Massenspeicherung aus und stellte sich auf den Standpunkt: „In einem Rechtsstaat ist ein absoluter Zugriff auf persönliche Daten halt nicht möglich. Das muss man akzeptieren.“
Schallbruch entgegnete, dass im Sinne der IT-Sicherheit einiges gespeichert werden dürfte, aber nicht müsste – eine Art „freiwillige Vorratsdatenspeicherung“?
Weiter Themen der Diskussion waren u.a. der Kauf von IT-Sicherheitslücken, Schadenshaftung und „Privacy by Design“.
Einig waren sich die Diskutanten und der Moderator zum Schluss gleichermaßen in einem Punkt: Weitere Diskussionen sind notwendig, werden uns noch viele Jahre begleiten und sie werden nie abgeschlossen sein.
Unsere Einschätzung
Die Diskussion um das IT-Sicherheitsgesetz hat sich in den letzten zwei Monaten bisher nicht weiter konkretisiert. Die Standpunkte sind die gleichen geblieben und ob hinter diversen Türen etwas vorangeht bleibt unklar. Wir bleiben dabei, dass IT-Sicherheit nicht allein mit der Einbeziehung kritischer Infrastrukturen zu erreichen ist. Geräte die mit dem Internet verbunden sind, sollten grundsätzlich und automatisch mit Sicherheitsupdates versorgt werden, um ein Mindestmaß an IT-Sicherheit zu gewährleisten. Die Wirtschaft darf sich hier nicht aus der Affaire ziehen und muss dazu verpflichtet werden, auch nach dem Verkauf eines Geräts für dessen Sicherheit zu garantieren.