Umsetzung der NIS2-Richtlinie: Gesetz für IT-Krisenfälle in der Kritik

Der Gesetzentwurf der Bundesregierung zur Umsetzung der NIS-2-Richtlinie fand bei Experten in der heutigen Anhörung im Innenausschuss keine Gnade und erntete breite Kritik. Er hat auch eine klaffende Lücke: Es fehlt ein IT-Schwachstellenmanagement. Die Ampel verabschiedet sich von gleich zwei Versprechen aus dem Koalitionsvertrag.

Eingang Dienstgebäude des BSI
Die Behörde BSI in Bonn. – Alle Rechte vorbehalten BSI

Die Deadline ist bereits abgelaufen: Die Netz- und Informationssysteme-Richtlinie (NIS2) der Europäischen Union, die schon Ende 2022 verabschiedet worden war, hätte spätestens am 18. Oktober 2024 in Deutschland in nationales Recht umgesetzt sein müssen. NIS2 schreibt neue Pflichten bei der IT-Sicherheit und beim IT-Risikomanagement vor, die alle EU-Länder einführen müssen. In Deutschland werden knapp 30.000 Unternehmen die neuen Regeln zu beachten haben, sonst drohen ihnen erhebliche Strafen.

Der Gesetzentwurf des Innenministeriums wurde erst Ende Juli 2024 vom Bundeskabinett beschlossen: das NIS-2-Umsetzungsgesetz. Damit soll vor allem die gesetzliche Grundlage des Bundesamts für Sicherheit in der Informationstechnik (BSI), nämlich das BSI-Gesetz (BSIG), grundlegend überarbeitet werden.

Erst nach dem Sommer kam nun das Gesetzgebungsverfahren in Gang. Heute hat sich der Innenausschuss des Bundestags in einer Sachverständigenanhörung mit dem Gesetzentwurf beschäftigt. Er stieß weitgehend auf Kritik der Experten.

Die verschleppte Umsetzung in nationales Recht ist mit Blick auf die gefährlichen Zustände in Fragen der IT-Sicherheit fatal: Obwohl jeden Tag neue Nachrichten über Ransomware-Angriffe, millionenfache Datenabflüsse und kritische Sicherheitslücken klarmachen, wie desolat die Situation ist, ließ sich die Bundesregierung übermäßig viel Zeit, um konkrete Gegenmaßnahmen zu ergreifen und ins Gesetz zu gießen.

Denn das Ziel von NIS2 ist die Umsetzung zahlreicher IT-Sicherheitsanforderungen und Pflichten zur Risikosenkung mit technischen und organisatorischen Maßnahmen sowie Meldepflichten, die eine behördliche Unterrichtung im Krisenfall verbindlich machen. Dazu kommt eine Registrierungspflicht bei den zuständigen Behörden: vor allem das BSI, aber auch die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin), die Bundesnetzagentur und das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK).

Viele Ausnahmen

Die BSI-Präsidentin Claudia Plattner, die als Sachverständige in den Ausschuss geladen war, geht davon aus, dass die neuen Anforderungen für 29.500 Unternehmen verbindlich sein werden, wie eine aktuelle Schätzung ihrer Behörde ergeben hätte. Viele dieser Unternehmen wüssten allerdings noch gar nicht, dass sie betroffen sind. Als Vertreter der Wirtschaft forderte Felix Kuhlenkamp vom Verband bitkom, der Staat müsse „pro-aktiv informieren“, so dass diese knapp 30.000 Unternehmen von ihren neuen Pflichten zeitnah erfahren.

Was für Unternehmen gilt, muss nicht für Behörden gleichermaßen gelten: Ausgeklammert von einigen der neuen Pflichten sind beispielsweise die Strafverfolgungsbehörden und deren Dienstleister, aber auch das Auswärtige Amt oder das Bundeskanzleramt sowie die Bundesverwaltung. Der Sachverständige Timo Kob nannte es in seiner Stellungnahme ein „Horrorkabinett für alle sicherheitsaffin denkenden Personen“, wenn die Ausnahmen für nachgelagerte Bundesbehörden bestehen blieben.

Kuhlenkamp nannte es eine „große Glaubwürdigkeitslücke“, wenn die zahlreichen Ausnahmen ins Gesetz kommen. Auch alle anderen Sachverständigen setzten sich dafür ein, möglichst wenige Ausnahmen zuzulassen. Die Sachverständige Haya Schulmann, Informatik-Professorin an der Johann-Wolfgang-Goethe-Universität in Frankfurt am Main, betonte, die Ausnahmen seien eine vertane Chance und „sollten reduziert werden“.

Die Pflichten nach dem IT-Grundschutz des BSI sollten auf alle Bundesverwaltungen ausgedehnt werden. Auch BSI-Chefin Plattner forderte das für die gesamte Bundesverwaltung, ohne Ausnahmen. Diese Pflichten müssten für alle gelten, das sei sonst „unglaubwürdig“.

„Jede Schwachstelle schließen“

Großen Raum in der Anhörung nahm das Problem des sogenannten IT-Schwachstellenmanagements ein. Dabei geht es um die Frage, ob und wenn ja nach welchen Kriterien den Behörden bekanntgewordene IT-Sicherheitslücken nicht sofort den betroffenen Softwareanbietern gemeldet werden, um dann möglichst schnell reagieren und die Lücken schließen zu können. Denn absichtlich offen gehaltene Sicherheitslücken gefährden die IT-Sicherheit für alle: Unternehmen, Behörden, Privatpersonen.

Der Gesetzentwurf hat hier eine klaffende Lücke, denn er enthält keine Regelungen zum Umgang mit IT-Sicherheitslücken für staatliche Zwecke. Dem BSI gemeldete Informationen sollten aber nur für die Verbesserung der IT-Sicherheit genutzt werden, andernfalls droht ein erhebliches Vertrauensproblem in die Behörde.

Beim Schwachstellenmanagement liefert die Regierung schlicht nichts. Der Sachverständige Sven Herpig vom Verein interface beklagte trotz mehrjähriger Diskussion das Fehlen solcher Regelungen und einer übergeordneten Strategie in Deutschland, wie man mit IT-Schwachstellen umzugehen gedenke, die nicht sofort geschlossen werden. Man diskutiere das nun „seit sieben Jahren“, das mangelnde Ergebnis sei enttäuschend. Damit würden auch die Versprechen aus dem Koalitionsvertrag der Ampel missachtet.

Die Ampel-Parteien hatten im Koalitionsvertrag festgelegt, dass staatliche Stellen IT-Schwachstellen nicht kaufen oder offenhalten sollen. „Wir führen ein wirksames Schwachstellenmanagement mit dem Ziel, Sicherheitslücken zu schließen, ein“, hieß es dort unzweideutig. Man werde sich „immer um die schnellstmögliche Schließung bemühen“.

Zum IT-Schwachstellenmanagement positionierte sich Plattner vom BSI wie schon öfter seit Beginn ihrer Amtszeit im Juli 2023 deutlich: Beim BSI werden gemeldete Schwachstellen unmittelbar „der Schließung zugeführt“, wenn sie der Behörde bekannt werden. Man müsse möglichst „jede Schwachstelle schließen“, dafür plädiere sie, das sei ihr Job. Sie sagte aber auch, dass andere Behörden andere Perspektiven hätten und eventuell anderen Regeln folgen könnten, dafür hätte sie Verständnis.

Denn IT-Schwachstellen werden von anderen Staaten als politisches Mittel eingesetzt, so Plattner. Sie würden gesammelt, um sie für staatliche Zwecke wie beispielsweise Sabotage und Spionage einzusetzen.

Den Elefant im Raum nannte aber niemand beim Namen, obwohl es kein Geheimnis ist, wer diese anderen deutschen Behörden sind, denen die sofortige Schließung von IT-Sicherheitslücken ein Dorn im Auge sind: Geheimdienste, Militärs und Polizeien, die auch in Deutschland mit Hilfe von Schwachstellen Staatstrojaner und andere IT-Angriffswerkzeuge zum Einsatz bringen wollen. Eine sofortige Schließung von Sicherheitslücken macht solche teuren Angriffswerkzeuge schnell unbrauchbar.

Experte Herpig forderte, dass alle Behörden Schwachstellen zeitnah an das BSI zu melden hätten, das dann für die Schließung sorgt. Aber man könne sich Beispiele vorstellen, bei denen Ausnahmen gelten könnten. Er führte auch gleich das allseits gern verwendete Musterbeispiel an: eine gefundene „Schwachstelle in Ransomware“, die man der Ransomware-Bande nicht melden wolle.

Jemand müsse beurteilen, was in solchen Fällen geschehen solle, so Herpig. Ein Gremium müsse her, und auch das BSI solle in diesem Gremium sitzen. Schließlich brauche man gar nicht erst ein solches Gremium, wenn es darin keinen Diskurs um IT-Sicherheit gäbe, sondern sich ohnehin alle einig wären.

BSI-Chefin Plattner macht klar, dass ihre Behörde bereits Kriterien erstellt hätte, mit denen ein solches „Gremium“ arbeiten könne. Aber teilnehmen werde das BSI nicht: „Das geht auch ohne uns.“

Ob sie sich das aussuchen kann, steht aber in Frage. Denn das BSI ist keine unabhängige Behörde, sondern dem Innenministerium unterstellt, das die Aufsicht über das BSI hat. Zwar steht im Koalitionsvertrag, dass man das BSI zu einer „unabhängigeren“ Behörde und zur „zentralen Stelle im Bereich IT-Sicherheit“ ausbauen will, aber praktisch ist das in Fragen der Unabhängigkeit nicht geschehen.

Der Sachverständige Herpig kritisiert dann auch, dass NIS2 eine operativ unabhängige Stelle als Implementierungsbehörde fordere, das BSI daher auch unabhängig werden müsse. Auch der Sachverständige Dennis-Kenji Kipker von der Universität Bremen bemängelte, dass die Rolle des BSI nicht angetastet worden wäre.

Regelungen beim Datenschutz „teils unionsrechtswidrig“

Experte Kipker hatte gleich zu Beginn der Anhörung klargemacht, dass die Regelungen in Fragen des Datenschutzes „teils unionsrechtswidrig“ seien. Der Datenschutz werde „nicht ausreichend berücksichtigt“. IT-Angriffe seien oft auch Datenschutz-Vorfälle, etwa wenn Personaldaten oder andere personenbezogene Daten abhanden kämen.

Er hätte sich eine frühzeitige Einbindung der Bundesbeauftragten für den Datenschutz und die Informationsfreiheit gewünscht. Die Stellungnahme der neuen Bundesbeauftragten Louisa Specht-Riemenschneider sei aber erst heute und damit deutlich zu spät in den Ausschuss gekommen.

Eingebunden hingegen war als Sachverständiger Andreas Könen, der im Namen des Brandenburgischen Instituts für Gesellschaft und Sicherheit eine schriftliche Stellungnahme abgab und in die Anhörung geladen war. Der Ex-BND-Mann, der danach im BSI und im Innenministerium diente, ist nun im einstweiligen Ruhestand und war zuvor im Innenministerium für genau den Gesetzentwurf zuständig, der Gegenstand der Anhörung war.

Das allerdings sagte der Ex-Ministeriale in der Anhörung nicht. Er macht nur die Bemerkung, dass ihn wohl schon alle kennen würden. Dass aber ein als unabhängiger Sachverständiger Firmierender das zu bewertende Gesetz größtenteils verantwortet, hätte offen angesprochen werden müssen. Die Chuzpe muss man erstmal haben.


Die Arbeit von netzpolitik.org finanziert sich zu fast 100% aus den Spenden unserer Leser:innen.
Werde Teil dieser einzigartigen Community und unterstütze auch Du unseren gemeinwohlorientierten, werbe- und trackingfreien Journalismus jetzt mit einer Spende.

Es gibt neue Nachrichten auf friedliche-loesungen.org
:

Nur wer angemeldet ist, geniesst alle Vorteile:

  • Eigene Nachrichten-Merkliste
  • Eigener Nachrichtenstrom aus bevorzugten Quellen
  • Eigene Events in den Veranstaltungskalender stellen
M D M D F S S
 
 
 
 
 
 
1
 
2
 
3
 
4
 
5
 
6
 
7
 
8
 
9
 
10
 
11
 
12
 
13
 
14
 
15
 
16
 
17
 
18
 
19
 
20
 
21
 
22
 
23
 
24
 
25
 
26
 
27
 
28
 
29
 
30
 
31