Schrift:
Ansicht Home:
Netzwelt

Entwurf für neues IT-Sicherheitsgesetz

Warum sollte die Polizei Instagram-Passwörter bekommen?

Das geplante IT-Sicherheitsgesetz 2.0 enthält sinnvolle Maßnahmen. Doch das Innenministerium verwischt - wieder einmal - IT-Sicherheit und öffentliche Sicherheit, um der Polizei neue Befugnisse zu verschaffen.

Jens Büttner/DPA

Verdächtige sollen gezwungen werden können, Nutzernamen und Passwörter auszuhändigen

Ein Gastbeitrag von Sven Herpig
Montag, 15.04.2019   13:58 Uhr

Erst kürzlich wurde der regierungsinterne Entwurf des geplanten Zweiten Gesetzes zur Erhöhung der Sicherheit in informationstechnischen Systemen (IT-Sicherheitsgesetz 2.0) von netzpolitik.org veröffentlicht. Das für den Gesetzesvorschlag verantwortliche Bundesministerium des Innern, für Bau und Heimat (BMI) möchte, vor allem angesichts des Anfang 2019 bekannt gewordenen Datenleaks von Politikern und Prominenten, die IT-Sicherheit in Deutschland stärken.

Würde das Gesetz in dieser Form wirklich die IT-Sicherheit erhöhen, also den "Zustand, in dem Vertraulichkeit, Integrität und Verfügbarkeit von Informationen und Informationstechnik durch angemessene Maßnahmen geschützt sind"? Oder ist es ein weiterer Indikator für die im Innenausschuss angesprochene Strategieunfähigkeit der Bundesregierung in der IT-Sicherheit?

IT-Sicherheit versus Öffentliche Sicherheit

Tatsächlich beinhaltet der Entwurf eine Reihe sinnvoller Maßnahmen. Hierzu gehören ausgedehnte Meldepflichten über Sicherheitsvorfälle bei Zulieferern von wichtigen Komponenten für kritische Infrastrukturen ebenso wie zusätzliche Instrumente zur Bekämpfung von Botnetzen.

Die Befugnisse des Bundesamtes für Sicherheit in der Informationstechnik (BSI) werden durch den Gesetzentwurf erweitert, sodass es noch mehr zu einer Sonderordnungsbehörde wird. 864 neue Stellen soll das Amt dafür bekommen.

Auch zusätzliche Industriezweige wie Medien und Kultur werden in die Pflicht genommen, für mehr IT-Sicherheit zu sorgen. Auf die Wirtschaft kommen laut Gesetzesentwurf Zusatzkosten in Höhe von etwa 45 Millionen Euro zu. Die Unternehmen werden sicherlich nicht begeistert sein. Aber bliebe das IT-Sicherheitsgesetz 2.0 ganz beim Thema IT-Sicherheit, wäre es möglicherweise ein solider Entwurf geworden.

Leider vermischt das BMI als federführendes Ministerium aber IT-Sicherheit und öffentliche Sicherheit. Diese absichtliche Unsauberkeit war auch schon in der Cyber-Sicherheitsstrategie 2016 der Grund dafür, dass manche der damals vorgeschlagenen Maßnahmen eher für Unsicherheit sorgen.

Provider sollen zum Beispiel künftig erkennen, wenn ihre Dienste zur "rechtswidrigen Weitergabe oder Veröffentlichung von rechtswidrig erlangten Daten" genutzt werden und unverzüglich das Bundeskriminalamt informieren. Darüber hinaus soll der Provider nach Absprache mit den zuständigen Stellen den Zugang zu den Daten sperren oder die Daten löschen. Damit will das BMI offensichtlich eine erneute Bloßstellung von Politikern durch die Veröffentlichung ihrer Daten und Dokumente verhindern, so wie es im Januar passiert war.

Auch der umstrittene "Darknet-Paragraf", der bisher nur auf Länderebene diskutiert worden ist, findet sich in dem vorliegenden Gesetzesvorschlag wieder.

Doch weder diese Maßnahmen, noch die weiteren Änderungen des Strafgesetzesbuches zur Strafbarkeit des unerlaubten Eingriffs in informationstechnische Systeme werden zu mehr IT-Sicherheit in Deutschland führen.

Passwort an die Polizei übergeben

Dass es bei diesem Gesetz nicht immer um IT-Sicherheit geht, wird auch an der vorgesehenen Pflicht zur Herausgabe von Zugangsdaten deutlich. So soll künftig eine verdächtige Person von den Strafverfolgern dazu gezwungen werden können, ihren Nutzernamen und ihr Passwort für Telekommunikations- oder Telemediendienste auszuhändigen. Das kann sowohl ihren Instagram-Account, als auch den Login zum illegalen Untergrundforum für den Austausch von Waffen und Drogen umfassen.

Damit soll, so die Gesetzeserläuterung, die virtuelle Identität der verdächtigen Person übernommen werden, um Beweise über Straftaten anderer sammeln zu können. Problematisch aber wird es dann, wenn der Zugang zusätzlich per Zwei-Faktor-Authentifizierung abgesichert ist - also mit einem Zusatzcode, den der Verdächtige zum Beispiel per SMS oder App auf seinem Smartphone angezeigt bekommt. In diesem Fall müsste die verdächtige Person den Strafverfolgern zusätzlich zu den Zugangsdaten zum Account auch den Entsperrcode für das Smartphone verraten. Nur so könnten sie diesen Zusatzschutz deaktivieren. Alternativ müsste der Verdächtige dazu gezwungen werden, diesen Schutz selbst aufzuheben.

Dieser Teil des Gesetzesentwurfs würde also höchstens zu mehr IT-Sicherheit auf Seiten von Kriminellen führen, nämlich wenn sie vermehrt Zwei-Faktor-Authentifizierung aktivieren und auch illegale Untergrundforen diesen Zusatzschutz einführen, damit die Herausgabe der Login-Daten ihrer Kunden erschwert würde. Das ist sicherlich nicht die Absicht des BMI, sondern das genaue Gegenteil.

Aus demokratischer Sicht schwer nachvollziehbar

Weiterhin ist nicht zu erkennen, warum zwar Medien- und Kulturorganisationen, nicht aber politische Parteien in die Pflicht genommen werden sollen, für mehr IT-Sicherheit zu sorgen. Obwohl Politiker und Parteien im Visier ausländischer Nachrichtendienste stehen, wird es für sie weiterhin keine Meldepflicht für IT-Sicherheitsvorfälle geben. Auch an IT-Sicherheitsstandards müssen sie sich künftig nicht halten. Aus strategischer Perspektive ist das unverständlich.

Dazu kommen einige handwerkliche Fehler, wie etwa der Verweis auf einen Paragrafen im Bundesdatenschutzgesetz zu Informationspflichten nach Datenlecks, der durch die Umsetzung der EU-Datenschutz-Grundverordnung längst entfallen ist. Gespannt sein darf man daher auf die rechtliche Bewertung durch das Bundesministerium der Justiz und für Verbraucherschutz.

In der Summe ist der etwa 90 Seiten starke Gesetzesentwurf eine bunte Mischung aus sinnvollen Maßnahmen, aber auch problematischen Regelungen, die eher in ein Gesetz zur Stärkung der öffentlichen Sicherheit als in ein IT-Sicherheitsgesetz gehören. Dass das BMI sich nicht diesen Herausforderungen gewidmet hat, sondern wieder einmal versucht, neue Befugnisse für Strafverfolger unter dem Deckmantel der Stärkung der IT-Sicherheit einzuführen, ist nicht ganz ehrlich und aus demokratischer Sicht schwer nachvollziehbar.

insgesamt 19 Beiträge
Oberleerer 15.04.2019
1.
Das Netz muß, zumindest die privaten Teile, komplett in geschützte Bereiche abwandern. Waffen-handel ist ein Problem, daß in der realen Welt stattfindet. Und Drogenhandel ist ein ganz anderes Problem, bzw. eigentlich gar kein [...]
Das Netz muß, zumindest die privaten Teile, komplett in geschützte Bereiche abwandern. Waffen-handel ist ein Problem, daß in der realen Welt stattfindet. Und Drogenhandel ist ein ganz anderes Problem, bzw. eigentlich gar kein Problem, da das Aufgabe von Apotheken sein sollte.
klarafall 15.04.2019
2. Datensicherheit
Da wird es nicht lange dauern, bis die ersten Betreiber (die ihren Sitz normalerweise ohnehin ausserhalb der EU haben) den Benutzern anbieten, ein Zweit-Passwort einzurichten. Die Eingabe dieses Zweit-Passworts führt dann zum [...]
Da wird es nicht lange dauern, bis die ersten Betreiber (die ihren Sitz normalerweise ohnehin ausserhalb der EU haben) den Benutzern anbieten, ein Zweit-Passwort einzurichten. Die Eingabe dieses Zweit-Passworts führt dann zum sofortigen Löschen aller Benutzerdaten auf dem Server des Betreibers. Das Passwort kann man dann gern an die Behörden aushändigen, wenn man gezwungen wird.
juba39 15.04.2019
3. Viel Drumherumgerede
Kann man das auch einmal für den Normalverbraucher verständlicher darlegen? Da in einem anderen Artikel gerade über die Stasi fabuliert wurde. Was hier mit IT-Sicherheit und VS-Gesetz auf den Weg gebracht wird, davon hätte die [...]
Kann man das auch einmal für den Normalverbraucher verständlicher darlegen? Da in einem anderen Artikel gerade über die Stasi fabuliert wurde. Was hier mit IT-Sicherheit und VS-Gesetz auf den Weg gebracht wird, davon hätte die Stasi geträumt. 1. (siehe Text) Wenn eine Plattform die Offshorekonten eines Ministers auf den Bahamas offenlegt, können diese auf Verlangen vor der Veröffentlichung gelöscht werden. Tauchen solche von Putin in Panama auf, sind die NATÜRLICH zugänglich. Als Telegram sich weigerte, Nutzerdaten von Terroristen herauszugeben, waren das Helden der Demokratie, jetzt kann der selbe Betreiber vom VS gezwungen werden, einen Zugang VOR der Verschlüsselung zum Mithören zu schalten. Sogar Google soll gezwungen werden können, "Alexa" als Wanze zu schalten. Werte Redaktion, ist doch genug Dampf im Kessel für alle. Oder wartet der BT wieder bis zur nächsten WM, daß man das Paket nach 22:00 durchwinken kann?
mantrid 15.04.2019
4. nemo tenetur se ipsum accusare
In Deutschland muss sich niemand selbst belasten, noch Ermittlungsbehörden bei gegen ihn gerichtete Ermittlungen unterstützen oder gar selbst noch Beweise gegen sich liefern. Das ist in höchsrichterlichen Urteilen des BVG und [...]
In Deutschland muss sich niemand selbst belasten, noch Ermittlungsbehörden bei gegen ihn gerichtete Ermittlungen unterstützen oder gar selbst noch Beweise gegen sich liefern. Das ist in höchsrichterlichen Urteilen des BVG und des BGH ausdrücklich bestätigt worden, letzter bezog sich dabei sogar auf die Menschenwürde. Dieser Passus des IT-Sicherheitsgesetzes dürfte daher vor keinem deutschen Gericht auch nur den Hauch einer Chance haben.
tuvalu2004 15.04.2019
5. Seit wann muß ein Beschuldigter ...
... sich selber belasten? Und seit wann darf der Staat Straftaten provozieren und unterstützen? Ab dem Moment ist nicht mehr klar wer eine Straftat begeht, der Staat oder der Beschuldigte. Zusammen mit geheimen [...]
... sich selber belasten? Und seit wann darf der Staat Straftaten provozieren und unterstützen? Ab dem Moment ist nicht mehr klar wer eine Straftat begeht, der Staat oder der Beschuldigte. Zusammen mit geheimen Onlinedurchsuchungen ist nichts mehr gerichtsfest und alles wird zum Willkürstaat.

Artikel

© SPIEGEL ONLINE 2019
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung
TOP