Das Kabinett der Bundesregierung Deutschland hat im Dezember 2020 den Entwurf eines zweiten Gesetzes zur Erhöhung der Sicherheit informationstechnischer Systeme beschlossen. Für Anbieter wie Huawei könnte das bedeuten, dass Sie bei der Vergabe aus dem Rennen sind.

In Corona-Zeiten haben es Einbrecher mit Brechstange oder langem Schraubenzieher schwerer, da viele der Opfer sich im Homeoffice befinden, umso leichter fallen diese aber Cyberkriminellen zur Beute. Die Bundesregierung hat daher beschlossen, die Informationssicherheit weiter zu verbessern. Das Kabinett hat Mitte Dezember den Entwurf zu einem „Zweiten Gesetz zur Erhöhung informationstechnischer Systeme“ zur Verabschiedung durch den Bundestag beschlossen.

Mehr Befugnisse für das BSI

Einer der Punkte der Gesetzesvorlage sind mehr Befugnisse für das Bundesamt für Sicherheit in der Informationstechnik (BSI). Dieses soll zum Beispiel künftig über einen längeren Zeitraum Daten speichern können. Denn Vorfälle in der Vergangenheit hätten gezeigt, dass sich Cyberattacken oft über einen mehrjährigen Zeitraum hinziehen können.

Hatte das BSI bisher vornehmlich die Aufgabe Gefahren für die Sicherheit der Informationstechnik des Bundes abzuwehren, soll der Schutz nun auch auf die Bürgerinnen und Bürger ausgeweitet werden. Dabei soll das Bundesamt dem Gesetzesentwurf zufolge als unabhängige, neutrale Beratungsstelle für alle Fragen rund um die IT-Sicherheit etabliert werden. Ferner sieht der Kabinettsbeschluss die Schaffung der Voraussetzungen für eine einheitliche IT-Meldepflicht auch für andere systemkritische Unternehmen.

Außerdem soll die bestehende Meldepflicht für Betreiber kritischer Infrastrukturen, wie die bei der Energie- und Wasserversorgung, auch auf andere Teile der Wirtschaft ausgeweitet werden. Rüstungskonzerne sollen ebenso dazu gehören wie Unternehmen, die wegen ihrer hohen Wertschöpfung von besonderer volkswirtschaftlicher Bedeutung sind. Der Passus dürfte sicherlich noch Interpretationsbedarf nach sich ziehen. Die Zeit nennt hier auch Telekommunikationsnetze und die Einrichtungen des Gesundheitswesens. In jedem Fall sollen die betreffenden Firmen oder Organisationen verpflichtet werden, Systeme zur Angriffserkennung (Cyber Attack Detection) einzusetzen.

Hersteller von Komponenten kritischer Systeme oder Infrastrukturen sind dem Gesetzesentwurf zufolge künftig auch mehr in der Pflicht. So heißt es dort laut einem Zeit-Artikel, aus der Garantieerklärung müsse hervorgehen, ob und wie der Hersteller hinreichend sicherstellen kann, dass die kritische Komponente salopp gesagt kein Einfallstor für Missbrauch wie Sabotage, Spionage und Terrorismus bietet.

Was bedeutet der Entwurf für Huawei?

Zu den kritischen Infrastrukturen gehören auch die superschnellen, neuen 5G-Netze, wie t3n schreibt. Wenn die Vertrauenswürdigkeit der Systeme nicht ausreichend dargelegt wird, kann das Bundesinnenministerium den Einsatz untersagen. Dem IT-Magazin und der Zeit zufolge kann das auch Auswirkungen auf Huawei haben. Der chinesische Anbieter steht seit geraumer Zeit unter Kritik, seinem Land zu dienen und keinen ausreichenden Schutz vor Spionage und Cyberattacken zu bieten. Huawei selbst hat diese Vorwürfe stets von sich gewiesen.

Das Bundesinnenministerium ist gefordert, die Mindestanforderungen festzulegen. Erweist sich ein Hersteller als nicht vertrauenswürdig, weil er zum Beispiel bekannte Schwachstellen an den jeweiligen Betreiber nicht offenlegt, kann der Betrieb des betreffenden Systems oder der Komponente vom Ministerium untersagt werden.

Fazit mit Fragezeichen

Der Gesetzesentwurf lässt sicherlich noch manche Punkte offen, so zum Beispiel die Frage, welche Unternehmen wegen ihrer Wertschöpfung unter dem besonderen Schirm des BSI und Innenministeriums fallen sollen. Fraglich ist auch, wie weit die Erklärungen oder Garantien der Hersteller in puncto vertrauenswürdiger Komponenten gehen sollen oder können. Denn im Fall eines großen amerikanischen Anbieters sind auch US-Unternehmen im Zweifel nicht frei davon, Kundendaten an die Behörden weiterzuleiten. Mit dem Privacy Shield ist Mitte 2020 gerade das zweite Abkommen zwischen den USA und der EU gekippt worden. Die Unsicherheiten bleiben.

Ob und inwieweit das die Debatte im Bundestag beeinflussen wird, ist der vom Kabinett vorgelegte Gesetzesentwurf dennoch zu begrüßen, weil er ein deutliches Zeichen für mehr Sicherheit in der Informationstechnik schafft. Ob es wirklich der große „Durchbruch für Deutschlands Cybersicherheit“ (Horst Seehofer laut Zeit) ist, wird sich zeigen. Aber es wäre schon viel gedient, wenn Unternehmen, Behörden und Verbraucher dem Thema IT-Sicherheit mehr Aufmerksamkeit widmen würden. Die Experten von msecure unterstützen mittelständische Unternehmen bei den Themen IT-Sicherheit und Datenschutz.

Quelle Titelbild:  iStock / bluejayphoto