News Tech

Entwurf für neues IT-Sicherheitsgesetz: Warum sollte die Polizei Instagram-Passwörter bekommen?

Erst kürzlich wurde der regierungsinterne Entwurf des geplanten Zweiten Gesetzes zur Erhöhung der Sicherheit in informationstechnischen Systemen (IT-Sicherheitsgesetz 2.0) von “netzpolitik.org” veröffentlicht. Das für den Gesetzesvorschlag verantwortliche Bundesministerium des Innern, für Bau und Heimat (BMI) möchte, vor allem angesichts des Anfang 2019 bekannt gewordenen Daten-Leaks von Politikern und Prominenten, die IT-Sicherheit in Deutschland stärken.

Würde das Gesetz in dieser Form wirklich die IT-Sicherheit erhöhen, also den “Zustand, in dem Vertraulichkeit, Integrität und Verfügbarkeit von Informationen und Informationstechnik durch angemessene Maßnahmen geschützt sind”? Oder ist es ein weiterer Indikator für die im Innenausschuss angesprochene Strategieunfähigkeit der Bundesregierung in der IT-Sicherheit?

IT-Sicherheit versus Öffentliche Sicherheit

Tatsächlich beinhaltet der Entwurf eine Reihe sinnvoller Maßnahmen. Hierzu gehören ausgedehnte Meldepflichten über Sicherheitsvorfälle bei Zulieferern von wichtigen Komponenten für kritische Infrastrukturen ebenso wie zusätzliche Instrumente zur Bekämpfung von Botnetzen.

Die Befugnisse des Bundesamtes für Sicherheit in der Informationstechnik (BSI) werden durch den Gesetzentwurf erweitert, so dass es noch mehr zu einer Sonderordnungsbehörde wird. 864 neue Stellen soll das Amt dafür bekommen.

Auch zusätzliche Industriezweige wie Medien und Kultur werden in die Pflicht genommen, für mehr IT-Sicherheit zu sorgen. Auf die Wirtschaft kommen laut Gesetzesentwurf Zusatzkosten in Höhe von etwa 45 Millionen Euro zu. Die Unternehmen werden sicherlich nicht begeistert sein. Aber bliebe das IT-Sicherheitsgesetz 2.0 ganz beim Thema IT-Sicherheit, wäre es möglicherweise ein solider Entwurf geworden.

Leider vermischt das BMI als federführendes Ministerium aber IT-Sicherheit und öffentliche Sicherheit. Diese absichtliche Unsauberkeit war auch schon in der Cyber-Sicherheitsstrategie 2016 der Grund dafür, dass manche der damals vorgeschlagenen Maßnahmen eher für Unsicherheit sorgen.

Provider sollen zum Beispiel künftig erkennen, wenn ihre Dienste zur “rechtswidrigen Weitergabe oder Veröffentlichung von rechtswidrig erlangten Daten” genutzt werden, und unverzüglich das Bundeskriminalamt informieren. Darüber hinaus soll der Provider nach Absprache mit den zuständigen Stellen den Zugang zu den Daten sperren oder die Daten löschen. Damit will das BMI offensichtlich eine erneute Bloßstellung von Politikern durch die Veröffentlichung ihrer Daten und Dokumente verhindern, so wie es im Januar passiert war.

Auch der umstrittene “Darknet-Paragraf”, der bisher nur auf Länderebene diskutiert worden ist, findet sich in dem vorliegenden Gesetzesvorschlag wider.

Doch weder diese Maßnahmen, noch die weiteren Änderungen des Strafgesetzesbuches zur Strafbarkeit des unerlaubten Eingriffs in informationstechnische Systeme werden zu mehr IT-Sicherheit in Deutschland führen.

Passwort an die Polizei übergeben

Dass es bei diesem Gesetz nicht immer um IT-Sicherheit geht, wird auch an der vorgesehenen Pflicht zur Herausgabe von Zugangsdaten deutlich. So soll künftig eine verdächtige Person von den Strafverfolgern dazu gezwungen werden können, ihren Nutzernamen und ihr Passwort für Telekommunikations- oder Telemediendienste auszuhändigen. Das kann sowohl ihren Instagram-Account, als auch den Login zum illegalen Untergrundforum für den Austausch von Waffen und Drogen umfassen.

Damit soll, so die Gesetzeserläuterung, die virtuelle Identität der verdächtigen Person übernommen werden, um Beweise über Straftaten anderer sammeln zu können. Problematisch aber wird es dann, wenn der Zugang zusätzlich per Zwei-Faktor-Authentifizierung abgesichert ist – also mit einem Zusatzcode, den der Verdächtige zum Beispiel per SMS oder App auf seinem Smartphone angezeigt bekommt. In diesem Fall müsste die verdächtige Person den Strafverfolgern zusätzlich zu den Zugangsdaten zum Account auch den Entsperrcode für das Smartphone verraten. Nur so könnten sie diesen Zusatzschutz deaktivieren. Alternativ müsste der Verdächtige dazu gezwungen werden, diesen Schutz selbst aufzuheben.

Dieser Teil des Gesetzesentwurfs würde also höchstens zu mehr IT-Sicherheit auf Seiten von Kriminellen führen, nämlich wenn sie vermehrt Zwei-Faktor-Authentifizierung aktivieren und auch illegale Untergrundforen diesen Zusatzschutz einführen, damit die Herausgabe der Logindaten ihrer Kunden erschwert würde. Das ist sicherlich nicht die Absicht des BMI, sondern das genaue Gegenteil.

Aus demokratischer Sicht schwer nachvollziehbar

Weiterhin ist nicht zu erkennen, warum zwar Medien- und Kulturorganisationen, nicht aber politische Parteien in die Pflicht genommen werden sollen, für mehr IT-Sicherheit zu sorgen. Obwohl Politiker und Parteien im Visier ausländischer Nachrichtendienste stehen, wird es für sie weiterhin keine Meldepflicht für IT-Sicherheitsvorfälle geben. Auch an IT-Sicherheitsstandards müssen sie sich künftig nicht halten. Aus strategischer Perspektive ist das unverständlich.

Dazu kommen einige handwerkliche Fehler, wie etwa der Verweis auf einen Paragrafen im Bundesdatenschutzgesetz zu Informationspflichten nach Datenlecks, der durch die Umsetzung der EU-Datenschutz-Grundverordnung längst entfallen ist. Gespannt sein darf man daher auf die rechtliche Bewertung durch das Bundesministerium der Justiz und für Verbraucherschutz.

In der Summe ist der etwa 90 Seiten starke Gesetzesentwurf eine bunte Mischung aus sinnvollen Maßnahmen, aber auch problematischen Regelungen, die eher in ein Gesetz zur Stärkung der öffentlichen Sicherheit als in ein IT-Sicherheitsgesetz gehören. Dass das BMI sich nicht diesen Herausforderungen gewidmet hat, sondern wieder einmal versucht, neue Befugnisse für Strafverfolger unter dem Deckmantel der Stärkung der IT-Sicherheit einzuführen, ist nicht ganz ehrlich und aus demokratischer Sicht schwer nachvollziehbar.

Leave a Reply

Your email address will not be published. Required fields are marked *