Bundesbehörden sollen IT-Sicherheitslücken unverzüglich dem Bundesamt für Sicherheit in der Informationstechnik (BSI) melden, sobald sie davon Kenntnis erlangen und „solange andere gesetzliche Regelungen dem nicht entgegenstehen“. Zu dieser Regelung kamen die Verhandlungsführer von SPD und Grünen, die nach dem Austritt der FDP aus der Koalition in der Koalition verblieben waren. Dies soll im BSI-Gesetz § 43 in einem neuen § 6 festgehalten werden.
Werbung
Der Entwurf ist online bei heise verfügbar. Die Ampel-Koalition startete mit dem Versprechen im Koalitionsvertrag, die IT-Sicherheit zu stärken. Der Staat solle daher „keine Sicherheitslücken erkaufen oder offenhalten“, sondern unter Führung eines unabhängigeren BSI „stets danach streben, diese schnellstmöglich zu schließen“. Gleichzeitig sollten die Eingriffsschwellen für Überwachungssoftware wie Staatstrojaner erhöht und die bestehenden Befugnisse der Polizei eingeschränkt werden.
Allerdings konnte sich eine Arbeitsgruppe aus Innenpolitikern der Koalitionsfraktionen und des Bundesinnenministeriums (BMI) beim Thema Schwachstellenmanagement über Monate nicht auf einen gemeinsamen Nenner einigen. Erst im Frühjahr gab es Hoffnung auf eine Einigung. Vor der Sommerpause hatten sich die drei Fraktionen tatsächlich zusammengefunden, doch die Art und Weise, wie das BMI den Kompromiss anschließend formulierte, stieß bei den Grünen und den Liberalen besonders auf Unmut, da es zu viele Hintertüren für Sicherheitsbehörden gab, um Schwachstellen auszunutzen.
Keine umfassenden Statistiken
Im Rahmen ihres Entwurfs zur Umsetzung der EU-Richtlinie zur Netz- und Informationssicherheit, genannt NIS2, schlug die Bundesregierung daraufhin einen Paragraphen 43 Absatz 5 im BSI-Gesetz vor. Damit geht es nicht bis zu Absatz 6, auf den sich SPD und Grüne nun zusätzlich geeinigt haben. Eine Pflicht zur Meldung von Schwachstellen besteht nach dem Ansatz der Bundesregierung nur dann, wenn Informationen darüber „wichtig für die Aufgabenerfüllung oder für die Sicherheit der Kommunikationstechnik des Bundes“ sind. Darüber hinaus gibt es eine Reihe von Ausnahmen, die sich sogar auf „Geheimhaltungsmaßnahmen oder Vereinbarungen mit Dritten“ beziehen.
Über das Ausmaß des Problems liegen noch keine verwertbaren Daten vor: Der Bundesnachrichtendienst (BND) und das Bundesamt für Verfassungsschutz (BfV) sollen von der Pflicht zur jährlichen Statistik bekannter Sicherheitslücken befreit werden .
Kein „intransparentes“ Offenhalten von Sicherheitslücken
Nach der rot-grünen Einigung soll der weitergehende Absatz 6 hinzugefügt werden. Allerdings handelt es sich bei dieser Kompromittierung nur um eine Meldepflicht und schließt grundsätzlich nicht aus, dass Sicherheitsbehörden Lücken absichtlich offen halten, um sie beispielsweise für die Installation von Staatstrojanern auf Geräten Dritter zu nutzen. Grundsätzlich forderte das Bundesverfassungsgericht im Jahr 2021 den Gesetzgeber auf, den Umgang staatlicher Stellen mit Schwachstellen zu regeln, um das Grundrecht auf Vertraulichkeit und Integrität von IT-Systemen zu verwirklichen.
Die Grünen hätten sich eine Formulierung gewünscht, „die die allgemeine IT-Sicherheit in Deutschland in den Vordergrund stellt“, erklärten Fraktionsvize Konstantin von Notz und seine ebenfalls verhandelte Kollegin Misbah Khan gegenüber heise online. Aber mit der SPD war nichts mehr zu machen. Dennoch würde der Kompromiss „zu einer deutlichen Verbesserung gegenüber dem Status quo führen: Wichtig ist, dass der Gesetzgeber eine klare Linie vorgibt, wie mit den dem Staat bekannten Schwachstellen umgegangen werden soll.“
Empfohlener redaktioneller Inhalt
Mit Ihrer Einwilligung wird hier eine externe Umfrage (Opinary GmbH) geladen.
Laden Sie Umfragen immer
Die bisher praktizierte intransparente Offenhaltung von Schwachstellen auf Basis einfacher Verwaltungsvorschriften, die große wirtschaftliche und sicherheitstechnische Schäden drohte, ist nicht mehr möglich. Umfangreiche Ausnahmen von diesem Grundsatz werden verhindert.