Der Chaos Computer Club (CCC) stellt dem geplanten IT-Sicherheitsgesetz zum Schutz wichtiger Infrastrukturen vor Kriminellen ein vernichtendes Zeugnis aus. "Keiner der in diesem Gesetzentwurf vorgesehenen Schritte ist geeignet, zu einer sinnvollen Erhöhung der IT-Sicherheit in Deutschland beizutragen", heißt es in einer Stellungnahme des Sicherheitsforschers und CCC-Sprechers Linus Neumann, die er für eine öffentliche Anhörung des Bundestagsinnenausschusses verfasst hat.

Die Firmen in den fraglichen Branchen müssten "inzentiviert oder gezwungen werden", Schwachstellen ihrer IT sowohl nachträglich zu beheben als auch aktiv zu suchen und zu beseitigen. Dies sehe der Entwurf aber nicht vor.

Neumann kritisierte zugleich, dass der Gesetzentwurf den betroffenen Unternehmen neue Auskunfts-, Dokumentations- und Berichtspflichten auferlege. "Eine weitere Bürokratisierung der IT-Sicherheit geht zulasten dringend notwendiger proaktiver Maßnahmen zur effektiven Erhöhung der IT-Sicherheit", schrieb er.

Hart geht Neumann in seiner Stellungnahme mit Bundesamt für Sicherheit in der Informationstechnik (BSI) ins Gericht, mit dem die Betreiber kritischer Infrastrukturen laut Gesetzentwurf zusammenarbeiten müssen: "Es bestehen konkrete Anlässe zum Zweifel daran, dass das BSI ausschließlich der Sicherheit von Computern und Netzen verpflichtet ist und nicht im Rahmen von Aufgaben bei der sogenannten 'inneren Sicherheit' gezielt auf eine Schwächung von Endgeräten und Kommunikationsinfrastrukturen hinarbeitet", schreibt er in seiner Stellungnahme. Neumann bezieht sich unter anderem auf die kürzlich von netzpolitik.org aufgdeckte Beteiligung des BSI an der Entwicklung des "Staatstrojaners" zur Onlinedurchsuchung von Computern.

Neumann bekräftigt die Forderung des CCC, das BSI zu einer vom Bundesinnenministerium unabhängigen Behörde mit "unzweideutigem Sicherheitsauftrag" zu machen.

Daneben beklagte er, dass es in dem Gesetzentwurf vor allem um die Vermeidung eines Systemausfalls in den fraglichen Branchen gehe. "Gezielte Maßnahmen zum Schutz der Endnutzer werden nicht verlangt." Obwohl Privatnutzer die häufigsten Opfer von Angriffen auf informationsverarbeitende Systeme seien, finde sich im Gesetzentwurf "weder eine Initiative noch eine Absichtserklärung zur Änderung dieser Situation".

Kritik auch aus der Wirtschaft

Auch aus der Wirtschaft kam Kritik an dem Entwurf aus dem Bundesinnenministerium. So bemängelte der Bundesverband der Deutschen Industrie (BDI) in seiner Stellungnahme für den Ausschuss, dass die Zuordnung von Branchen zur sogenannten kritischen Infrastruktur nicht im Gesetz selbst, sondern in einer Rechtsverordnung vorgenommen werden soll.

Er kritisierte zudem, dass zu sicherheitsrelevanten Vorfällen lediglich eine Meldepflicht für Unternehmen gegenüber Behörden vorgesehen sei. Das BSI müsse seinerseits aber auch "Informationen über Bedrohungen zeitnah, aktuell und praxisorientiert an Unternehmen zurückgeben".

Der Deutsche Industrie- und Handelskammertag (DIHK) beklagte ebenfalls, der Begriff der "kritischen Infrastruktur" werde ebenso wie weitere wichtige Begriffe in dem Gesetzentwurf nicht definiert. Die vorgesehenen Meldepflichten führten zu "erheblichen Aufwänden" für die Firmen "bei nicht einschätzbarem Nutzen". Auch der DIHK forderte eine klarere Bestimmung der Rolle des BSI bei der Weitergabe von Informationen an die Unternehmen.