Heute bin ich in den Innenausschuss des Deutschen Bundestags geladen, um als Sachverständiger Auskunft zum IT-Sicherheitsgesetz zu geben. Dazu habe ich auch eine Stellungnahme verfasst: Stellungnahme zum Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme.
Die Kernpunkte lauten:
1. Fehlende Ansätze zum Endnutzerschutz
Stattdessen sollen Unternehmen zum Schutz ihrer geschäftlichen Interessen “gezwungen” werden, obwohl ein entsprechender Schutz ohnehin in ihrem zentralen ökonomischen Interesse liegt.
2. Steigerung der Bürokratie statt aktiver Erhöhung der Sicherheit
Alarmierungskontakte und Berichtspflichten stellen einen enormen Resourcenaufwand dar, der besser zur tatsächlichen Erhöhung der Sicherheit aufgewendet werden sollte.
3. Das Vorschlagsrecht der Betreiber führt den gewünschten Effekt der Sicherheitsstandards ad absurdum
Die Betreiber sollen ihre eigenen Sicherheitsstandards vorschreiben. Das Entstehen pro-aktiver, über den Status Quo hinaus gehende Anforderungen ist somit ausgeschlossen. Verlangt wird ohnehin nur der “Stand der Technik”, der per Definition ja heute schon vorherrscht.
4. Geschwächter Datenschutz führt zu höheren Risiken der IT-Sicherheit
Die nach §100 TKG zu sammelnden Daten haben keine nennenswerte Relevanz zum Verhindern oder schnelleren Beseitigen von Störungen, sondern stellen eine Vorratsdatenspeicherung durch die Hintertür dar.
5. Das Vertrauensproblem des BSI wird nicht gelöst
Weder die Wirtschaft, noch die Bürger haben ein besonderes Vertrauen in das BSI. Eine Herauslösung aus dem BMI und ein Aufstellen als eigenständige Bundesbehörde ist notwendig, um das BSI zu einer Behörde mit unzweideutigem Sicherheitsauftrag zu machen.
Hier geht es zum Volltext als pdf.
Update: Eine Aufzeichnung der Anhörung gibt es auf den Seiten des Bundestags und bei Youtube. Dort findet sich auch eine Version, in der nur meine Beiträge zusammen geschnitten wurden:
Update: Das Wortprotokoll wurde nun fertig gestellt.
Siehe auch:
- Beitrag in den Tagesthemen (Backup bei Youtube)
- heise.de: Geplantes IT-Sicherheitsgesetz lässt Fragen offen
- zeit.de: Chaos Computer Club warnt vor Zusammenarbeit mit Bundesbehörde
- golem.de: CCC lehnt BSI als Meldestelle ab
- taz.de: Vorratsdatenspeicherung plus Eins
- Computer Base: Chaos Computer Club sieht Ziele verfehlt
- Freenet: Chaos Computer Club: IT-Sicherheitsgesetz bringt nichts
Pingback: Anhörung zum IT-Sicherheitsgesetz im Bundestag | netzpolitik.org
Hey Linus,
weisst du, ob die Stellungnahme wieder als Videodatei veröffentlicht wird?! War beim letzten Mal sehr interessant zu sehen, wie das abläuft.
Viele Grüße!
[ Kommentar Linus: Habe ich oben verlinkt ]
Pingback: IT-Sicherheitsgesetz tritt in Kraft › Linus Neumann