Heute findet die öffentliche Anhörung im Innenausschuß des Deutschen Bundestag zum Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz) statt. [0] Der Chaos Computer Club (CCC) veröffentlicht seine Stellungnahme zum Gesetzentwurf. [1]
Nicht eine einzige der im Gesetzesentwurf vorgeschlagenen Maßnahmen ist zielführend, um die IT-Sicherheit tatsächlich zu erhöhen. Man hat offenbar ein Verständnis von IT-Sicherheit in ein Gesetz gegossen, wonach lediglich durch mehr verpflichtende Dokumentations- und Berichtsregularien und Checklisten in den Unternehmen wirksame Verbesserungen herbeigeführt werden könnten. Doch der nun vorgesehene enorme Bürokratieaufwand ist nicht nur zeitaufwendig und in der Sache nutzlos, sondern hält auch noch die an einer wirksamen IT-Sicherheit Arbeitenden von wirklich sinnvollen Maßnahmen ab.
Der Gesetzentwurf sieht zudem das exklusive Sammeln von Angriffswissen über Sicherheitslücken und -vorfälle beim umstrittenen Bundesamt für Sicherheit in der Informationstechnik (BSI) vor, dem dabei keinerlei Regeln zur Zweckbindung der so erhobenen Daten auferlegt werden sollen. [2] Spätestens seit bekanntwurde, daß das BSI seit Jahren an entscheidender Position staatliche Schadsoftware mitentwickelt, genießt das Amt kein Vertrauen mehr. [3] Der CCC erneuert daher seine Forderung, das BSI endlich zu einer vom Innenministerium unabhängigen Bundesbehörde mit klarem Sicherheitsauftrag zu machen, die bei Staatstrojaner-Plänen oder anderen Maßnahmen, die zur Senkung der IT-Sicherheit beitragen, nicht mehr zuarbeiten darf.
Hohes Mißbrauchspotential und ein beachtliches Risiko stellt eine weitere im Gesetzentwurf vorgesehene Maßnahme dar: Man möchte allerhand Internet-Verkehrsdaten sammeln, die angeblich bei Störungsaufklärungen behilflich sein sollen. Aus technischer Perspektive gibt es aber dafür keine Begründung.
Der Gesetzesentwurf vernachlässigt insgesamt die Interessen aller normalen Nutzer und enthält keinerlei Initiativen oder Ansätze, deren Situation zu verbessern. Bei Privatpersonen und den ihnen entstehenden Schäden durch mangelnde IT-Sicherheit soll offenbar alles so bleiben, wie es derzeit ist.
Links:
[0] Anhörung zum IT-Sicherheitsgesetz, in der Linus Neumann für den CCC als Sachverständiger teilnehmen wird
[1] Stellungnahme des CCC zum IT-Sicherheitsgesetz (pdf)