TeleTrusT nimmt Stellung zur Stärkung der Cybersicherheit
Der Referentenentwurf eines Gesetzes zur Stärkung der Cybersicherheit erscheint ambivalent: Er enthält einerseits dringend benötigte Eingriffsbefugnisse für Bundespolizei sowie BKA und sieht punktuell sinnvolle Befugniserweiterungen für das BSI vor. Andererseits ermöglicht der Entwurf tiefgreifende Eingriffe in die Netzinfrastruktur selbst, die langfristig das Vertrauen von Unternehmen und Bürgern in integre IT-Systeme signifikant schwächen können.
Cybersicherheit ist nicht nur Aufgabe der potenziell betroffenen Einrichtungen. Entsprechende Eingriffsbefugnisse für den Staat als Akteur für Cybersicherheit zu schaffen, kann sich als zeitgemäße und effektive Bereicherung eines holistisch verstandenen Cybersicherheitsrechts erweisen. Dazu sind die Eingriffsbefugnisse jedenfalls punktuell, streng cybersicherheitsbezogen und technisch sinnvoll umsetzbar auszugestalten.
Je tiefer staatliche Maßnahmen in IT-Systeme eingreifen können, desto höher sind die Anforderungen an Normenklarheit, technische Begrenzungen und Verfahrensvorschriften. Eingriffsbefugnisse stellen keinen Sicherheitsgewinn dar, wenn sie ihrerseits neue Angriffsflächen schaffen.
Im Ergebnis unterstützt TeleTrusT das Anliegen des Referentenentwurfs, die Cybersicherheit in Deutschland wirksamer zu schützen und die Reaktionsfähigkeit staatlicher Stellen gegenüber Cybergefahren und -angriffen zu verbessern.
Aus Sicht von TeleTrusT geht der Entwurf in zentralen Punkten jedoch in die falsche Richtung. Insbesondere die vorgesehene Neugestaltung des § 31 BSIG-E überzeugt nicht. Eine staatlich veranlasste zusätzliche Anbindung kritischer Systeme an das BSI ohne klar begrenzten Mehrwert, ohne hinreichendes Schutzkonzept und ohne tragfähige Kosten- und Haftungsregelungen stärkt die Cybersicherheit nicht, sondern schafft neue Risiken für KRITIS-Betreiber.
Genauso sind die in § 41a BPolG-E und § 62e BKAG-E angelegten Möglichkeiten einer „aktiven Cyberabwehr“ abzulehnen. Sie eröffnen die Gefahr, dass Bundesbehörden über kompromittierte Drittsysteme gerade solche Stellen in Anspruch nehmen oder beeinträchtigen, die selbst Opfer eines Cyberangriffs sind. Dadurch entstehen neue Angriffsflächen, neue Missbrauchsmöglichkeiten und potenziell erhebliche Kollateralschäden.
Schließlich wirft der Entwurf verfassungsrechtliche Fragen auf, insbesondere hinsichtlich der Kompetenzordnung und der Verlagerung operativer Cyber-Befugnisse auf Bundesebene. Diese Fragen müssen im weiteren Gesetzgebungsverfahren eindeutig beantwortet werden.
