Zum Schutz wichtiger IT-Systeme hat die Bundesregierung strengere Sicherheitsanforderungen an Betreiber und Ausrüster beschlossen. Das Kabinett verabschiedete am Mittwoch den Entwurf eines zweiten IT-Sicherheitsgesetzes. Bundesinnenminister Horst Seehofer (CSU) nannte die Erweiterung und Novellierung des Vorgängergesetzes von 2015 einen „Durchbruch für Deutschlands Cybersicherheit“. Sein Entwurf soll sicherstellen, „dass Hacker und Spione nicht die Schaltzentralen unserer Krankenhäuser oder Energieversorger kapern“.

Betreiber solcher und anderer sogenannter kritischer Infrastrukturen wie Telekommunikationsnetze sollen mit dem neuen Gesetz unter anderem verpflichtet werden, Systeme zur Angriffserkennung einzusetzen. Die in den kritischen Bereichen bereits geltenden Meldepflichten sollen laut Innenministerium grundsätzlich auf alle Unternehmen „von besonderem öffentlichen Interesse“ wie etwa Rüstungsbauer sowie auf Unternehmen mit hoher Wertschöpfung und besonderer volkswirtschaftlicher Bedeutung ausgeweitet werden.

Hersteller müssen Glaubwürdigkeit unter Beweis stellen

Entsprechende „kritische Komponenten“, also wichtige und potenziell anfällige Technik in kritischen Infrastrukturen, soll Seehofers Entwurf zufolge künftig nicht nur angemeldet und zertifiziert werden müssen: Ein Hersteller soll dem Infrastrukturbetreiber und Abnehmer seiner Technik auch seine Vertrauenswürdigkeit sowie die seiner gesamten Lieferkette versichern müssen. In einer „Garantieerklärung“ müsste dann stehen, „ob und wie der Hersteller hinreichend sicherstellen kann“, dass sein Produkt nicht „missbräuchlich, insbesondere zum Zwecke von Sabotage, Spionage oder Terrorismus“ verwendet werden kann.

Kann der Hersteller das nicht oder hat er sich aus Sicht der Regierung „als nicht vertrauenswürdig erwiesen“, soll das Innenministerium seine Technik für kritische Infrastrukturen „im Einvernehmen mit den betroffenen Ressorts“ verbieten dürfen. Das gilt laut Ministerium auch, „wenn überwiegende öffentliche Interessen, insbesondere sicherheitspolitische Belange der Bundesrepublik Deutschland, dem Einsatz entgegenstehen“.

Die Einschränkungen betreffen unter anderem Telekommunikationsausrüster wie Huawei. Der umstrittene chinesische Konzern gilt als Vorreiter beim neuen Mobilfunkstandard 5G - doch es gibt seit längerem Befürchtungen, dass er sich durch Chinas Regierung für Spionage instrumentalisieren lassen könnte. Das BMI äußerte sich zum Thema Huawei am Mittwoch allerdings nicht konkret.

Kritik von TÜV und Bitkom

Der Gesetzentwurf sieht auch mehr Befugnisse des Bundesamts für Sicherheit in der Informationstechnik (BSI) vor, insbesondere „zur Abwehr von Gefahren für die Kommunikationstechnik des Bundes“. Unter anderem soll das Bundesamt künftig Protokolldaten ein Jahr lang speichern und verarbeiten dürfen. Außerdem soll es ein einheitliches Sicherheitskennzeichen für IT-Produkte wie Internetrouter entwickeln. BSI-Präsident Arne Schönbohm nannte das Gesetz einen „Meilenstein auf dem Weg zu einer sicheren Digitalisierung“.

„Echte Sicherheit und verlässliche Orientierung bietet nur eine fundierte Produktprüfung durch unabhängige Dritte“, betonte indes der Präsident des TÜV-Verbands, Joachim Bühler. Er kritisierte, das BSI solle künftig private Prüforganisationen zulassen und überwachen, mit denen es „gleichzeitig um die Zertifizierung von sicherheitskritischen Systemen in der Wirtschaft konkurriert“.

Der Digitalverband Bitkom sah noch „großen Nachbesserungsbedarf“ beim Sicherheitsgesetz: Es sei „zu wenig zielgerichtet, wirkt inhaltlich überdehnt und ist nur bedingt anschlussfähig an die EU-Gesetzgebung“, kritisierte Bitkom-Präsident Achim Berg. Unter anderem die Definition kritischer Komponenten sei ungenau.