Die unrühmliche Verabschiedung des IT-Sicherheitsgesetzes 2.0: Überholen ohne [die Experten] einzuholen

Im Wahlkampf gehen Union und SPD aufeinander los. Vor einigen Wochen peitschten sie noch gemeinsam das IT-Sicherheitsgesetz durch den Gesetzgebungsprozess. Ohne Rücksicht auf Kritik von Experten. Und ohne diesen genug Zeit für Stellungnahmen zu geben. Unsere Kolumnistin Kryptomania arbeitet den unrühmlichen Vorgang auf – und staunt immer noch darüber, dass ihr dazu keine der üblichen Science-Fiction-Analogien eingefallen ist. Als Sci-Fi-Autoren in ihren Romanen Forscher und Wissenschaftler ins Weltall schickten, ahnten sie offenbar nicht, dass es irgendwann auch ganz ohne Experten gehen wird.

Eine Kolumne von Aleksandra Sowa

„Wir, die unterzeichnenden Vereine, Stiftungen, Initiativen und Verbände […], fordern Sie als Ressortleiter*in auf, die Verbändebeteiligung als wichtiges Werkzeug demokratischer Teilhabe zukünftig wieder ernsthafter zu verfolgen“, heißt es in dem offenen Brief, den Vertreter der Zivilgesellschaft im Dezember 2020 an die Bundesministerien gerichtet hatten. Zu den Unterzeichnern zählten die Gesellschaft für Informatik, der eco-Verband der Internetwirtschaft, der Chaos Computer Club (CCC) oder die Stiftung Neue Verantwortung (SNV). Der Anlass für den Appel waren zunehmend sportliche – bisweilen gar lächerlich kurze – Fristen für die Abgabe von Expertenstellungnahmen zu Gesetzesvorschlägen.

„Trauriger Tiefpunkt waren im Dezember 2020 die Anfragen zu Stellungnahmen für den 4. Referentenentwurf zum IT-Sicherheitsgesetz 2.0 mit einer Kommentierungsfrist von 28 Stunden (bei 108 Seiten) und zur Novellierung des Telekommunikationsgesetzes mit einer Frist von 2 Tagen (bei 465 Seiten)“, heißt es im Brief weiter. Der „Entwurf eines Gesetzes zur Änderung des Netzwerkdurchsetzungsgesetzes (2017)“ vom BMJV wurde dann sogar an die EU notifiziert, bevor die Expertenstellungnahmen überhaupt eingetroffen waren, bemängelten die 19 Verbände und fügten eine exemplarische Auflistung von Gesetzgebungsvorhaben hinzu, bei denen die Kommentierungsfristen nicht ausreichend waren. Sie forderten von den Ministerien, neben angemessenen Kommentierungsfristen, auch eine ernsthafte Auseinandersetzung mit der Kritik der Experten an geplanten Gesetzesvorhaben.

28 Stunden, um 110 Seiten zu beurteilen…

Dass die Verbände sich ausgerechnet im Dezember 2020 zu der öffentlichen Kritik genötigt fühlten, hängt tatsächlich mit einem ganz bestimmten Gesetzesvorhaben zusammen: dem „Zweiten Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme“, kurz IT-Sicherheitsgesetz 2.0 oder ITSiG 2.0.

Doch der Reihe nach: Der erste bekannte Gesetzesentwurf, datiert auf den 27. März 2019, tauchte ausgerechnet wenige Tage vor der öffentlichen Anhörung zum Thema „IT-Sicherheit“ im Innenausschuss auf. Diese Version sollte laut Bundesinnenministerium (BMI) gar nicht vor der Verabschiedung durch das Kabinett der Öffentlichkeit bekannt gegeben werden. Prompt kommentierte dies in der Anhörung im Innenausschuss Anfang April 2019 der Sachverständige Dr. Sven Herpig von der SNV: Die Beteiligungsmöglichkeiten der Zivilgesellschaft beim Thema IT-Sicherheit würden massiv davon abhängen, ob Gesetze im Internet „durchgeleakt“ werden.

Auf die erste offizielle und vom Bundesinnenministerium befürwortete Gelegenheit, sich an dem Gesetzgebungsverfahren zu beteiligen, mussten Experten und Verbände dennoch bis Ende des Jahres 2020 warten. Der erste (offizielle) Entwurf zum ITSiG 2.0 wurde am 1. Dezember 2020 in einer nicht abgestimmten Diskussionsfassung veröffentlicht. Für die Stellungnahmen wurden den Verbänden gerade 2,5 Arbeitstage eingeräumt. Bereits zum Stichtag der Kommentierungsfrist, am 9. Dezember, folgte ein weiterer, aktualisierter und grundlegend überarbeiteter Referentenentwurf. Mit dem Schreiben zur „Beteiligung von Zentral- und Gesamtverbänden sowie von Fachkreisen (§ 47 Absatz 3 der Gemeinsamen Geschäftsordnung der Bundesministerien – GGO)" vom 9. Dezember 2020 wurde um Stellungnahmen zu dem ca. 110 Seiten zählenden Referentenentwurf bis zum 10. Dezember 2021, 14 Uhr, gebeten (28 Stunden). „Uns ist bewusst, dass diese [Zeit] äußerst kurz bemessen ist“, hieß es in dem Schreiben des BMI.

Das war sie tatsächlich. Sie löste einen Shitstorm aus. Dem Innenministerium wurde Arroganz und Ignoranz gegenüber Sachverstand und Expertenmeinungen vorgeworfen. „Vor dem Hintergrund der vom BMI eingeräumten eintägigen Frist zur Beteiligung ist eine der Bedeutung des Gesetzgebungsverfahrens angemessene und umfangreiche Kommentierung nicht möglich“, kommentierte unter anderem der eco-Verband der Internetwirtschaft. Der eco und 18 weitere Verbände reagierten mit dem oben bereits zitierten offenen Brief an die Bundesinnenministerien und forderten „angemessene Fristen statt Scheinbeteiligung“. Den Fristen trotzend arbeiteten die Experten – die einigen Bedarf zur Bereinigung sahen – dennoch fieberhaft an Ergänzungen und Verbesserungsvorschlägen.

Nur, um am 16. Dezember erneut vom BMI überrascht zu werden: „Die Bundesregierung hat heute den von Bundesinnenminister Horst Seehofer vorgelegten Entwurf eines Zweiten Gesetzes zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz 2.0) beschlossen“, teilte das BMI in einer Pressemitteilung mit. Hätten sie nicht besonders aufmerksam gearbeitet, wäre den unter Zeitdruck an Stellungnahmen arbeitenden IT-Sicherheitsexperten womöglich entgangen, dass schon vorher, nämlich am 11. Dezember ein weiterer Referentenentwurf des ITSiG 2.0 veröffentlicht wurde, der weder mit der Verbandsfassung vom 9. noch mit der Kabinettsfassung vom 16. Dezember 2020 übereinstimmte. „Durchbruch für Deutschlands Cybersicherheit“, ließ Innenminister Seehofer die Mitteilung zum Kabinettsbeschluss des IT-Sicherheitsgesetzes 2.0 mit einem persönlichen Zitat überschreiben.

Kritik von Experten – egal, von welcher Partei sie gerufen wurden

Der Wahnsinnsgalopp mit dem IT-Sicherheitsgesetz 2.0 war mit der Überweisung an den Bundestag durch das Kabinett noch lange nicht zu Ende. Der Entwurf des ITSiG 2.0, des „Zweiten Gesetzes zur Erhöhung der Sicherheit Informationstechnischer Systeme – BT-Drucksache 19/26106“, wurde anschließend auch in der Anhörung im Innenausschuss des Bundestages im März 2021, bis auf wenige Ausnahmen, fast durchgängig von den Experten kritisiert. Ob von Sachverständigen des Verbandes bitkom, der SNV, die gleich mit zwei Stellungnahmen antrat, von Linus Neumann vom CCC oder Manuel Atug von der KRITIS AG. Kritische Stimmen waren auch davon unabhängig, auf Einladung welcher Fraktion die Sachverständigen hinzugerufen wurden. „Selten hat eine Bundestagsanhörung, quer durch die anwesenden Sachverständigen und nebst den schriftlich vorgelegen Stellungnahmen, zu einem so einhelligen Verriss geführt“, kommentierte der ehemalige SPD-Abgeordnete Jörg Tauss die Anhörung für Telepolis.

Nicht nur an den geplanten Maßnahmen zum Schutz kritischer Infrastrukturen in Deutschland hatten die Experten etwas auszusetzen. Kritik erntete ebenfalls die fehlende Unabhängigkeit des Bundesamtes für Sicherheit in der Informationstechnik (BSI), das laut Experten nach dem ITSiG 2.0 zu einer „Hackerbehörde“ ausgebaut werden würde, sowie die bereits in der öffentlichen Anhörung im April 2019 bemängelte, fehlende Strategie der Bundesregierung zur Informationssicherheit, die unverhältnismäßigen Eingriffe in die Grundrechte, die bspw. über den Einsatz von Staatstrojanern gewährleistet werden sollten, die Vorratsdatenspeicherung, das Horten und die Nutzung von Sicherheitslücken durch die Behörden oder etwa die Versuche, die Verschlüsselung aufzuweichen.

Während die Pressestelle des Bundestages in ihrem Bericht zur Anhörung im Innenausschuss von „wenig Beifall für das geplante IT-Sicherheitsgesetz 2.0“ sprach, fanden die Sachverständigen im Innenausschuss wesentlich deutlichere Worte. Bei dem Vorgängergesetz, ITSiG, sprach man noch kritisch von einem Gesetz, das nicht hält, was es verspricht. In der öffentlichen Anhörung im Ausschuss für Inneres und Heimat zum ITSiG 2.0 sprachen die Sachverständigen nicht mal mehr von Erhöhung der IT-Sicherheit oder etwa „Gewährleistung der Cyber- und Informationssicherheit“, wie es in der Beschlussempfehlung hieß, sondern vielmehr von einem „Antisicherheitsgesetz“. „Wenn nach dieser Sachverständigenanhörung das IT-SiG 2.0 ohne elementare Änderungen verabschiedet wird, können wir uns zukünftig entweder die Sachverständigenanhörungen oder gleich die gesamten Parlamentsbefassungen sparen“, konzedierte Dr. Sven Herpig von der SNV in einer Twitternachricht nach der Anhörung im März 2021.

Den allerletzten Versuch, einige der Kritikunkte aus der Anhörung bei dem Beschluss des IT-Sicherheitsgesetzes 2.0 durch den Bundestag am 28. April 2021 doch noch einzubringen, unternahm die Fraktion der FDP mit einem Entschließungsantrag: Unter anderem wollte man „das BSI aus der Zuständigkeit des Bundesinnenministeriums herauslösen und einem zu gründenden Digitalministerium unterstellen“. Vergeblich: Das Gesetz wurde lediglich mit „einigen Änderungen“ und Ergänzungen aus den mündlichen und schriftlichen Stellungnahmen der Sachverständigen für den Innenausschuss vom 1. März 2021 beschlossen, deren Aufzählung auf eine DIN-A4-Seite passte (vgl. BT-Drucksache 19/28844, S. 4–5). Das Ergebnis des Votums: „Die Koalitionsfraktionen stimmten für, die Oppositionsfraktionen gegen das Gesetz.“

Weitere Anträge der Oppositionsparteien teilten das Schicksal des Entschließungsantrags der FDP: „Die FDP wurde von der Linken unterstützt, die Grünen enthielten sich“, hieß es aus der Sitzung des Bundestages, „[d]ie Mehrheit aus CDU/CSU, SPD und AfD stimmte gegen den Entschließungsantrag“. Bereits nach halbstündiger Aussprache wurde der Entwurf des IT-Sicherheitsgesetzes 2.0 in der vom Innenausschuss (geringfügig) geänderten Fassung vom Bundestag beschlossen. Der Innenminister ließ in der Pressemitteilung verkünden: „Das IT-Sicherheitsgesetz 2.0 ist ein Zukunftsgesetz. Dieses Gesetz ist ein Riesensprung nach vorn und ein echter Meilenstein für unsere Cybersicherheit.“ Zeitgleich kommentierte der Sachverständige Manuel Atug von der KRITIS AG auf Twitter: „Ein desolates Gesetz, was IT-Security und Resilienz von #KRITIS nach hinten werfen wird.“

Am 7. Mai 2021 fiel dann die letzte Bastion des potenziellen Widerstands gegen das ITSiG 2.0: Der Bundesrat hatte das vom Bundestag am 23. April 2021 beschlossene zweite Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme durch Verzicht auf ein Vermittlungsverfahren gebilligt.

Der Grund? Der Koalitionsvertrag.

Wozu die Eile? Das BMI begründete seine Vorgehensweise mit dem Auftrag aus dem Koalitionsvertrag zwischen CDU, CSU und SPD: „Mit der Fortschreibung des IT-Sicherheitsgesetzes aus dem Jahr 2015 wird ein Auftrag aus dem Koalitionsvertrag für die 19. Legislaturperiode umgesetzt.“ Warum dies allerdings mit so viel Vehemenz und ausgerechnet die Sicherheit betreffend geschah, erschloss sich schließlich nicht mal dem Bundesbeauftragten für Datenschutz und Informationssicherheit, Ulrich Kelber, der in einer Twitternachricht kommentierte: „Angesichts vieler neuer Gesetzentwürfe mit massiv erweiterten Eingriffsbefugnissen in Grundrechte für Nachrichtendienste, Verfassungsschutz und Polizei, die aktuell auflegt werden: Habe ich im zeitweiligen Homeoffice irgendeine Flut an Verbrechen und Terroranschlägen verpasst?“

Es stellen sich bisweilen auch weitere praktische Fragen: Der eco-Verband der Internetwirtschaft griff beispielsweise in seiner Stellungnahme die bevorstehende Gesetzgebung auf der EU-Ebene auf und appellierte an die Politik, „die Beratungen des IT-Sicherheitsgesetzes 2.0 zurückzustellen und die weiteren Entwicklungen auf europäischer Ebene abzuwarten“, insbesondere im Hinblick auf die Notwendigkeit einer bevorstehenden Harmonisierung des IT-Sicherheitsgesetzes mit der sich noch in der Überarbeitung befindenden europäischen Richtlinie zur Gewährleistung einer hohen Netzwerk- und Informationssicherheit (NIS). Offen bleibt auch die Frage, warum das IT-Sicherheitsgesetz 2.0 noch vor der Verfassung einer neuen Cyber-Sicherheitsstrategie für Deutschland beschlossen werden musste. Die Eckpunkte der Nationalen Cyber-Sicherheitsstrategie 2021 wurden erst im Mai 2021 den Verbänden zur Kommentierung überlassen.

Verstehe, was die Zukunft bringt!

Als Mitglied von 1E9 bekommst Du unabhängigen, zukunftsgerichteten Tech-Journalismus, der für und mit einer Community aus Idealisten, Gründerinnen, Nerds, Wissenschaftlerinnen und Kreativen entsteht. Außerdem erhältst Du vollen Zugang zur 1E9-Community, exklusive Newsletter und kannst bei 1E9-Events dabei sein. Schon ab 2,50 Euro im Monat!

Jetzt Mitglied werden!

„Kümmern Sie sich mit unseren kostenlosen Tipps und Infos ganz einfach selbst um Ihre digitale Sicherheit“, riet das BSI anlässlich des Startschusses der Werbekampagne #einfachaBSIchern, mit der sich die Behörde direkt an die Bürger gewandt hat. Gemäß IT-Sicherheitsgesetz 2.0 sollte der Verbraucherschutz im Bereich der Informationssicherheit als zusätzliche Aufgabe des BSI etabliert werden. Dies zeigte: Gegen Eigenverantwortung der Bürger für die eigene Informationssicherheit hat man nichts einzuwenden. Mit der Beteiligung an Gesetzesvorhaben schon eher. In der gemeinsamen Veranstaltung zur Vorstellung der Werbekampagne #einfachaBSIchern, der BSI-Präsident Arne Schönbohm und IT-Beauftragter der Bundesregierung, Markus Richter, beiwohnten, wurden Fragen zum ITSiG 2.0 teilweise nicht beantwortet. Der Gesetzentwurf genieße laut CIO des Bundes „hohe Anerkennung“. Der Journalist Peter Welchering, der die Veranstaltung nach einigen unbeantworteten Fragen abrupt verließ, kommentierte kurz danach das Geschehene auf Twitter: „Das Ausmaß der Realitätsverweigerung in dieser Bundesregierung macht mich sturzbetroffen.“

„Die Einbindung von Zivilgesellschaft und Verbänden liefert wichtige inhaltliche Anregungen, ermöglicht es, Meinungen und Expertise aus Gesellschaft, Wissenschaft und Wirtschaft einzuholen und wirkt der zunehmenden Spaltung der Gesellschaft und der Politikverdrossenheit entgegen“, hieß es in dem offenen Brief der Verbände an die Bundesministerien, dem eine exemplarische Auflistung von zwölf Gesetzgebungsvorhaben, bei denen die Kommentierungsfristen unzureichend waren, beigefügt ist. Die Kritik der Verbände blieb offenbar nicht ohne Resonanz. Für den kürzlich veröffentlichten Entwurf der „Rechtsverordnung zum IT-Sicherheitskennzeichen des Bundesamtes für Sicherheit in der Informationstechnik“ (BSI-ITSiKV) hat das Innenministerium auf die Möglichkeit, Meinungen und Expertise aus der Gesellschaft einzuholen, gleich ganz verzichtet. Dann gibt es auch keinen Stress mit irgendwelchen Fristen…

Ich würde die Vorschriften zitieren, aber ich weiß, Sie werden das einfach ignorieren.

Mr. Spock, Wissenschaftsoffizier an Board der USS Enterprise

Dr. Aleksandra Sowa gründete und leitete zusammen mit dem deutschen Kryptologen Hans Dobbertin das Horst Görtz Institut für Sicherheit in der Informationstechnik. Sie ist zertifizierter Datenschutzauditor und IT-Compliance-Manager. Aleksandra ist Autorin diverser Bücher und Fachpublikationen. Sie war Mitglied des legendären Virtuellen Ortsvereins (VOV) der SPD, ist Mitglied der Grundwertekommission, trat als Sachverständige für IT-Sicherheit im Innenausschuss des Bundestages auf, war u.a. für den Vorstand Datenschutz, Recht und Compliance (DRC) der Deutsche Telekom AG tätig und ist aktuell für eine Wirtschaftsprüfungsgesellschaft als Senior Manager und Prokurist aktiv. Außerdem kennt sie sich bestens mit Science Fiction aus und ist bei Twitter als @Kryptomania84 unterwegs.

Alle Folgen der Kolumne von @Kryptomania findest du hier .

Hat dir der Artikel gefallen? Dann freuen wir uns über deine Unterstützung! Werde Mitglied bei 1E9 oder folge uns bei Twitter, Facebook oder LinkedIn und verbreite unsere Inhalte weiter. Danke!

3 Like

Da fragt man sich ob lediglich 4-jährige Wahlen bei eingeschränkten Optionen ein wirksames Korrektiv sind…