Der Bundestag hat am 23. April ein zweites IT-Sicherheitsgesetz beschlossen, das unter anderem wichtige Infrastruktur wie Mobilfunk- und Energienetze schützen soll. Zu den Neuerungen gehört, dass das Bundesinnenministerium den Einsatz sicherheitsrelevanter Komponenten verbieten kann, wenn der Hersteller von der Regierung eines anderen Landes kontrolliert wird oder bereits an gefährlichen Aktivitäten beteiligt war. Zuvor lag der Fokus auf einer Vertrauenswürdigkeits-Erklärung des Herstellers selbst.

In dem Gesetz wird die Rolle des Bundesamts für Sicherheit in der Informationstechnik (BSI) ausgebaut, welches sich stärker um die Cybersicherheit der Verbraucher kümmern soll. Damit Konsumenten sich besser zurechtfinden können, wird es IT-Sicherheitskennzeichen geben.

Rechtliche Grundlage für Ausschluss von Huawei

Das IT-Sicherheitsgesetz 2.0 ist das Ergebnis einer langen Diskussion. Sie wurde auch vor dem Hintergrund der Frage geführt, ob der chinesische Netzwerk-Ausrüster Huawei am Ausbau des neuen 5G-Datennetzes teilnehmen darf. Mit der neuen Fassung gibt es eine breitere rechtliche Grundlage, um Huawei auszuschließen.

Vor allem die USA werfen Huawei enge Verbindungen zur chinesischen Regierung vor und haben das Unternehmen unter Verweis auf eine Gefahr von Spionage und Sabotage mit harten Sanktionen belegt. Huawei weist die Vorwürfe zurück.

»Beim 5G-Netzausbau kommt nun sicherheitspolitischen Belangen zentrale Bedeutung zu«, sagte der innenpolitische Sprecher der CDU/CSU-Bundestagsfraktion, Mathias Middelberg. Der zuständige Unions-Berichterstatter Christoph Bernstiel betonte, neben einer technischen Überprüfung werde es auch eine politische Überprüfung der Hersteller geben. Es sei jedoch kein »Lex Huawei«, da gleiche Anforderungen für alle gälten. SPD-Berichterstatter Sebastian Hartmann hob hervor, das Parlament gebe dazu klare Kriterien vor.

Zugleich warf der Grünen-Netzexperte Konstantin von Notz der Regierung vor, sie habe über Jahre zu wenig für die IT-Sicherheit unternommen – und komme jetzt »in der letzten Kurve der Legislatur« mit einem von vielen Experten kritisierten Entwurf. Das Gesetz wurde mit den Stimmen der Regierungskoalition verabschiedet.

Kritik vom Bitkom, Zustimmung vom BDI

Der Digitalverband Bitkom kritisierte das neue Sicherheitsgesetz als »eine Kombination aus technischer Zertifizierungsmaschinerie und politisch-regulatorischem Gutdünken mit fragwürdigem Mehrwert für die IT-Sicherheit«. Der Bundesverband der Deutschen Industrie (BDI) begrüßte dagegen das Gesetz. Es ebne den Weg für den Ausbau eines sicheren 5G-Netzes in Deutschland.

BSI-Chef Arne Schönbohm sagte der Deutschen Presse-Agentur, damit die Digitalisierung sicher gelinge, sei das BSI als starke Cyber-Sicherheitsbehörde des Bundes notwendig. »Beraten, informieren, warnen werden in Zukunft immer wichtiger werden.« Mit dem neuen Gesetz würden in allen drei großen Aufgabenbereichen des BSI umfangreiche Verbesserungen möglich.

Bedrohungslage weiterhin auf hohem Niveau

Zum einen werde das Mandat des BSI zum Schutz der Bundesverwaltung durch neue Prüf- und Kontrollbefugnisse gestärkt. »Ganz besonders freue ich mich, dass das BSI die unabhängige und neutrale Beratungsstelle für Verbraucherinnen und Verbraucher in Fragen der IT-Sicherheit auf Bundesebene wird.« Außerdem werde der Geltungsbereich des BSI auf Unternehmen ausgeweitet, die wegen ihrer hohen Wertschöpfung eine besondere volkswirtschaftliche Bedeutung haben oder deren Ausfall durch einen Angriff Auswirkungen auf die kritische Infrastruktur hätten. »Dieser Schritt ist richtig und konsequent, denn die Bedrohungslage durch Cyber-Kriminalität in Deutschland bleibt auf einem angespannt hohen Niveau.«