Comretix Blog

Wir bieten aktuelle Informationen über uns und aus der IT Welt.

Deutschlands Behörden sollen Sicherheitslücken wenigstens melden

Bundesbehörden sollen IT-Sicherheitslücken unverzüglich dem Bundesamt für Sicherheit in der Informationstechnik (BSI) melden, sobald sie ihnen bekannt werden und "soweit andere gesetzliche Regelungen dem nicht entgegenstehen". Zu dieser Regelung haben sich die nach dem Ausscheiden der FDP in der Koalition verbliebenen Verhandler von SPD und Grünen durchgerungen. Festgehalten werden soll das im BSI-Gesetz, Paragraph 43, in einem neuen Absatz 6.

Anzeige

Der Entwurf liegt heise online vor. Die Ampel-Koalition ist mit dem Versprechen im Koalitionsvertrag angetreten, IT-Sicherheit zu stärken. Der Staat soll demnach "keine Sicherheitslücken ankaufen oder offenhalten", sondern sich unter Federführung eines unabhängigeren BSI "immer um die schnellstmögliche Schließung bemühen". Zugleich sollten die Eingriffsschwellen bei Überwachungssoftware wie Staatstrojanern erhöht und die bestehenden Befugnisse für die Polizei eingeschränkt werden.

Eine Arbeitsgruppe aus Innenpolitikern der Koalitionsfraktionen und des Bundesinnenministeriums (BMI) kam allerdings in der Frage des Schwachstellenmanagements monatelang auf keinen gemeinsamen Nenner. Erst im Frühjahr gab es Hoffnung auf eine Übereinkunft. Vor der Sommerpause fanden die drei Fraktionen tatsächlich zueinander, doch wie das BMI den Kompromiss im Anschluss ausformuliert hat, stieß vor allem den Grünen und den Liberalen angesichts zu vieler Hintertüren für Ausnutzung von Schwachstellen durch Sicherheitsbehörden übel auf.

Die Bundesregierung machte dann im Rahmen ihres Entwurfs zur Umsetzung der NIS2 getauften EU-Richtlinie zur Netz- und Informationssicherheit den Vorschlag für einen Paragraf 43 Absatz 5 im BSI-Gesetz. Dieser geht nicht so weit wie der nun zusätzlich von SPD und Grünen vereinbarte Absatz 6. Dem Regierungsansatz zufolge besteht Meldepflicht für Schwachstellen nur, wenn Informationen darüber "für die Erfüllung von Aufgaben oder für die Sicherheit der Kommunikationstechnik des Bundes von Bedeutung sind". Zudem gibt es eine Palette von Ausnahmen, die sich sogar auf "Geheimschutz oder Vereinbarungen mit Dritten" bezieht.

Nicht einmal brauchbare Daten über das Ausmaß des Problems soll es geben: Von der Auflage, eine jährliche Statistik über bekannt gewordene Sicherheitslücken zu führen, sollen der Bundesnachrichtendienst (BND) und das Bundesamt für Verfassungsschutz (BfV) ausgenommen werden.

Anzeige

Der weiterreichende Absatz 6 soll laut der rot-grünen Absprache hinzukommen. Dieser Kompromiss ist aber nur eine Meldepflicht und schließt damit nicht generell aus, dass Sicherheitsbehörden Lücken absichtlich offenhalten, um sie etwa für das Aufspielen von Staatstrojanern auf Geräte Dritter zu verwenden. Grundsätzlich hat das Bundesverfassungsgericht 2021 den Gesetzgeber dazu angehalten, den Umgang staatlicher Stellen mit Schwachstellen zu regeln, um das Grundrecht auf Vertraulichkeit und Integrität von IT-Systemen zu verwirklichen.

Den Grünen wäre eine Formulierung lieber gewesen, "die die allgemeine IT-Sicherheit in Deutschland priorisiert", erklärten Konstantin von Notz, Fraktionsvize, und seine Kollegin Misbah Khan, die mitverhandelt hat, gegenüber heise online. Mehr sei mit der SPD aber nicht zu machen gewesen. Gleichwohl würde der Kompromiss "zu einer signifikanten Verbesserung im Vergleich zum Status quo führen: Es ist wichtig, dass der Gesetzgeber zum Umgang mit staatlich bekannten Schwachstellen eine klare Linie vorgibt."

Mit Ihrer Zustimmmung wird hier eine externe Umfrage (Opinary GmbH) geladen. Umfragen immer laden

Das bisher praktizierte intransparente Offenhalten von Schwachstellen auf Basis einfacher Verwaltungsvorschriften, bei dem große volkswirtschaftliche und sicherheitspolitische Schäden drohten, sei so nicht mehr möglich. Umfassende Ausnahmen von diesem Grundsatz seien abgewehrt.

(Ursprünglich geschrieben von Stefan Krempl)
×
Stay Informed

When you subscribe to the blog, we will send you an e-mail when there are new updates on the site so you wouldn't miss them.

heise-Angebot: iX-Workshop: E-Rechnungspflicht - A...
Sicherheitsupdates: Angreifer können Qnap NAS komp...
 

Kommentare

Derzeit gibt es keine Kommentare. Schreibe den ersten Kommentar!
Bereits registriert? Hier einloggen
Montag, 20. Januar 2025

Die Comretix GmbH ist ein IT Systemhaus aus Tuttlingen. Seit über 30 Jahren betreuen wir unsere Kunden in Baden-Württemberg, der Schweiz und im gesamten Bundesgebiet mit Leidenschaft, Fairness und Loyalität. Wir bauen auf eine zuverlässige Partnerschaft mit unseren Lieferanten und Kunden. Unseren Mitarbeitern stehen wir auf Augenhöhe gegenüber.

Image