Es hat viele Schleifen gebraucht, doch kurz vor Weihnachten schnürt die Regierung noch ein dickes Paket für die Cybersicherheit: Am Mittwoch wurde das 108-seitige IT-Sicherheitsgesetz 2.0 (IT-SiG) im Kabinett verabschiedet – fast zwei Jahre nach Ankündigung durch Innenminister Horst Seehofer (CSU) im Januar 2019. Heftig ist seither in der Koalition gerungen worden um die große Vertrauensfrage: Wer darf sich beteiligen am Aufbau der kritischen Infrastruktur 5G?
Es geht um die Nervenbahnen der Zukunft: Autonom fahrende Autos, ferngesteuerte Operationen, KI-gelenkte Industrieparks; all das kann künftig über das ultraschnelle Mobilfunknetz gesteuert werden. Die Komponenten könnte auch der chinesische Konzern Huawei liefern – ob er es darf, darüber streiten Industrie- und Sicherheitspolitik heftig.
Wie bei Asterix‘ Suche nach Passierschein A38
Diese Woche haben sich die Ressorts nun über die letzten Punkte des Gesetzes geeinigt, in denen es auch um die künftige Rolle des Bundesamts für Sicherheit in der Informationstechnik (BSI) beim Verbraucher- und Datenschutz ging. Das soll nun zur Super-Sicherheitsbehörde entwickelt werden. Die Huawei-Frage aber wurde gelöst durch ein Verfahren, das ein wenig an Asterix‘ Suche nach Passierschein A38 erinnert.
„Wenn wir keine Lösung finden, dann bauen wir eben eine Bürokratie“, fasst Cybersicherheitsexperte Martin Schallbruch, Direktor des Digital Society Institute (ESMT Berlin) und zuvor Abteilungsleiter für Digitale Gesellschaft und Cybersicherheit im Innenministerium, den Kompromiss zusammen. „Ich hätte mir eine klare politische Entscheidung gewünscht“, bedauert er.
Bei der Suche nach einer Kompromissformel haben die Unterhändler von Innen-, Außen- und Wirtschaftsministerium sowie Bundeskanzleramt jetzt eine doppelte Eignungsprüfung erdacht: Sie besteht einerseits aus einer technischen Zertifizierung, andererseits aus einer Prüfung auf Vertrauenswürdigkeit.
Die technische Prüfung sollen BSI, Bundesnetzagentur, Hersteller und Netzbetreiber vornehmen. Sie soll klären, ob Komponenten wie Vermittlungsrechner oder Steuersoftware frei von Schwachstellen oder gar Hintertüren konstruiert sind. Letztere die Verlässlichkeit und Vertrauenswürdigkeit der Lieferanten ermitteln. Schon an der ersten Stufe scheiden sich die Geister – weil jedes einmal zertifizierte Produkt schon nach dem nächsten „Sicherheits“-Update wieder Schwachstellen haben oder mit Spitzeltürchen gespickt sein könnte.
Geprüft wird die Technik – und das Vertrauen
Deshalb wird die technische Prüfung durch eine Vertrauensprüfung ergänzt. Diese sieht nach dem aktuellsten, aber weiterhin nicht finalen Entwurf vom 9. Dezember vor, dass das Innenministerium (BMI) „im Einvernehmen mit den jeweils betroffenen Ressorts“ den geplanten Einsatz von kritischen Komponenten „untersagen“ kann. Und zwar „innerhalb von einem Monat“, wenn „überwiegende öffentliche Interessen, insbesondere sicherheitspolitische Belange dem Einsatz entgegenstehen“. Die Betreiber der Kritischen Infrastruktur müssten „eine entsprechende Entscheidung“ abwarten, bevor der Einsatz beispielsweise einer 5G-Komponente gestattet ist. Dies ist der sogenannte „Untersagungsvorbehalt“.
