Hildegard Müller: Neues IT-Sicherheitsgesetz muss dringend nachgebessert werden
Gesetzentwurf ermöglicht staatliche Eingriffe per Rechtsverordnung – Mit weitreichenden Kompetenzen für den Staat – VDA appelliert an Bundestagsfraktionen
Das geplante IT-Sicherheitsgesetz 2.0 (IT-SiG 2.0), das Mitte Dezember 2020 im Bundeskabinett verabschiedet wurde, sollte aus Sicht des Verbandes der Automobilindustrie (VDA) dringend überarbeitet werden.
Grundsätzlich begrüßt die deutsche Automobilindustrie die Stärkung der IT-Sicherheit. Leider erfolgte in diesem Fall die Verbändeanhörung zum Gesetzentwurf in einer ungewöhnlich kurzen Frist von nur einem Arbeitstag, die es kaum möglich machte, Kritikpunkte einzubringen. Die erste Lesung im Deutschen Bundestag findet am 28. Januar 2021 statt. Der VDA hat Fraktionsvorsitzende des Bundestags daher schriftlich über die gravierenden Probleme informiert, die der Entwurf des IT-SiG 2.0 aus Sicht der Automobilindustrie enthält.
So soll das Gesetz für diejenigen Unternehmen relevant sein, die „im besonderen volkswirtschaftlichen Interesse für die Bundesrepublik Deutschland“ sind. Dabei lässt der Gesetzentwurf völlig offen, welche Unternehmen demnächst unter die Auflagen des IT-SiG 2.0 fallen werden. Die Definition der Kriterien soll laut Gesetzentwurf allein das Bundesinnenministerium (BMI) im Wege einer Rechtsverordnung vornehmen dürfen. So könnte die Top-100-Liste der umsatzgrößten deutschen Unternehmen von der Monopolkommission als Grundlage dienen. Unklar bleibt, ob Unternehmen, die unter die 100-Top-Liste der größten Unternehmen gefallen sind, dauerhaft den Regulierungen des IT-SiG 2.0 unterliegen. Da sich die Top-100-Liste jährlich ändert – passt das BMI seine Firmenliste jeweils an? Oder bleiben Unternehmen dennoch im BMI-Zuständigkeitsbereich, obwohl ihr Umsatz geringer geworden ist?
„Wir gehen davon aus, dass Automobilhersteller und etliche Zulieferer – und damit wichtige Teile der deutschen Industrie – von zusätzlichen Auflagen und Restriktionen betroffen sind. Weil die Unternehmen langfristige Klarheit über den Geltungs- und Anwendungsbereich des Gesetzes brauchen, darf nach unserer Auffassung das ‚besondere volkswirtschaftliche Interesse‘ nicht allein durch ein Ministerium definiert werden. Eine solch weitreichende Bestimmung kann nicht über eine Rechtsverordnung geregelt werden, sondern muss im Rahmen des Gesetzgebungsprozesses im Parlament erfolgen“, betont VDA-Präsidentin Hildegard Müller.
Die deutsche Automobilindustrie ist global tätig und unterliegt bereits jetzt zahlreichen Auflagen und Meldepflichten. Die geplante Kompetenzerweiterung des Bundesamtes für Sicherheit in der Informationstechnik (BSI) zu einer Aufsichts- und Regulierungsbehörde führt zu einer enormen Mehrbelastung der Unternehmen, ohne einen zielgerichteten Beitrag zur Erhöhung des Sicherheitsstandards zu leisten, und schafft möglicherweise Mehrfachregulierungen.
Von einer Einführung eines nationalen Standards der Technik für IT-Produkte ist abzuraten, da dies der globalen Technologiefragmentierung Vorschub leisten würde. Der Stand der Technik entwickelt sich stetig weiter. Ein lediglich national definierter Stand der Technik könnte daher bereits bei Veröffentlichung veraltet sein.
Der VDA fordert, im IT-SiG 2.0 eine Kann-Option für Unternehmen einzuführen, um Schlüsselpersonal überprüfen zu können. In einem früheren Entwurf des Gesetzes war dies bereits enthalten. Demnach konnten Unternehmen wichtige Mitarbeiterinnen und Mitarbeiter, die an Schlüsselstellen für die IT-Sicherheit der Unternehmen sitzen, im Vorfeld durch die zuständigen Sicherheitsbehörden überprüfen lassen. So könnte man verhindern, dass Hacker – aus den Unternehmen heraus – Unterstützung bekommen. „Leider ist diese bewährte Praxis der Sicherheitsüberprüfung im jetzigen Gesetzentwurf nicht mehr vorgesehen“, kritisiert Hildegard Müller. Eine Fokussierung allein auf die technische Sicherheit ist aus Sicht der Automobilindustrie nicht zielführend, um die Cyberresilienz in Deutschland zu erhöhen.
Ein weiterer kritischer Punkt im Gesetz ist die geplante neue Regelung zur Offenlegung von Kryptografie-Schnittstellen/Protokollen bis zur Anordnung der konkreten Verwendung von speziellen Technologien oder Verfahrensweisen und Algorithmen – oder deren Verbot. Hier wird nach Ansicht des VDA in die unternehmerische Freiheit und Entwicklung von Produkten durch den Staat eingegriffen. Zu dem birgt es auch ein Sicherheitsrisiko, wenn viele Produkte mit denselben Verfahrensweisen ausgestattet sind.
„Wir alle brauchen IT-Sicherheit, aber durch das IT-SiG 2.0 würden unternehmerische Freiheiten in unzulässiger Weise und völlig unangemessen eingeschränkt“, unterstreicht Hildegard Müller. Die VDA-Präsidentin weist darauf hin, dass nach dem Entwurf Verstöße gegen das IT-SiG 2.0 mit Strafzahlungen in Millionenhöhe verbunden sein können.
„Anordnungen zu konkret einzusetzenden Sicherheitstechnologien und Sicherheitsmaßnahmen dürfen nicht Innovationen und neue Verfahrensweisen ausgrenzen. Sonst wird die Innovationsfähigkeit, die gerade in diesem Bereich von vitaler Bedeutung ist, ausgebremst. Das wäre für den Wirtschaftsstandort Deutschland mit erheblichen Nachteilen verbunden“, betont Hildegard Müller.
Die VDA-Präsidentin weist auch darauf hin, dass eine Regulierung auf nationaler Ebene zu kurz greift: „Wir sind eine international tätige Industrie. Deshalb brauchen wir statt nationaler Alleingänge ein wesentlich stärkeres Engagement für globale IT-Sicherheitsstandards, zumindest jedoch auf europäischer Ebene.“