Beiträge

Unabhängigkeit des BSI – Umsetzungsvorschläge der „Stiftung Neue Verantwortung“

/in /von

Dr. Sven Herpig, Leiter für Internationale Cybersicherheitspolitik der „Stiftung Neue Verantwortung“, hat heute das Papier „Die „Unabhängigkeit“ des Bundesamtes für Sicherheit in der Informationstechnik“ veröffentlicht, in dem er die Probleme eines BSI als untergeordnete Behörde des Bundesministeriums des Inneren, für Bau und Heimat (BMI) beleuchtet und konkrete Lösungsvorschläge aufzeigt. Die AG KRITIS fordert seit ihrer Gründung ein unabhängiges BSI

Die fehlende Unabhängigkeit schwächt das Vertrauen der beteiligten Parteien, den Betreibern kritischer Infrastrukturen und der Bürger*innen in das BSI, da es durch die Fachaufsicht des BMI an dessen Weisungen gebunden ist. Das BMI hat jedoch auch die Fachaufsicht über das Bundeskriminalamt, das Bundesamt für Verfassungsschutz und die Bundespolizei. Die Aufgaben dieser Behörden stehen in einem Zielkonflikt mit dem Auftrag des BSI, für Sicherheit in der Informationstechnik zu sorgen. Zur Erfüllung der Aufgaben der genannten Behörden, haben diese ein Interesse daran, auf IT-Systeme zugreifen zu können, Überwachungsmaßnahmen durchzuführen und für diesen Zweck IT-Sicherheitslücken auszunutzen. Das BMI ist rechtlich in der Lage, das Schließen von Schwachstellen, die dem BSI als „nationale Cybersicherheitsbehörde“ gemeldet werden, durch eine Weisung zu unterbinden und die Schwachstelle ebendiesen Strafverfolgungsbehörden zur Nutzung zu übergeben. Wie Dr. Sven Herpig schreibt, könnte die Folge davon sein, dass „[…]der Informationsfluss [von IT-Sicherheitsforscher*innen an das BSI] abnehmen oder sogar versiegen [würde]. “

In der Kurzanalyse gibt die „Stiftung Neue Verantwortung“ konkrete Beispiele für konkrete Möglichkeiten der Reorganisierung des BSI: Neben einem Ressortwechsel in ein anderes Bundesministerium oder der Reduzierung der Aufsichtsfunktion auf die ausschließliche Rechtsaufsicht werden auch Möglichkeiten aufgezeigt, die eine noch weitergehende Unabhängigkeit des BSI beschreiben; u.a. der Einstufung des BSI als oberste Bundesbehörde oder der Installation des BSI als Informationssicherheitsbeauftragter des Bundes. Das Beleuchten der Vor- und Nachteile der verschiedenen Formen übersteigt den Umfang dieses Artikels, wir verweisen hier auf den lesenswerten Aufsatz von Dr. Sven Herpig.

Analyse im Volltext
Artikel zur BSI-Unabhängigkeit im Tagesspiegel

Vielen Dank an Dr. Sven Herpig von der „Stiftung Neue Verantwortung“ für diese detaillierte Analyse.

IT-Sicherheitsgesetz 2.0: Neue Meldepflichten für Unternehmen

/in /von

BASECAMP hat sich zum aktuellen Entwurf für das IT-Sicherheitsgesetz 2.0 geäußert und dabei auch mehrere unserer wesentlichen Kritikpunkte mit aufgegriffen.

Ein zweiter Kritikpunkt der AG KRITIS richtet sich gegen “die offensichtliche Umgehung des frisch geschaffenen Nationalen Cyberabwehrzentrum (NCAZ) bei erfolgreichen Angriffen auf IT-Systeme”. Den Änderungsplänen zu § 109a TKG zufolge sollen Datenverluste an das Bundeskriminalamt (BKA) gemeldet werden. Diese Meldung sollte stattdessen an das NCAZ erfolgen, fordert die AG KRITIS.

Dern vollständigen Artikel bei BASECAMP findet ihr hier:

IT-Sicherheitsgesetz 2.0: Neue Meldepflichten für Unternehmen

Unseren Blogpost zu diesem Thema findet ihr hier:

Blogpost der AG Kritis