Am 01. März 2021 war Manuel Atug, Gründer und Sprecher der AG KRITIS, als Sachverständiger im Ausschuss für Inneres und Heimat im Rahmen der Anhörung zum Entwurf des IT-Sicherheitsgesetz 2.0 geladen. Neben unserer Stellungnahme gab es von allen Sachverständigen enorme Kritik an dem geplanten Gesetzesvorhaben. Wir fordern daher weiterhin die Notbremse für den Entwurf, damit die dringend erforderlichen umfangreichen Änderungen durchgeführt werden können. Weiterhin muss die vorgesehene Evaluierung des ersten IT-Sicherheitsgesetzes durchgeführt werden.
Als Sachverständige wurden geladen:
- Sebastian Artz, Branchenverband Bitkom
- Manuel Atug, Arbeitsgemeinschaft Kritische Infrastrukturen (AG KRITIS)
- Prof. Dr. Klaus F. Gärditz, Staatsrechtler
- Dr. Sven Herpig, Stiftung Neue Verantwortung
- Linus Neumann, Chaos Computer Club
- Martin Schallbruch, Digital Society Institute der European School of Management and Technology Berlin
Die geladenen Sachverständigen waren sich einig, dass der vorliegende Gesetzesentwurf mangelhaft ist. Bereits vor der Einbringung des Entwurfs in den Bundestag hat das Ministerium des Inneren, für Bau und Heimat existierende Entwürfe des Gesetzestexts nicht oder nur mit sehr kurzen Rückmeldefristen für eine Stellungnahme der zivilgesellschaftlichen Organisationen veröffentlicht, sodass erste Kommentare auf geleakten Versionen des Texts beruhen. Zusätzlich handelt es sich bei den vorliegenden Texten um sogenannte Änderungsgesetze, die ein einfaches Lesen des aus den Änderungen resultierenden Gesetzestexts nicht möglich machen.
In der Stellungnahme erläuterte Manuel Atug die von uns bereits mehrfach kritisierten Punkte: Fehlende Unabhängigkeit des BSIs, fehlende Evaluierung des ersten IT-Sicherheitsgesetzes, die Streichung der Stärkung des Bundesamtes für Bevölkerungsschutz und Katastrophenhilfe sowie insbesondere die Einführung der Möglichkeit des Zurückhalten von Schwachstellen durch das BSI, da sich die Behörde damit zum „Handlanger der Sicherheitsbehörden und Nachrichtendienste“ mache und das Vertrauen in den Responsible Disclosure Prozess des BSI erschüttert werden würde.
Auch die anderen Sachverständigen formulierten teils erhebliche Kritik. Dr. Sven Herpig äußerte Kritik an wirkungslosen Passagen bezüglich des digitalen Verbraucherschutzes, da „[…] es in Deutschland weiter möglich sein werde, unsichere IT-Produkte auf den Markt zu bringen“. Linus Neumann vermisst eine Strategie, die „kompromisslos auf IT-Sicherheit“ setzt, beispielsweise durch ein Mindesthaltbarkeitsdatum für Softwarekomponenten und kritisiert das freiwillige IT-Sicherheitskennzeichen. Der Verfassungsrechtler Dr. Klaus F. Gärditz formuliert zusätzlich zu der inhaltlichen Kritik der anderen Sachverständigen verfassungs- und verwaltungsrechtliche Bedenken an § 9b des Entwurfs.
Die Aufzeichnung der kompletten Sitzung ist auf der Webseite des Bundestags abrufbar. Unsere Stellungnahme [AG KRITIS], [Deutscher Bundestag], die Stellungnahmen der anderen Sachverständigen sowie die Rede von Manuel Atug und das Wortprotokoll sind öffentlich einsehbar.