Sicherheitslücken machen Computersysteme unsicher und angreifbar. Deshalb fordern Sicherheitsforscher schon seit Jahren eine Meldepflicht für solche Schwachstellen. Die Bundesregierung hat das bisher immer abgelehnt. Aber nun will Bundesinnenminister Horst Seehofer eine Meldepflicht prüfen.
Am Rande des Digital-Gipfels der Bundesregierung in Nürnberg hatte der Innenminister einige Erläuterungen zur KI-Strategie der Bundesregierung gegeben und dabei auch die anstehende Weiterentwicklung des IT-Sicherheitsgesetzes angesprochen.
Von Journalisten auf die noch immer ausstehende Meldepflicht für Sicherheitslücken im IT-Sicherheitsgesetz angesprochen, gab Seehofer zu bedenken: “Wenn man so eine Pflicht in ein Gesetz schreibt, dann muss es auch die Wirkung entfalten, die man sich davon verspricht.”
Kehrtwende in der Sicherheitspolitik
Nach kurzer Diskussion über die Gefährlichkeit von Sicherheitslücken, meinte der Minister: “Das nehmen wir jetzt mit”. Er wandte sich an die anwesenden Ministerialbeamten und kündigte an: “Ich frage jetzt jede Woche: Wo ist die Meldepflicht?”.
Sorgte auf dem Digital-Gipfel für Aufregung: Horst Seehofer mit seiner Ankündigung, eine Meldepflicht für IT-Sicherheitslücken prüfen zu wollen.
Die Ministerialbeamten in seinem Haus hat die Ansage des Ministers kalt erwischt. Sie arbeiten schon seit einiger Zeit an einer Fortschreibung des Gesetzes zur Erhöhung der Sicherheit informationstechnischer Systeme.
Im nächsten Frühjahr sollen die Gesetzesentwürfe im Deutschen Bundestag beraten werden. Und jetzt sollen da auch noch Prüfszenarios für eine Meldepflicht erarbeitet werden. Die regierungsnahe Stiftung Neue Verantwortung in Berlin hat da auch schon einen Vorschlag im petto, wie so eine Meldepflicht ausgestaltet sein könnte.
Parlamentarische Kontrolle des Schwachstellen-Managements
“Wir haben ein paar Prinzipien aufgeschrieben”, berichtet Sven Herpig von der Stiftung Neue Verantwortung und erläutert: “Alle die die Behörden kaufen, mieten oder anderweitig finden, müssen von einem neu einzurichtenden Gremium im Kanzleramt geprüft werden.”
Sven Herpig von der Stiftung Neue Verantwortung hat ein Konzept ausgearbeitet, wie eine Meldepflicht für IT-Sicherheitslücken konkret umgesetzt werden kann.
Dieses Gremium soll der parlamentarischen Kontrolle unterliegen und darüber entscheiden, was mit einer Sicherheitslücke passieren soll. Bis zu einem Jahr sollen die Nachrichtendienste nach dem Vorschlag der Stiftung Neue Verantwortung mit solchen IT-Sicherheitslücken arbeiten können, bevor sie geschlossen werden müssen.
Kritikern wie Professor Hartmut Pohl von der Gesellschaft für Informatik ist diese Frist zu lang. Er plädiert für eine sofortige Schließung jeder bekannten Sicherheitslücke. Im Bundesnachrichtendienst und beim Bundesamt für Verfassungsschutz wird diese Diskussion mit Missfallen verfolgt. Eines ist klar: Eine Meldepflicht für IT-Sicherheitslücken wird sich auf lange Sicht nicht mehr vermeiden lassen.