IT-Sicherheitsgesetz 2.0

Am 7. Mai 2021 wurde das damals bestehende IT-Sicherheitsgesetz von 2015 aktualisiert und angepasst: Das IT-Sicherheitsgesetz 2.0. Mit dem Gesetz wurde das Bundesamt für Sicherheit in der Informationstechnik (BSI) weiter befähigt, für digitale Sicherheit in Deutschland zu sorgen.

Was beinhaltet das IT-Sicherheitsgesetz 2.0?

• Der Anwendungsbereich wurde erweitert. Das heißt nicht nur kritische Infrastrukturen wurden reguliert, sondern es wurden zusätzlich Unternehmen mit aufgenommen, deren Produkte und Leistungen für die öffentliche Ordnung und Sicherheit von erhöhter Bedeutung sind.
• Die Meldepflicht für Unternehmen wurde verschärft, sodass IT-Sicherheitsvorfälle an das BSI gemeldet werden müssen, die weniger gravierend sind.
• Mindeststandards wurden angehoben und eine Pflicht für Unternehmen kritischer Infrastrukturen wurde erlassen, sich regelmäßig unabhängig prüfen zu lassen.
• Zertifizierungen wurden möglich gemacht. Unternehmen können sich freiwillig vom BSI für ihre Sicherheitsstandards zertifizieren lassen und das z. B. im Marketing nutzen.
• Strafen wurden erhöht. Bis zu 20 Millionen € oder 4 % des Jahresumsatzes sind möglich.

Warum war und ist das IT-Sicherheitsgesetz 2.0 umstritten?

Nun, mit den erhöhten Befugnissen für das BSI gehen nach Meinung von Kritikern Einschränkungen für die Freiheit von Bürgern einher. Besonders umstritten sind dabei die Möglichkeit des BSI ihm bekannte IT-Sicherheitslücken geheim halten zu dürfen, um diese für eigene Zwecke zu nutzen. Eine Verpflichtung, diese dem Hersteller zu melden, besteht nicht.

Auch die Befugnis, sogenannten „Staatstrojaner“ zu nutzen, um verschlüsselte Kommunikation zu überwachen halten Kritiker für einen nicht hinnehmbaren Eingriff in die Privatsphäre.
Die verschärften Meldepflichten bedeuten womöglich einen erhöhten bürokratischen Aufwand.

Durch schärfere Regelungen besteht die Gefahr, dass Sicherheitsforscher oder Aktivisten, die Schwachstellen aufdecken, in die Gefahr kommen illegal zu handeln.