Internet-Anbieter bekommen mehr Möglichkeiten, den Datenverkehr ihrer Kunden zu überwachen und zu filtern. Das steht in einer Änderung des IT-Sicherheitsgesetzes, die der Bundestag heute beschließt. Nur zwei Jahre nach Verabschiedung des Gesetzes müssen EU-Vorgaben eingepflegt werden.

Im Rahmen des heutigen Abstimmungsmarathons im Bundestag soll auch eine Reform des erst zwei Jahre alten IT-Sicherheitsgesetzes beschlossen werden. Der offizielle Titel lautet Gesetz über Maßnahmen zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz- und Informationssystemen in der [Europäischen] Union. Damit wird die EU-Richtlinie zur Stärkung von Netzwerk- und Informationssystemsicherheit umgesetzt.

Schnelle Eingreifteams beim BSI

Es sollen mehrere Gesetze geändert werden, darunter das Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSI). Dadurch werden die Aufgaben des BSI erweitert. Die große Koalition will unter anderem Grundlagen für sogenannte Mobile Incident Response Teams konkretisieren. Diese mobilen und schnellen Eingreifteams sollen bei besonders schweren IT-Sicherheitsvorfällen zur Stelle sein und unter anderem Betreibern Kritischer Infrastrukturen wie Stromversorgern helfen, Sicherheitsvorfälle in den Griff zu bekommen. Dafür sollen 63 neue Stellen beim BSI geschaffen werden.

Das BSI kann bereits heute einspringen, wenn Bundesstellen und Kritische Infrastrukturen Probleme mit der IT-Sicherheit haben und einwilligen, durch das BSI unterstützt zu werden. Jetzt soll das BSI zusätzlich dann eingreifen dürfen, wenn etwa der „Netzwerkverkehr der betroffenen Einrichtungen analysiert werden muss“. Da die Auswertung von Netzwerkverkehr ein Eingriff in das Fernmeldegeheimnis ist, bedarf es ausdrücklicher Regelungen, die zuvor nicht vorhanden waren.

Bauchschmerzen beim Datenschutz

Konstantin von Notz, Mitglied der grünen Bundestagsfraktion im federführenden Innenausschuss, sieht trotz der Regelungen noch Datenschutzprobleme. Betroffene Unternehmen scheuten sich, „Schadensfälle zu melden, weil das BSI weiterhin vom Innenministerium mit seinem Überwachungsfokus abhängig ist und der Datenschutz bei Eingreifteams nicht sichergestellt ist“, sagt er gegenüber netzpolitik.org. „Solange Sicherheitsbehörden offensichtlich lieber Sicherheitslücken ankaufen und offen halten anstatt diese zu schließen, bleibt man hier unglaubwürdig.“

Der kritische Punkt liegt hier bei der Datenweitergabe. Schon bisher darf das BSI „Protokolldaten, die beim Betrieb von Kommunikationstechnik des Bundes anfallen“, an Polizeien und Geheimdienste weitergeben. Mit dem neuen Gesetz wird die Weitergabe auch für den Netzwerkverkehr Kritischer Infrastruktur erlaubt, da sich „wichtige Erkenntnisse für ihre Aufgabenwahrnehmung ergeben können“.

Bezahlte freiwillige Cyberwehr

Die geplante Gesetzesänderung beinhaltet auch eine rechtliche Grundlage für die sogenannte Cyberwehr. Im Oktober hat netzpolitik.org den Entwurf eines Kooperationsvertrages veröffentlicht, mit dem Eingreifteams des BSI auch durch IT-Sicherheitsexperten aus Wirtschaftsunternehmen unterstützt werden sollen.

Die Pläne wurden infolgedessen aus der Wirtschaft kritisiert, da die Mitarbeit ursprünglich unentgeltlich und freiwillig geplant war. In der neuen Regelung ist daher vorgesehen, dass die hilfesuchenden Stellen die Kosten für externe Unterstützung tragen müssen.

Zugriff auf „Steuerdaten“

Der Innenausschuss hat den Gesetzentwurf der Bundesregierung noch einmal geändert. Laut Beschlussempfehlung des Ausschusses soll auch das Telekommunikationsgesetz erweitert werden. Anbieter von Telekommunikationsdiensten sollen neben Bestands- und Verkehrsdaten zusätzlich „Steuerdaten“ speichern und nutzen können, um Störungen beheben und unerlaubten Zugriff auf Telekommunikations- und Datenverarbeitungssysteme verhindern zu können.

Was das bedeutet, ist nicht auf den ersten Blick zu erkennen. Die Begriffe Bestands- und Verkehrsdaten sind im Telekommunikationsgesetz definiert. Bestandsdaten umfassen Kundendaten wie Name und Adresse. Damit kann beispielsweise ermittelt werden, welcher Teilnehmer hinter einer bestimmten IP-Adresse steckt. In den Verkehrsdaten sind Teilnehmer und Umstände von Kommunikation erfasst. Bei Mobiltelefonie heißt das: Wer telefoniert wann mit wem und wo?

Was Steuerdaten sind, ist nicht im TKG definiert. Auf Nachfrage von netzpolitik.org bei der Telekom, was bei Steuerdaten gespeichert werden würde, antwortete ein Pressesprecher:

Die Art des Verkehrs ist nicht in den Verkehrsdaten enthalten. Das ist aber beispielsweise notwendig, um DDoS-Attacken zu erkennen.

In der Beschlussempfehlung des Innenausschusses wird ausdrücklich darauf hingewiesen, dass es nicht um die Inhalte der Kommunikation gehe. Dass sich die zusätzlichen Informationen durch Steuerdaten nur auf die Art des Verkehrs beziehen, sagt die Begründung der Beschlussempfehlung jedoch nicht. Je nach Angriffsart und -durchführung seien unterschiedliche Daten aus verschiedenen Schichten der Netzwerkprotokolle notwendig, heißt es.

Deep Packet Inspection oder nicht?

Netzpolitik.org fragte bei den Berichterstattern der Regierungskoalitionen, Gerold Reichenbach (SPD) und Clemens Binninger (Union), nach, ob es sich dabei um eine Auswertung handele, welche Ports bei der Kommunikation verwendet werden und welche sonstigen Protokolldaten unter die Regelung fallen. Bisher erhielten wir darauf jedoch keine konkrete Antwort.

Reichenbach kommentierte, man wolle damit die Befugnisse von Diensteanbietern auf rechtssicheren Boden stellen, „die sie heute oft über ihre Allgemeinen Geschäftsbedingungen etwa zur Spam-Abwehr regeln“. Einer Darstellung als „Light-Version von Deep Packet Inspection“ verwehre er sich. Das wurde beispielsweise bei der Berichterstattung auf heise.de genannt. Man habe deutlich formuliert, dass es sich nur um Netzwerkprotokolldaten handele und Kommunikationsinhalte vollständig ausgeschlossen seien.

Deep Packet Inspection liegt aber nicht nur dann vor, wenn Kommunikationsinhalte angeschaut werden. Auch die Auswertung von Protokollinformationen, die für die Zustellung von Datenpaketen nicht notwendig sind, ist ein „tieferes“ Hineinschauen in die Kommunikation. Martina Renner, Berichterstatterin der Linken für das Gesetz, kündigte an, ihre Fraktion werde dem Entwurf nicht zustimmen – unter anderem, weil die Regelung zur Speicherdauer dieser Daten – auch außerhalb technischer Störungen – „schwammig“ bliebe:

Es drängt sich auf, dass so ein Türöffner geschaffen werden soll. Jedenfalls können die so erlangten Daten für tiefgreifende Analysen des Verhaltens von Nutzerinnen und Nutzern missbraucht werden.

Internet-Filter gegen Internet der Dinge

Die vorgeschlagene Änderung geht über die Analyse der Daten noch hinaus. Diensteanbieter sollen in die Telekommunikationsverkehre von Nutzern eingreifen, sie filtern und bei Vorliegen einer Störung „einschränken, umleiten oder unterbinden“ dürfen. Voraussetzung dafür ist, dass Nutzer eine von ihnen ausgehende Störung nicht selbst beseitigen oder „eine unverzügliche Beseitigung durch den Nutzer nicht zu erwarten ist“. Dieser Halbsatz zielt auf das sogenannte Internet der Dinge.

In der Vergangenheit haben Angreifer Geräte mit miserablen Sicherheitsvorkehrungen übernommen, um große DDoS-Angriffe durchzuführen. Das ist ein Problem. Ein genauso großes Problem ist es jedoch, den Diensteanbietern derartig umfassende Rechte zu gewähren, bei „Störungen“ Verkehre ihrer Nutzer zu filtern und zu blockieren. In der Begründung heißt es:

Hierbei wird legitime Kommunikation von maliziöser Kommunikation getrennt.

Was „legitim“ oder „maliziös“ ist, entscheidet der Anbieter selbst.

Nachbesserung bei Meldepflichten für Vorfälle

Neben Eingreifteams, Cyberwehr und Steuerdaten regelt der Gesetzentwurf noch weitere Punkte, etwa zu Meldepflichten bei IT-Sicherheitsvorfällen. Diese waren bereits im zuvor verabschiedeten ersten IT-Sicherheitsgesetz von 2015 geregelt, werden aber nun konkretisiert und ausgeweitet. Damals kritisierten Sachverständige des Bundestages, dass nicht genau definiert ist, welche Vorfälle gemeldet werden müssen. Da die bisherigen Meldepflichten der EU-Richtlinie nicht genügen, musste nachgebessert werden. Konstantin von Notz sagt gegenüber netzpolitik.org: „So muss sich Berlin nach dem überhasteten IT-Sicherheitsgesetz nun erst von Brüssel zu verschärften Melde- und Kontrollpflichten verhelfen lassen.“

Das IT-Sicherheitsgesetz ist nicht einmal zwei Jahre alt. Auf EU-Ebene begannen bereits 2013 die Arbeiten an der EU-Richtlinie zur IT-Sicherheit. Es war demnach bekannt, dass kurz nach der Verabschiedung des IT-Sicherheitsgesetzes bereits Änderungen nötig werden würden. Dennoch stimmten die Regierungsfraktionen für das Gesetz. Stephan Mayer von der Unionsfraktion sagte sogar in der 1. Lesung, man wolle ein „Vorbild“ für die NIS-Richtlinie sein.

Doch auch die aktuelle Nachbesserung des IT-Sicherheitsgesetzes lässt noch einige Fragen offen. Und es ist abzusehen, dass zukünftig weitere Änderungen notwendig sein werden. Ein ganz konkreter Punkt betrifft die Frage, welche Einrichtungen überhaupt zu Kritischen Infrastrukturen gezählt werden, die besonders geschützt werden müssen und für die besondere Vorgaben gelten. Für die Bereiche Energie, Informationstechnik und Telekommunikation, Wasser sowie Ernährung wurde das in der ersten KRITIS-Verordnung definiert. Für die Bereiche Finanzen, Transport, Verkehr und Gesundheit steht eine Definition noch aus.