Vom 10. Juni 2015
Deutscher Bundestag Drucksache 18/5127
18. Wahlperiode 10.06.2015
Entschließungsantrag
der Abgeordneten Dr. Konstantin von Notz, Hans-Christian Ströbele,
Luise Amtsberg, Volker Beck (Köln), Kai Gehring, Dieter Janecek,
Katja Keul, Renate Künast, Monika Lazar, Irene Mihalic, Özcan Mutlu,
Tabea Rößner und der Fraktion BÜNDNIS 90/DIE GRÜNEN
zu der dritten Beratung des Gesetzentwurfs der Bundesregierung
– Drucksachen 18/4096, 18/5121 –
Entwurf eines Gesetzes zur Erhöhung der Sicherheit
informationstechnischer Systeme
(IT-Sicherheitsgesetz)
Der Bundestag wolle beschließen:
I. Der Deutsche Bundestag stellt fest:
Die Digitalisierung und Vernetzung von Gesellschaft, Wirtschaft und Staat schreiten
weiter voran und damit auch die Abhängigkeit von IT-Systemen. Zugleich ist nicht
erst seit dem durch Edward Snowden bekannt gewordenen Überwachungs- und Ab-
hörskandal westlicher Geheimdienste klar, dass digitale Infrastrukturen auch durch
staatliche Behörden bedroht sind. Beinahe täglich erfahren wir von gravierenden Si-
cherheitslücken in Software und von zahlreichen Hackerangriffen auf private als
auch öffentliche IT-Strukturen. Die IT-Sicherheitslage in Deutschland ist weiterhin
angespannt, wie der Lagebericht zur IT-Sicherheit des Bundesamts für Sicherheit in
der Informationstechnik (BSI) nachweist.
Das gesellschaftliche Vertrauen und das Vertrauen der Wirtschaft in die Integrität
der digitalen Infrastruktur sind wesentliche Grundlagen für die digitale Zukunft.
Eine Stärkung und Verbesserung der IT-Sicherheit ist aber vor allem auch dringend
geboten, um den Menschen – auch vor dem Hintergrund des NSA-Überwachungs-
skandals – Schutz vor der Verletzung ihrer Grundrechte, insbesondere ihres Grund-
rechts auf Vertraulichkeit und Integrität der von Ihnen genutzten informationstech-
nischen Systeme, zu bieten.
Drucksache 18/5127 – 2 – Deutscher Bundestag – 18. Wahlperiode
II. Der Deutsche Bundestag fordert die Bundesregierung auf,
1. einen Gesetzentwurf vorzulegen, der das neu geschaffene IT-Sicherheitsgesetz
zurücknimmt und stattdessen weitergehende, insbesondere grundrechts- und
rechtsstaatskonforme Regelungen zur IT-Sicherheit enthält,
a. der nicht allein den Schutz Kritischer Infrastrukturen, sondern auch die
Schutzpflicht des Grundrechts der Menschen auf Vertraulichkeit und In-
tegrität ihrer informationstechnischen Systeme zum Ziel hat sowie den
grundlegenden datenschutzrechtlichen Anforderungen und dem Fernmel-
degeheimnis gerecht wird,
b. dessen Anwendungsbereich auch öffentliche Stellen umfasst,
c. der hinreichend bestimmte und normenklare gesetzliche Regelungen zur
Bestimmung der betroffenen Wirtschaftsbereiche und Betreiber sowie des
Begriffs der Kritischen Infrastruktur enthält,
d. der konkret, eng und unter strenger Beachtung des Grundsatzes der
Zweckbindung regelt, von wem und zu welchen Zwecken die im Rahmen
der Meldepflichten übermittelten personenbeziehbaren Daten verarbeitet
werden dürfen; der Meldepflichten für Sicherheitsvorfälle nicht erst „bei
erheblichen Störungen“ vorsieht, sondern bereits zu einem Zeitpunkt, in
dem noch kein Schaden eingetreten ist“,
e. der Massenspeicherungen von Daten (Bestandsdaten, Verkehrsdaten oder
Inhaltsdaten) allein für Zwecke der IT-Sicherheit ausschließt,
f. der positive und wettbewerbsrelevante Anreize für die Wirtschaft setzt,
ihre IT-Sicherheitskonzepte stetig und proaktiv fortzuentwickeln und zu
pflegen und hierzu insbesondere zu prüfen, ob ein System der unabhängi-
gen Auditierung und Zertifizierung von Produkten und Verfahren einen
effizienteren Ansatz bietet,
g. der sicherstellt, dass die Qualität von IT-Sicherheitskonzepten in Behör-
den und Unternehmen durch zu auditierende Sicherheitsprüfungen wie
zum Beispiel sog. Penetrationstests qualitativ verbessert wird, die ein Ver-
fahren zur unabhängigen Festsetzung von Standards der IT-Sicherheit
nach gesetzlich festgelegten Kriterien vorsehen,
h. der für die gesetzlichen Vorgaben für technische Schutzstandards nicht
nur den „Stand der Technik „berücksichtigt“, sondern auch Standards, die
auf der Basis von Risikoanalysen und konkretisierbaren Gefahrenlagen
(Szenarien) ermittelt werden, einhält,
i. der eine Kontrolle der Einhaltung durch ein zumindest für diesen Aufga-
benbereich unabhängig gestelltes Bundesamt für Sicherheit in der Infor-
mationstechnik (BSI) vorsieht,
j. der klarstellt, dass neu zu regelnde Meldepflichten unbeschadet der in
§ 42a BDSG und § 109a TKG zum Zwecke des Datenschutzes geregelten
Meldepflichten bestehen,
k. der die Vorgaben der höchstrichterlichen Rechtsprechung des Bundesver-
fassungsgerichts (Urteil vom 02.03.2010 – 1 BvR 256/08, 1 BvR 263/08,
1 BvR 586/08) und des Europäischen Gerichtshofs (Urteil vom
08.04.2014 – C-293/12 und C-594/12) zur Vorratsdatenspeicherung be-
achtet,
l. der wirksame Sanktionen bei Zuwiderhandlungen, insbesondere gegen ge-
setzliche Vorgaben für einzuhaltende Sicherheitsstandard vorsieht,
Deutscher Bundestag – 18. Wahlperiode – 3 – Drucksache 18/5127
m. der insbesondere im Hinblick auf personenbezogene Daten ausdrücklich
regelt, an wen und zu welchen konkreten Zwecken das BSI die durch die
Meldungen erlangten Informationen übermitteln darf und unter welchen
Voraussetzungen deren Weiterverarbeitung erfolgt,
n. der anlassbezogene Informationspflichten über Verletzungen der IT-Si-
cherheit gegenüber betroffenen Unternehmen und der Öffentlichkeit dif-
ferenzierend regelt,
o. der die Weitergabe von Erkenntnissen aus dem Lagebild des BSI sowie
Erkenntnissen aus der Erweiterung der Aufgaben des BSI zur Untersu-
chung informationstechnischer Systeme normenklar regelt und Erkennt-
nisse der Öffentlichkeit verpflichtend und unmittelbar zur Verfügung stellt
und eine grundsätzliche Pflicht zur unverzüglichen Veröffentlichung von
Sicherheitslücken enthält,
p. der die Einbeziehung der Datenschutzbeauftragten des Bundes und der
Länder in die Festlegung von Informationssicherheitsstandards und in die
vorgesehenen Meldewege mit vorsieht,
q. der, entgegen dem im IT-Sicherheitsgesetz vorgesehenen und mangelhaft
begründeten Stellenaufbau bei Nachrichtendiensten, keine Stellenauf-
wüchse und keine neuen Überwachungsbefugnisse der Nachrichten-
dienste im Zusammenhang mit der IT-Sicherheit vorsieht, solange die von
den Nachrichtendiensten dabei zu verwendenden Methoden und Instru-
mente, somit auch die dadurch zu erwartenden Grundrechtsbeeinträchti-
gungen für den Gesetzgeber und die Öffentlichkeit, nicht nachvollziehbar
gemacht werden können, und
r. der das IT-Sicherheitsgesetz auf die parallel in Verhandlung befindliche
EU-Richtlinie zur Netz- und Informationssicherheit (NIS) hin anpasst;
2. sich auf EU-Ebene insbesondere in den laufenden Verhandlungen für die NIS-
Richtlinie für einheitliche und hohe Standards der IT-Sicherheit einzusetzen;
3. mittelfristig gesetzlich dafür Sorge zu tragen, dass
a. der Aufbau, Betrieb und das Angebot von Ende-zu-Ende-Verschlüsselun-
gen gefördert und zum Kernstück eines umfassenderen Regelungsansatzes
gemacht werden,
b. eine langfristige Strategie zur Prüfung und Sicherstellung von Bausteinen
einer sicheren Hard- und Softwareinfrastruktur auf der Grundlage etwa
von Open-Source-Elementen (offene und überprüfbare Quelltexte) erar-
beitet und umgesetzt wird, beispielsweise durch die Finanzierung von re-
gelmäßigen und unabhängigen Überprüfungen von sicherheitsrelevanter
Software („bug bountys“),
c. in einer ganzheitlichen Perspektive die Hersteller von Hard- und Software
(nicht nur Betreiber) berücksichtigt und Anreize zur Qualitätssicherung
durch Haftungsverpflichtungen geschaffen werden, (beispielsweise für die
fahrlässige Implementierung oder Nichtbeseitigung von Sicherheitslü-
cken),
d. das Vergaberecht der öffentlichen Hand angepasst wird, so dass grund-
sätzlich nur auditierte, zertifizierte sowie open-source-gemäße Produkte
berücksichtigt werden,
e. eine Beförderung des Schwarzmarktes für Sicherheitslücken durch den
staatlichen Aufkauf und die Zurückhaltung von Sicherheitslücken (bspw.
anzeiger Verlag GmbH, Postfach 10 05 34, 50445 Köln, Telefon (02 21) 97 66 83 40, Fax (02 21) 97 66 83 44, www.betrifft-gesetze.de
Drucksache 18/5127 – 4 – Deutscher Bundestag – 18. Wahlperiode
zero-day-exploits), welche die Integrität digitaler Infrastrukturen gefähr-
den, zu verbieten und stattdessen auf die konsequente Beseitigung von Si-
cherheitslücken hinzuwirken,
f. mittels eines übergreifenden Regelungsansatzes für einen hohen Daten-
schutz durch Technik gesorgt wird, beispielsweise durch Verpflichtungen
zu „Security and Privacy by Design and Default“,
g. der Schutz von Whistleblowern (Hinweisgebern) gesetzlich gestärkt wird.
Berlin, den 9. Juni 2015
Katrin Göring-Eckardt, Dr. Anton Hofreiter und Fraktion