Um Wirtschaft und Gesellschaft besser vor Cyber-Angriffen schützen zu können, will die Bundesregierung das BSI mit mehr Geld, mehr Personal und vor allem mit mehr Kompetenzen ausstatten. Letzteres weckt auch Bedenken: Das BSI soll das Internet auch durch Portscans oder durch das Ausprobieren unsicherer Passwörter wie „0000“ oder „admin“ nach unsicheren Geräten durchsuchen dürfen.
Wer so etwas als Privatperson tut, macht sich wegen Ausspähens von Daten strafbar. Wird das BSI nun eine Hackerbehörde? fragt das Fachblog Netzpolitik.org. Der Entwurf räumt dem BSI das Recht ein, Internet-Anbieter zu verpflichten, mit Schadsoftware infizierte Geräte durch Installation von Patches bzw. Löschung von Schadprogrammen zu bereinigen.
Das sind weitreichende Eingriffe. Sie werden mit der Gefahr begründet, dass infizierte Geräte etwa aus dem Internet der Dinge (IoT) durch Botnetze übernommen werden könnten. In der Gesetzesbegründung steht, es gehe „nicht etwa um ausforschendes Eindringen des BSI in PCs und Smartphones“. Der Gesetzestext beschränkt die Befugnis aber nicht auf Botnetze und das Internet-der-Dinge. Das BSI untersteht dem Innenministerium genau wie Polizei und Verfassungsschutz – diese wollen und dürfen Staatstrojaner einsetzen und das BSI hat daran mitprogrammiert.
Ein wesentlicher Punkt des Entwurfs sind die Regelungen zum Schutz kritischer Infrastrukturen wie des geplanten 5G-Netzes in Deutschland. Das Bundesinnenministerium will die Netzwerkausrüster beim künftigen 5G-Mobilfunknetz auf ihre Vertrauenswürdigkeit überprüfen. Das Innenministerium kann den Einsatz von Komponenten untersagen, „wenn der Hersteller der kritischen Komponente nicht vertrauenswürdig ist“.
Seit zwei Jahren laufen die Arbeiten für eine Neufassung des IT-Sicherheitsgesetzes, Um seine neuen, erweiterten Aufgaben erfüllen zu können, soll das BSI 583 neue Planstellen bekommen.
Den Wortlaut des Gesetzentwurfs finden Sie hier