Das geplante IT-Sicherheitsgesetz 2.0 (IT-SiG 2.0), das Mitte Dezember 2020 im Bundeskabinett verabschiedet wurde, sollte aus Sicht des Verbandes der Automobilindustrie (VDA) dringend überarbeitet werden.
Grundsätzlich begrüße die deutsche Automobilindustrie die Stärkung der IT-Sicherheit. Leider sei in diesem Fall die Verbändeanhörung zum Gesetzesentwurf in einer ungewöhnlich kurzen Frist von nur einem Arbeitstag erfolgt, die es kaum möglich gemacht habe, Kritikpunkte einzubringen. Die 1. Lesung im Deutschen Bundestag fand am 28. Januar 2021 statt. Der VDA hat Fraktionsvorsitzende des Bundestages daher schriftlich über die gravierenden Probleme informiert, die der Entwurf des IT-SiG 2.0 aus Sicht der Automobilindustrie enthält.
So soll das Gesetz für diejenigen Unternehmen relevant sein, die „im besonderen volkswirtschaftlichen Interesse für die Bundesrepublik Deutschland“ sind. Dabei lasse der Gesetzentwurf zudem völlig offen, welche Unternehmen demnächst unter die Auflagen des IT-SiG 2.0 fallen werden. Die Definition der Kriterien solle laut Gesetzentwurf allein das Bundesinnenministerium (BMI) im Wege einer Rechtsverordnung vornehmen dürfen. So könnte die Top-100-Liste der umsatzgrößten deutschen Unternehmen von der Monopolkommission als Grundlage dienen. Unklar bleibe, ob Unternehmen, die unter die 100-Top-Liste der größten Unternehmen gefallen sind, dauerhaft den Regulierungen des IT-SIG 2.0 unterliegen. Da sich die Top-100-Liste jährlich ändere – passt das BMI seine Firmenliste jeweils an? Oder bleiben Unternehmen dennoch im BMI-Zuständigkeitsbereich, obwohl ihr Umsatz geringer geworden ist?
„Wir gehen davon aus, dass Automobilhersteller und etliche Zulieferer – und damit wichtige Teile der deutschen Industrie – von zusätzlichen Auflagen und Restriktionen betroffen sind. Weil die Unternehmen langfristige Klarheit über den Geltungs- und Anwendungsbereich des Gesetzes brauchen, darf nach unserer Auffassung das ‚besondere volkswirtschaftliche Interesse‘ nicht allein durch ein Ministerium definiert werden. Eine solch weitreichende Bestimmung kann nicht über eine Rechtsverordnung geregelt werden, sondern muss im Rahmen des Gesetzgebungsprozesses im Parlament erfolgen“, betont VDA-Präsidentin Hildegard Müller.
Die deutsche Automobilindustrie ist global tätig und unterliegt bereits jetzt zahlreichen Auflagen und Meldepflichten. Die geplante Kompetenzerweiterung des Bundesamtes für Sicherheit in der Informationstechnik (BSI) zu einer Aufsichts- und Regulierungsbehörde führe zu einer enormen Mehrbelastung der Unternehmen, ohne einen zielgerichteten Beitrag zur Erhöhung des Sicherheitsstandards zu leisten und schaffe möglicherweise Mehrfachregulierungen.
Von einer Einführung eines nationalen Standards der Technik für IT-Produkte sei abzuraten, da dies der globalen Technologiefragmentierung Vorschub leisten würde. Der Stand der Technik entwickle sich stetig weiter. Ein lediglich national definierter Stand der Technik würde daher bereits bei Veröffentlichung veraltet sein können.
Nicht nur auf technische Sicherheit fokussieren
Der VDA fordert, im IT-SiG 2.0 eine Kann-Option für Unternehmen einzuführen, um Schlüsselpersonal überprüfen zu können. In einem früheren Entwurf des Gesetzes sei dies bereits enthalten gewesen. Demnach hatten Unternehmen wichtige Mitarbeiter, die an Schlüsselstellen für die IT-Sicherheit der Unternehmen sitzen, im Vorfeld durch die zuständigen Sicherheitsbehörden überprüfen lassen können. So hätte man verhindern können, dass Hacker, aus den Unternehmen heraus, Unterstützung bekommen.
„Leider ist diese bewährte Praxis der Sicherheitsüberprüfung im jetzigen Gesetzesentwurf nicht mehr vorgesehen“, kritisiert Hildegard Müller.
Eine Fokussierung allein auf die technische Sicherheit sei aus Sicht der Automobilindustrie nicht zielführend, um die Cyberresilienz in Deutschland zu erhöhen.
Ein weiterer kritischer Punkt im Gesetz sei die geplante neue Regelung zur Offenlegung von Kryptografie-(Schnittstellen)/-Protokollen bis zur Anordnung der konkreten Verwendung von speziellen Technologien oder Verfahrensweisen und Algorithmen – oder deren Verbot. Hier werde nach Ansicht des VDA in die unternehmerische Freiheit und Entwicklung von Produkten durch den Staat eingegriffen. Zu dem birge es auch ein Sicherheitsrisiko, wenn viele Produkte mit denselben Verfahrensweisen ausgestattet sind.
„Wir alle brauchen IT-Sicherheit, aber durch das IT-SiG 2.0 würden unternehmerische Freiheiten in unzulässiger Weise und völlig unangemessen eingeschränkt“, unterstreicht Hildegard Müller.
Die VDA-Präsidentin weist darauf hin, dass nach dem Entwurf Verstöße gegen das IT-SiG 2.0 mit Strafzahlungen in Millionenhöhe verbunden sein können.
„Anordnungen zu konkret einzusetzenden Sicherheitstechnologien und Sicherheitsmaßnahmen dürfen nicht Innovationen und neue Verfahrensweisen ausgrenzen. Sonst wird die Innovationsfähigkeit, die gerade in diesem Bereich von vitaler Bedeutung ist, ausgebremst. Das wäre für den Wirtschaftsstandort Deutschland mit erheblichen Nachteilen verbunden“, betont Hildegard Müller.
Die VDA-Präsidentin weist auch darauf hin, dass eine Regulierung auf nationaler Ebene zu kurz greift:
„Wir sind eine international tätige Industrie. Deshalb brauchen wir statt nationaler Alleingänge ein wesentlich stärkeres Engagement für globale IT-Sicherheitsstandards, zumindest jedoch auf europäischer Ebene.“
Quelle: VDA – Verbandes der Automobilindustrie
