IT-Sicherheitsgesetz 2.0 und Telekommunikationsgesetz: Was heißt hier eigentlich schnelles Internet?

Am Donnerstag eine Novelle des Telekommunikationsgesetzes und am Freitag ein Update für das IT-Sicherheitsgesetz. Ersteres regelt den Telekommunikationsmarkt. Die Überarbeitung soll laut Bundeswirtschaftsministerium einen "maßgeschneiderten und zukunftsorientierten Rechtsrahmen für den deutschen Telekommunikationsmarkt und die Endkunden" schaffen. Letzteres ist eine neue Fassung des 2015 beschlossenen IT-Sicherheitsgesetzes, das nun, wie es der Name schon suggeriert, die IT-Sicherheit in Deutschland weiter stärken soll.

Nun ja – es wird eher eine Möglichkeit geben, sich zu wehren, wenn das Internet allzu langsam ist. Mit dem nun beschlossenen Gesetz zur Modernisierung des Telekommunikationsrechts, kurz TKG, sollen sich Bürgerinnen und Bürger voraussichtlich ab Mitte 2022 bei der Bundesnetzagentur über zu langsame Breitbandverbindungen beschweren und schnellere einfordern können. Nach Prüfung könnte die Bundesnetzagentur Anbieter mit der Verlegung einer schnelleren Leitung beauftragen. 

Die Idee dahinter ist, dass alle Bürgerinnen und Bürger künftig einen Anspruch auf einen Internetzugang haben, der ihnen laut Bundesregierung "soziale und wirtschaftliche Teilhabe einschließlich der Nutzung von Videostreamingdiensten sowie Homeoffice in angemessenen Umfang ermöglicht". Bedeutet: Profitieren dürften vor allem Menschen, die so ländlich wohnen, dass sie nur im Schneckentempo über ihre Standleitung im Netz surfen können.

Das Gesetz legt keine konkreten Werte vor, wie schnell die Verbindung sein muss, die Anbieter ihren Endkundinnen und Endkunden zur Verfügung stellen müssen. Stattdessen soll das Verkehrsministerium jedes Jahr in Abstimmung mit dem Verkehrsausschuss des Bundestags abstimmen, welche Mindestbedingungen zu erfüllen sind und ob diese noch zeitgemäß sind.

Bislang hatten Bundesbürger lediglich Anspruch auf einen "funktionalen Internetzugang", der als erfüllt galt, sobald 0,056 Megabit pro Sekunde übertragen wurden. Laut dem Branchenfachdienst heise.de ist in Änderungsanträgen der Regierungsparteien nun immerhin von 30 Megabit pro Sekunde die Rede – das soll zumindest Angebote wie Videokonferenzen im Homeoffice ermöglichen. Laut dem aktuellen Breitbandatlas der Bundesnetzagentur kommen in ländlichen Gebieten 93 Prozent der Haushalte auf Bandbreiten um die 16 Megabit pro Sekunde. Hinter einem Versprechen von Bundeskanzlerin Angela Merkel aus dem Jahr 2014, bis Ende 2018 alle Haushalte mit mindestens 50 Megabit pro Sekunde auszustatten (um nur eines von unfassbar vielen anderen Versprechen zu nennen), bleiben die nun beschlossenen Ziele jedoch deutlich zurück.

Bei der Berechnung, welche Bandbreiten den Menschen im Bundesgebiet zur Verfügung stehen, sollen abgesehen von der Downloadgeschwindkeit auch die Uploadraten und die Latenz berücksichtigt werden – also wie viele Daten pro Sekunde ins Netz hochgeladen werden können und mit welchen Verzögerungszeiten.

Heißt konkret: Man kann in dem Gesetz schon einen Fortschritt erkennen. Und doch geht er vielen Kritikerinnen nicht weit genug. Anke Domscheit-Berg, Netzpolitikerin der Linkspartei, bezeichnete die Vorgaben als "Rechtsanspruch auf lahmes Internet". Grünenpolitikerin Tabea Rößner forderte außerdem Entschädigungszahlungen für Verbraucherinnen und Verbraucher mit zu langsamen Verbindungen. 

Abgesehen von Telefonanbietern und Internetprovidern sollen auch "nummernunabhängige interpersonelle Telekommunikationsdienste" mit in einen Topf zahlen, aus dem die Kosten für die schnelleren Leitungen bezahlt wird. Sprich: auch Messengerdienste wie WhatsApp, Facebook, Signal oder Threema. Wie viel sie zahlen müssen, richtet sich nach der Zahl der aktiven Nutzerinnen und Nutzer in Deutschland. Nicht zur Kasse gebeten werden hingegen Anbieter von datenintensiven Streamingservices wie Netflix. Denn das würde wohl Vorgaben aus der EU widersprechen.

Das TKG sieht vor, "möglichst bis 2026" durchgehend und unterbrechungsfrei LTE an allen Bundes-, Landes- und Kreisstraßen sowie allen Schienenstrecken für Nutzerinnen und Nutzer zur Verfügung zu stellen – und zwar durchgehend und unterbrechungsfrei. Damit werden Vorgaben zum Mobilfunkausbau erstmals gesetzlich verankert – bislang waren sie lediglich Teil der Versorgungsauflagen, denen ein Anbieter sich unterwerfen muss, wenn er Mobilfunkfrequenzen erwirbt.

Tatsächlich wurde im Frühjahr eine Liste aus dem von Horst Seehofer geführten Bundesinnenministerium publik, in der umfassende Änderungswünsche für das TKG formuliert waren, die mit mitunter tiefen Grundrechtseingriffen und Überwachungsbefugnissen verknüpft gewesen wären. Gegen diese Liste regte sich massive Kritik, selbst aus den Regierungsparteien. So bezeichnete der SPD-Abgeordnete Falko Mohrs sie als "Wunschliste des Grauens".

Für besonders wütende Reaktionen sorgte die Forderung, dass Nutzerinnen und Nutzer von Messengerdiensten, Videokonferenzplattformen, E-Mails oder anderen "nummernunabhängigen interpersonellen TK-Diensten" ihre Personalien bei den jeweiligen Anbietern verifiziert hinterlegen müssen, damit diese sie in Einzelfällen Sicherheitsbehörden zur Verfügung stellen. Internetunternehmen wie der E-Mail-Anbieter Posteo oder Vertreter des Chaos Computer Clubs kritisierten dieses Vorhaben einer de facto Online-Ausweispflicht scharf.

Aus Seehofers weitreichender Forderung ist wenig geworden: Im Gesetz steht nun lediglich, dass Messengerdienste dazu verpflichtet werden, unter anderem Name, Anschrift, Geburtsdatum und weitere Angaben ihrer Nutzerinnen vorzuhalten – aber nur für den Fall, dass sie diese Informationen ohnehin erheben. Damit will das Innenministerium erreichen, dass Dienstleister diese Informationen im Einzelfall auch Sicherheitsbehörden zur Verfügung stellen können, um Straftaten zu verfolgen.

Andere Punkte aus der Liste tauchen dennoch im Gesetz auf. Etwa, dass Mobilfunknetzbetreiber auch in künftigen Netzen wie 5G gewährleisten können, dass Sicherheitsbehörden sogenannte IMSI-Catcher einsetzen können. Damit kann man Mobilfunkgeräte orten und abhören. Die Netzbetreiber sollen außerdem sicherstellen, dass Nutzerinnen und Nutzer von diesem Einsatz nichts mitbekommen.

Als weitere Überwachungsmaßnahme, die von Expertinnen wie Oppositionspolitikern scharf kritisiert wurden, finden sich im Gesetzesentwurf unter anderem die eigentlich gerichtlich längst schon gekippte Vorratsdatenspeicherung wieder. Netzpolitik.org zitiert außerdem den grünen Netzpolitiker Konstantin von Notz, der neue Regelungen für die Bestandsdatenauskunft als "verfassungsrechtlich zumindest umstritten" bezeichnet. Bei besonders schweren Straffällen sollen Ermittlungsbehörden sogar die Herausgabe von Passwörtern verlangen können.

Tja, wenn man das mal in einem Satz beantworten könnte. Versuchen wir es mal so: Das nun beschlossene Update des IT-Sicherheitsgesetzes soll sowohl den Verbraucherinnen und Verbrauchern helfen als auch mehr IT-Sicherheit in Unternehmen garantieren als auch unsere Mobilfunksysteme abhörsicher gestalten als auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) dabei unterstützen, Cyberangriffe besser abzuwehren. So schreibt es das Bundesinnenministerium (BMI) in einer Pressemitteilung.

Klingt ein bisschen beliebig? Findet auch Manuel Atug, der die unabhängige Gruppe AG Kritis leitet und sich mit der IT-Sicherheit kritischer Infrastrukturen wie Wasserversorgung oder Krankenhäusern befasst. Er kritisierte in einer Stellungnahme vor der Verabschiedung des Gesetzes, dass es sich um "eine bunte Mischung – teilweise sachfremder – Wünsche seitens einzelner Behörden zu handeln" scheine.

Im besten Fall ein bisschen mehr Information. Wer künftig Fragen zur IT-Sicherheit hat, soll im BSI einen geeigneten Ansprechpartner finden. Die Behörde soll als "unabhängige und neutrale Beratungsstelle für Fragen der IT-Sicherheit" etabliert werden und Nutzer beraten, sensibilisieren und unterstützen. Dafür wird das bisherige Angebot um eine Onlineplattform ergänzt, auch soll es beispielsweise "zielgruppenspezifische Sensibilisierungskampagnen" für Verbraucherinnen fahren können – was auch immer das heißen mag.

Besonders stolz ist das BMI auch auf das neue IT-Sicherheitskennzeichen. Daran sollen Menschen erkennen können, wie lange eine smarte Glühbirne oder eine smarte Waschmaschine voraussichtlich upgedatet werden. Das Kennzeichen hat nur einen Schönheitsfehler: Es ist nicht verpflichtend, laut Gesetzestext wegen EU-Regeln. "Zugespitzt bedeutet dies, dass IT-Produkte, deren Schutzmechanismen im Entwurf selbst als 'faktisch wirkungslos' bezeichnet werden, weiterhin verkauft werden dürften und nur auf Basis von Freiwilligkeit des Herstellers ein entsprechendes IT-(Un)Sicherheitskennzeichen auf der Verpackung tragen würden", schrieb die Stiftung Neue Verantwortung schon in einer Stellungnahme zu einem früheren Entwurf. Kurz: Die Idee könnte wirkungslos bleiben. 

Um eine Antwort drückt sich das Gesetz immer noch herum. Wie auch schon in vorherigen Entwürfen behält sich die Bundesregierung grundsätzlich vor, "nicht vertrauenswürdige" Anbieter notfalls vom Betrieb auszuschließen. Das könnte zum Beispiel dann der Fall sein, wenn ein Unternehmen ihm gemeldete Schwachstellen oder Manipulationen nicht unverzüglich angibt oder beseitigt. Bedeutet: Wenn Huawei eine Komponente zu einem Teil des Systems beiträgt, sich dann aber herausstellt, dass darüber jemand hätte mithören können, und das chinesische Unternehmen hätte das nicht angegeben, könnte die Regierung dafür sorgen, dass die betroffene Komponente nicht länger eingesetzt wird.

Schon seit Jahren streiten sich Politikerinnen, Wirtschaftsvertreter und IT-Sicherheitsexperten um die Frage, ob man das Mobilfunknetz ausbauen und das chinesische Unternehmen Huawei daran beteiligen sollte oder nicht. Dafür spricht, dass es als führend gilt im Bereich der 5G-Komponenten. Dagegen das diffuse Gefühl, dass Huawei im Auftrag des chinesischen Staates Hintertüren einbauen, spionieren und sabotieren könnte.

Das fragen sich auch Experten. Die AG Kritis schreibt: "Mit einer Zertifizierung kann das Einschmuggeln einer Sicherheitslücke durch fremde Nachrichtendienste nicht vermieden werden." Was mit dem Passus verhindert werden soll, bleibt demnach unklar. Sven Herpig, IT-Sicherheitsexperte bei der Stiftung Neue Verantwortung, formulierte es in einer Stellungnahme vor dem Innenausschuss so: "5G-Netze sind zunehmend software-definiert", das bedeute, kritische Komponenten seien meist Softwarekomponenten, die schnell angepasst werden könnten.

Eigentlich aus einem edlen Motiv heraus: damit es die IT-Sicherheit noch besser garantieren kann, etwa für Unternehmen der kritischen Infrastruktur wie Stromversorger oder Wasserlieferanten. Dazu werden etwa die Mobile Incident Response Teams ausgebaut, die künftig verstärkt dabei helfen sollen, Systeme von Schadsoftware zu befreien und wieder nutzbar zu machen.

Allerdings bekommt die Behörde auch einige kritische Berechtigungen. Künftig darf sie etwa auf der Suche nach Schadsoftware zum Beispiel IT-Systeme scannen und Telekommunikationsanbieter anweisen, technische Befehle auf Rechnern von Betroffenen auszuführen. Atug von der AG Kritis sprach in seiner Stellungnahme von "invasiven Eingriffsmöglichkeiten". Zudem stellte er die Frage: Führt das BSI Scans durch, wie erfährt dann ein Betreiber davon, und was, wenn dann ein System ausfällt? Läuft es schlecht, kann das Bemühen nach mehr IT-Sicherheit dafür sorgen, dass IT-Systeme verändert oder beschädigt werden.

Weil es teilweise extrem kurze Fristen gab, um Änderungen einzureichen. So gewährte das Innenministerium den Sachverständigen mal einen Tag, mal fünf Tage, um sich Änderungen an einem Entwurf anzuschauen. Ähnlich sah es vor den Abstimmungen aus: Den Fraktionen wurden die Änderungsanträge zu den Entwürfen teils erst am Dienstag zugesandt, obwohl die Ausschüsse bereits am kommenden Tag tagten, wie ein Mitarbeiter des Grünenpolitikers von Notz schrieb. Das IT-Sicherheitsgesetz umfasst mehr als 100 Seiten, das Telekommunikationsmodernisierungsgesetz gar mehr als 450.