Neue Einbeziehung der Hersteller

Eine weitere gravierende Änderung des geplanten IT-Sicherheitsgesetzes bezieht sich auf die Verantwortung der Hersteller von Hard- und Software. So kritisieren die Fraktionen in ihrem Änderungsantrag, dass es „in der Praxis häufig an der Mitwirkung der Hersteller von informationstechnischen Produkten und Systemen bei der kurzfristigen Behebung von Sicherheitslücken fehlt, etwa durch die Bereitstellung eines erforderlichen Sicherheits-Updates“.

Das IT-Sicherheitsgesetz soll den Betreibern kritischer Infrastrukturen eine Grundlage geben, „eine Vereinbarung über die Sicherheit/Fehlerfreiheit der zum Einsatz vorgesehenen IT-Produkte und IT-Systeme gegenüber den Herstellern durchsetzen zu können“. Dazu benötigen sie aber die Mithilfe des Bundesamtes für Sicherheit in der Informationstechnik (BSI).

Das BSI soll eine „Anordnungsbefugnis“ bekommen, „mit der die Hersteller der betroffenen informationstechnischen Produkte und Systeme im zumutbaren Umfang zur Mitwirkung an der Beseitigung oder Vermeidung von Störungen verpflichtet werden können“.

Welche Auswirkungen diese Regelung auf die Praxis haben wird und inwieweit das BSI die Hersteller zur längeren Bereitstellung von Sicherheits-Patches zwingen kann, muss sich noch zeigen. Bislang kümmern sich viele Hard- und Software-Hersteller lieber um die Entwicklung und den Verkauf neuer Produkte als um den Support ihrer älteren Erzeugnisse. Die Regelung ist aber sicher ein Schritt in die richtige Richtung.