In Deutschland hat der Bundestag am 23. April ein zweites IT-Sicherheitsgesetz beschlossen, das unter anderem wichtige Infrastruktur wie Mobilfunk- und Energienetze schützen soll.

Zu den Neuerungen gehört, dass das Bundesinnenministerium den Einsatz sicherheitsrelevanter Komponenten verbieten kann, wenn der Hersteller von der Regierung eines anderen Landes kontrolliert wird oder bereits an gefährlichen Aktivitäten beteiligt war. Zuvor lag der Fokus auf einer Vertrauenswürdigkeits-Erklärung des Herstellers selbst.

Ausserdem wird die Rolle des Bundesamts für Sicherheit in der Informationstechnik (BSI) ausgebaut. Es soll deutlich mehr Personal bekommen. Ausserdem soll das BSI auch im Verbraucherschutz tätig werden. Für Konsumenten soll es ein IT-Sicherheitskennzeichen für Software- und Hardware-Produkte geben, das vom BSI entwickelt und vergeben werden soll.

Die Behörde soll in der öffentlichen Verwaltung und bei Betreibern von kritischen Infrastrukturen aktiv nach Sicherheitsschwachstellen suchen.

Das IT-Sicherheitsgesetz 2.0 ist das Ergebnis einer langen Diskussion. Sie wurde auch vor dem Hintergrund der Frage geführt, ob der chinesische Netzwerk-Ausrüster Huawei am Ausbau des neuen 5G-Datennetzes teilnehmen darf.

Es soll künftig möglich sein, einen Netzwerkausrüster vom Aufbau eines 5G-Netzes auszuschliessen, allerdings erst nach wiederholten Verstössen gegen die Vertrauenswürdigkeit. Als nicht vertrauenswürdig kann ein Anbieter unter anderem gelten, wenn er entdeckte IT-Schwachstellen nicht unverzüglich meldet und beseitigt, Sicherheitsüberprüfungen nicht unterstützt oder falsche Angaben macht.

Vor allem die USA werfen Huawei enge Verbindungen zur chinesischen Regierung vor und haben das Unternehmen unter Verweis auf eine Gefahr von Spionage und Sabotage mit harten Sanktionen belegt. Huawei weist die Vorwürfe zurück. Der CDU-Abgeordnete Christoph Bernstiel betonte aber, das neue Gesetz sei kein "Lex Huawei", wie 'Der Spiegel' schreibt, da die neuen Regeln für alle Anbieter gelten würden.

Deutschland müsse seine IT- und Cybersicherheit angesichts wachsender Bedrohungen stärken, schreibt der deutsche Branchenverband Bitkom. Das Sicherheitsgesetz 2.0 werde dabei allerdings kaum helfen. Der Verband kritisiert es als "eine Kombination aus technischer Zertifizierungsmaschinerie und politisch-regulatorischem Gutdünken mit fragwürdigem Mehrwert für die IT-Sicherheit".

Insbesondere mit Blick auf den 5G-Netzausbau würden Investitionsunsicherheiten und Kollateralschäden in Kauf genommen, so Bitkom. Anders sieht dies der Bundesverband der Deutschen Industrie (BDI). Er begrüsst das Gesetz. Es ebne den Weg für den Ausbau eines sicheren 5G-Netzes in Deutschland.