IT-Sicherheitsgesetz: Wer darf IP-Adressen speichern?

Der Entwurf der Bundesregierung für ein neues IT-Sicherheitsgesetz ruft lebhafte Diskussion innerhalb der Netz-Community hervor. So kritisierte etwa das „Forum InformatikerInnen für Frieden und gesellschaftliche Verantwortung“ (FIfF) das geplante Gesetz in der vorliegenden Form als „mangelhaft“ und „nicht verfassungsgemäß“. Die Forumsmitglieder stören sich an fehlenden Rechtsgrundlagen für Sicherheitswerkzeuge. So dürften Webservices die IP-Adressen der angeschlossenen Netzwerke nur für Abrechnungen nutzen, nicht aber für Sicherheitszwecke. Damit, so moniert das Forum, laufe die geplante Meldepflicht für Sicherheitsvorfälle bei kritischen Infrastrukturen ins Leere.

Dem widerspricht der „Arbeitskreis Vorratsdatenspeicherung“, ein bundesweiter Zusammenschluss von Bürgerrechtlern, Datenschützern und gesellschaftlichen Vereinigungen. Der Arbeitskreis sieht in der Verarbeitung von IP-Adressen zu Sicherheitszwecken den Einstieg in die Vorratsdatenspeicherung. Arbeitskreis-Sprecher Patrick Breyer antwortete dem FIfF-Vorstand in einem Brief und zeigte sich von dessen Forderung „schockiert“.

Netzexperten von Bund und Ländern wiederum halten die FIfF-Forderung für berechtigt. Es sei „dumm“ und „fundamentalistisch“, auf die Speicherung von IP-Adressen ausnahmslos zu verzichten, findet etwa der oberste Datenschützer Schleswig-Holsteins, Thilo Weichert. Bei der Untersuchung und Beseitigung von IT-Sicherheitslücken könnten die IP-Adressen durchaus nützlich sein, etwa um User zu warnen, wenn sie ein sicherheitsrelevantes Update nicht eingespielt hätten. Bei der Weitergabe von IP-Adressen in solchen Fällen sei allerdings eine strenge Zweckbindung erforderlich.