Umstrittenes Cybergesetz: Wie weit geht Tschechien beim Schutz kritischer Infrastruktur?
Kraftwerke, Banken und Telekommunikationsprovider in Tschechien werden künftig womöglich gründlicher über ihre Zuliefererfirmen entscheiden müssen. Denn im tschechischen Abgeordnetenhaus liegt gerade ein Gesetz, durch das das Nationale Amt für Cyber- und Informationssicherheit (NÚKIB) in Zukunft die Technologien risikoreicher Software- und Hardwarefirmen untersagen könnte. Was manche als sinnvollen Schutz der kritischen Infrastruktur ansehen, ist für andere ein Kostentreiber, der wirtschaftliche Planungssicherheit verhindert.
Sechs Jahre ist es her, dass das tschechische Amt für Cyber- und Informationssicherheit eine Warnung vor der Nutzung von Technologie der chinesischen Firmen Huawei und ZTE herausgegeben hat. In der Gesetzesnovelle, die derzeit im Abgeordnetenhaus liegt, werden zwar keine konkreten Länder oder Firmen genannt. Der tschechische Inlandsnachrichtendienst BIS macht aber schon seit Langem auf Hackerangriffe und potentielle Spionage durch China und Russland aufmerksam. Warum die Abhängigkeit von Firmen aus risikobehafteten Ländern ein Problem darstellt, weiß Tatjana Jakšičová vom Außenministerium:
„Man kann uns dann ja einfach abschalten. Nehmen wir einmal an, wir befänden uns morgen in einem Krieg. Wenn jemand, dem wir nicht vertrauen können, in Zuliefererketten vertreten ist, untergraben wir unsere eigene Sicherheit.“
Durch das neue Cybergesetz müssten 180 für den Staat relevante Unternehmen und Behörden einen Check der Zuliefererketten durchlaufen. Karel Řehka hält das für sinnvoll. Er ist der Generalstabschef der tschechischen Armee und war von 2020 bis 2022 Direktor des Amtes für Cyber- und Informationssicherheit. Eine funktionierende zivile Infrastruktur sei auch für die Armee von Bedeutung, sagt der Generalleutnant:
„Im Rahmen der kollektiven Verteidigung gibt es heute regionale Verteidigungspläne, die vor allem auf die Geschwindigkeit abzielen und darauf, viele Dinge schon im Friedenszustand zu erledigen. Aber was bedeutet es wohl für die Reaktionszeit, wenn in einer bestimmten Phase auf einmal etwa ein wichtiger Hafen abgeschaltet wird?“
Obwohl niemand daran zweifelt, dass die digitale Sicherheit wichtig ist, begrüßen nicht alle die Novelle. Patrik Nacher von der Oppositionspartei Ano etwa bemängelt, dass völlig unklar sei, wie teuer die Unternehmen ein Wechsel der Zulieferer zu stehen komme. Und er befürchtet Kostensteigerungen für den Endverbraucher:
„Die Preise werden natürlich steigen. Neben all den Preissteigerungen, die es ohnehin schon gibt, werden wir Politiker den Menschen erklären müssen, dass sie nun wegen irgendeiner Cybersicherheit noch mehr bezahlen müssen.“
Und auch von den Unternehmerverbänden kommt Kritik. So beklagen die Handelskammer (HK ČR) und der Verband der Betreiber von Mobilfunknetzen (APMS), dass das Amt für Cyber- und Informationssicherheit mit dem Gesetz zu viel Macht bekomme. Jiří Grund ist der Präsident des Verbandes der Telekommunikationsbetreiber und sagt:
„Unsere größte Angst ist, dass das Ganze ausufert – dass wir die Teile eines potentiell gefährlichen Zulieferers aus dem Netz entfernen und dann ein Beamter am nächsten Tag sagt, dass ihm das nicht ausreiche und die Produkte der Firma überall entfernt werden müssten, also auch da, wo es unseren Sicherheitsexperten zufolge weder rational, noch wirtschaftlich oder sicherheitstechnisch Sinn hat.“
Laut dem Leiter des Amtes für Cyber- und Informationssicherheit, Lukáš Kintr, ist diese Befürchtung unbegründet. Welches Unternehmen als risikoreich eingestuft wird, entscheide zwar seine Behörde. Man werde die konkreten Fälle aber stets mit dem Innen- oder dem Außenministerium und zudem mit den Geheimdiensten konsultieren, bekräftigte Kintr dem Tschechischen Rundfunk. Außerdem dürften die ausgesonderten Technologien mindestens fünf Jahre im Netz verbleiben, wenn nicht länger, meint Kintr. Ein schnelleres Verbot ist gemäß dem geplanten Gesetz nur durch die vorherige Zustimmung der Regierung möglich.
Doch Jiří Grund vom Handynetzbetreiberverband geht das nicht weit genug. Die Entscheidung über das Verbot einer Firma sollte immer bei der Regierung liegen, fordert er und begründet:
„Alles, was wir wollen, sind vorhersehbare Investitionsbedingungen. Wenn wir irgendwo 20 Milliarden Kronen hineinstecken, wollen wir mit Sicherheit wissen, dass wir dank dieser Investition in den zehn nächsten Jahren in der Lage sind, hervorragende Dienste anzubieten.“
Über das angedachte Cybergesetz wird noch bis Ende Oktober im Plenum des Abgeordnetenhauses verhandelt. Dann geht die Vorlage in der unteren Parlamentskammer zurück an die Ausschüsse für Sicherheit und für Wirtschaft. Mit der Novelle will Tschechien unter anderem die Vorgaben einer EU-Richtlinie über Cybersicherheit in Tschechien implementieren. Die Änderungen im derzeitigen Gesetzesentwurf gehen aber über die Vorgaben der Europäischen Union hinaus.