16.01.2015Fachbeitrag

Newsletter IP, Media & Technology Januar 2015

Der (neue) Referentenentwurf für ein IT-Sicherheitsgesetz

Anfang November hat das Bundesministerium des Inneren einen neuen Referentenentwurf für ein IT-Sicherheitsgesetz veröffentlicht. Wenn auch der Erlass des Gesetzes nicht vor Mitte 2015 zu erwarten ist, lohnt sich aufgrund der vielfältigen Auswirkungen ein Blick auf den Entwurf. Die Änderungen betreffen unter anderem das BSI-Gesetz, das TMG und das TKG.

Auf einen noch relativ groben Referentenentwurf für ein IT-Sicherheitsgesetz vom 5. März 2013 des BMI folgten die Bundestagswahl, ein Koalitionsvertrag (der neun Mal den Begriff IT-Sicherheit verwendet und dem Begriff Cyberkriminalität einen eigenen Abschnitt widmet) und ein weiterer Referentenentwurf für ein IT-Sicherheitsgesetz am 18. August 2014, der am 4. November 2014 noch einmal aktualisiert und an europäische Entwicklungen angepasst wurde. Letzterer ist fast doppelt so lang wie sein Vorgänger, jedoch an entscheidenden Stellen immer noch so vage, dass für Unternehmen bedeutende Interpretationsspielräume entstehen. Dies gilt es zu nutzen.

Verpflichtung auf den „Stand der Technik“ jetzt auch im TMG

TKG-Diensteanbieter mussten bisher schon das Fernmeldegeheimnis beachten und die Daten ihrer Nutzer dem Stand der Technik entsprechend schützen (§ 109 Abs. 1 TKG). Dass der Stand der Technik nun auch für die zusätzlichen Sicherheitspflichten eines Betreibers von öffentlichen Telekommunikationsnetzen gelten soll, ist noch kein großer Sprung. Dass aber nun auch Anbieter von gegen Entgelt angebotenen Telemedien auf Sicherheitsmaßnahmen verpflichtet werden, die den „Stand der Technik berücksichtigen müssen“, dürfte einige Anbieter von Apps und Webseiten überraschen. Jedenfalls ist nun klar: Wer zu wenig für die Cybersicherheit seines Telemediendienstes unternimmt, sieht sich im Falle einer Datenpanne deutlich leichter einem Fahrlässigkeitsvorwurf ausgesetzt. Immerhin ist jeder noch so kleine kommerzielle App-Betreiber angewiesen, den Stand der Technik zu berücksichtigen. Was aber der Stand der Technik für Apps und Webseiten genau ist, mit dieser Gretchenfrage lässt der Gesetzgeber die Telemedienanbieter vorerst alleine. Doch bevor nun gerade kleinere TMG-Anbieter übereilt allzu große Investitionen in Sicherheitstechnik tätigen, lohnt ein Blick in die Begründung des Referentenentwurfs. Diesem lässt sich nämlich entnehmen, dass Verhältnismäßigkeitsgesichtspunkte ebenfalls berücksichtigt werden können. Es muss also in jedem Einzelfall sorgfältig abgewogen werden, welche Sicherheitstechniken und welche organisatorischen Maßnahmen zum Einsatz kommen sollten.

Meldepflichten für Betreiber kritischer Infrastrukturen

Ein Kern des IT-Sicherheitsgesetzes besteht aus einer Meldepflicht für IT-Sicherheitsvorfälle, die sich bei Betreibern kritischer Infrastrukturen ereignen. Unternehmen müssen sich bewusst sein, dass für den Gesetzgeber nicht nur Atomkraftwerke und das Sicherheitsnetz der Deutschen Bahn als kritische Infrastruktur gelten. Es ist zwar vorgesehen, erst in einer Verordnung die kritischen Infrastrukturen näher zu definieren. Der Gesetzeswortlaut nennt aber bereits jetzt die folgenden Branchen: Energie, Informationstechnik und Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung sowie Finanz- und Versicherungswesen. Anhand dieser Aufzählung darf bereits vermutet werden, dass der Begriff der kritischen Infrastruktur tendenziell eher weit verstanden wird.

Die Meldeflut

Nach dem neuen § 8b Abs. 4 BSI-Gesetz sollen die Betreiber kritischer Infrastrukturen „bedeutende Störungen“ ihrer Systeme, die zu einem „Ausfall“ oder einer „Beeinträchtigung“ der betriebenen
kritischen Infrastruktur führen „können“, dem BSI melden. Die Meldepflicht soll also bereits ausgelöst werden, wenn eine Beeinträchtigung der IT zu einer potenziellen Beeinträchtigung der Infrastruktur führen kann. Das Potenzial zur Beeinträchtigung genügt folglich. Dies ist sehr weit, vor allem wenn man bedenkt, wie viele Cyberattacken täglich stattfinden. Die Deutsche Telekom sprach jüngst von gegenwärtig bis zu 450.000 Cyberangriffen pro Tag. Zwar wurde in dem jüngsten Entwurf der Begriff der „Beeinträchtigungen“ der IT-Systeme durch das Tatbestandsmerkmal „bedeutende Störung“ ersetzt, doch die Gesetzesbegründung verwässert diese scheinbar höhere Schwelle, indem sie darauf hinweist, dass auch bekannte Sicherheitslücken (die bei Standardsoftware regelmäßig gefunden werden) und nur versuchte Angriffe gemeldet werden sollen. Es ist daher nach wie vor unklar, ob es zum Beispiel in der Zukunft erforderlich wird, die Firewall-log-files auf „steckengebliebene“ Angriffsversuche zu untersuchen und das Ergebnis an das BSI zu übersenden. Bedenkt man nun noch, dass die Meldung an das BSI Angaben zu den technischen Rahmenbedingungen, insbesondere der eingesetzten und betroffenen Informations-technik enthalten muss, so fragt man sich, wie das BSI die ganzen Meldungen verarbeiten soll

Aktuelle To-dos

Zur Beruhigung sollten sich Unternehmen an dieser Stelle Folgendes vergegenwärtigen: Erstens enthält die Definition der Meldepflicht eine Reihe ausfüllungsbedürftiger Begriffe, welche Unternehmen in ihrem Sinne interpretieren können. Zweitens enthält der Entwurf des IT-Sicherheitsgesetzes keine Sanktion für nicht gemeldete Beeinträchtigungen. Zudem sind anonyme und pseudonyme Meldungen vorgesehen. Andererseits werden Behörden ermächtigt, Anordnungen zur Beseitigung von Sicherheitsmängeln zu treffen. Daher gilt es jetzt bereits, bei größeren Unternehmen entsprechende Compliance-Richtlinien für den Umgang mit und die Dokumentation von „Beeinträchtigungen“ vorzubereiten, um nicht später durch die Umsetzung des IT-Sicherheitsgesetzes überrascht zu werden.

Mehrere Meldeadressaten bei Diebstahl sensibler Daten

Besonders bunt wird es, wenn bei einem Infrastrukturbetreiber, etwa einer Bank oder einem Energieversorger, durch einen Cyberangriff auch sensible Kundendaten abhandenkommen. Dann muss neben einer Meldung an das BSI auch eine Meldung gemäß § 42a BDSG an die Datenschutzaufsichtsbehörden und die Betroffenen erfolgen. Bei börsennotierten Unternehmen ist gleichzeitig eine kapitalmarktrechtliche Ad-hoc-Meldepflicht zu prüfen. Es bleibt nur zu hoffen, dass durch den Erlass der so genannten NIS-Richtlinie auf europäischer Ebene nicht noch eine Meldestelle hinzukommt.

NIS-Richtlinie

Im Hintergrund zu den Debatten um den Entwurf des IT-Sicherheitsgesetzes ist zu bedenken, dass auf europäischer Ebene der Entwurf der Richtlinie zur Gewährleistung einer hohen gemeinsamen Netz- und Informationssicherheit in der Union, der so genannten NIS-Richtlinie, voranschreitet. Der Kommissionsentwurf vom 7. Februar 2013 wurde in geänderter Fassung am 13. März 2014 durch das EU-Parlament angenommen. Diese weist in Teilbereichen einen deckungsgleichen Gegenstand mit dem IT-Sicherheitsgesetz auf. So werden auch hier Meldepflichten für Betreiber kritischer Infrastrukturen kodifiziert. Als Betreiber kritischer Infrastruktur waren im ersten Entwurf noch Betreiber von E-Commerce-Plattformen, sozialen Netzwerken, Cloud-Computing-Diensten und Application Stores genannt. Schon daran sieht man, wie wenig nationale und europäische Regulierungsbemühungen aufeinander abgestimmt sind. Der Anhang II des Richtlinienentwurfs, der die letztgenannten Bei- spiele kritischer Infrastruktur auflistete, wurde in der vom Parlament angenommenen Version wieder gestrichen. Es wäre jedoch naiv anzunehmen, dass sich Europa nach dem deutschen IT-Sicherheitsgesetz richten wird. Vielmehr steht zu befürchten, dass die NIS-Richtlinie ein irgendwann 2015 erlassenes IT-Sicherheitsgesetz in vielen kleinen abweichenden Einzelfällen schnell wieder veralten lässt.

Fazit

Das IT-Sicherheitsgesetz lässt in seiner jetzigen Fassung viele Interpretationsspielräume offen. Was der Stand der Technik ist, wann eine Sicherheitsmaßnahme für einen Telemediendienstleister verhältnismäßig ist und wann eine bedeutende Störung der IT eine kritische Infrastruktur beeinträchtigen kann, wird auch bei Erlass des Gesetzes nicht klar sein. Eine Vielzahl von Fragen müssen nun in Unternehmen sorgsam abgewogen werden. Entsprechende Prozesse und Compliance-Richtlinien sollten umgesetzt sein, bevor das Gesetz in Kraft tritt.

Als PDF herunterladen

Ansprechpartner

Sie benutzen aktuell einen veralteten und nicht mehr unterstützten Browser (Internet-Explorer). Um Ihnen die beste Benutzererfahrung zu gewährleisten und mögliche Probleme zu ersparen, empfehlen wir Ihnen einen moderneren Browser zu benutzen.