02.02.2021Fachbeitrag

Update Datenschutz Nr. 90

IT-Sicherheitsgesetz 2.0: Neuer Entwurf der Bundesregierung

Die Bundesregierung hat am 25. Januar 2021 den Gesetzesentwurf zum neuen IT-Sicherheitsgesetz 2.0 in das Gesetzgebungsverfahren eingebracht (Entwurf eines Zweiten Gesetzes zur Erhöhung der Sicherheit informationstechnischer Systeme, Drucksache 19/26106). Das „IT-Sicherheitsgesetz 2.0“ soll das alte IT-Sicherheitsgesetz aus Juli 2015 ablösen. Zweck des Gesetzes ist die Gewährleistung der Cyber- und Informationssicherheit, die mit der zunehmenden Digitalisierung aller Lebensbereiche und der wachsenden Bedeutung des „Internet of Things“ immer mehr an Bedeutung gewinnt.

Der Entwurf der Bundesregierung enthält diverse Neuerungen. Im Fokus der Änderungen aber auch der Kritik an dem Regierungsentwurf stehen die Änderungen des BSIG (Gesetz über das Bundesamt für Sicherheit in der Informationstechnik), durch die die Kompetenzen des BSI (Bundesamt für Sicherheit in der Informationstechnik) deutlich erweitert werden.

I. Hintergrund

Das erste IT-Sicherheitsgesetz wurde im Juli 2015 verabschiedet. Dieses hatte die Änderung verschiedener Gesetze, etwa des BSIG, des Telekommunikationsgesetzes (TKG) und des Telemediengesetzes (TMG) zum Gegenstand. Aufgrund des wachsenden Risikos durch Cyberangriffe soll dieses nun erweitert und nachgebessert werden. Der Gesetzgebungsprozess läuft bereits seit fast zwei Jahren, ein erster Entwurf wurde durch das Bundesministerium des Innern, für Bau und Heimat im März 2019 vorgelegtund von uns damals auch kommentiert (den Beitrag finden Sie unter diesem Link). Nachdem die Ausweitung der behördlichen Befugnisse auf große Kritik gestoßen ist, gab es im Mai 2020 einen neuen Entwurf. Hier war das Streitthema vor allem die Diskussion um die Bereitstellung der 5G-Infrastruktur durch Huawei. Es handelt sich bei der aktuellen Gesetzesvorlage also bereits um den dritten Entwurf eines IT-Sicherheitsgesetzes 2.0.

Das neue IT-Sicherheitsgesetz sieht Änderungen in verschiedenen Gesetzen vor. Betroffen sind BSIG, das TKG und das TMG, das SGB X und das Gesetz über die Elektrizitäts- und Gasversorgung sowie die Außenwirtschaftsverordnung.

II. Wichtige Neuerungen in Kürze

  • Neue Begriffsbestimmungen: Mit der Einführung neuer Regelungsbereich wurden auch die Anpassung der verwendeten Terminologie erforderlich. Neue Begriffsbestimmungen gibt es etwa für die „Kommunikationstechnik des Bundes“, „Protokollierungsdaten“, „IT-Produkte“, „Systeme zur Angriffserkennung“ sowie die „Kritischen Komponenten“. Letztere spielen in vielen der neuen Regelungen eine zentrale Rolle. Es handelt sich insbesondere um Komponenten, die in kritischen Infrastrukturen eingesetzt werden. Nachdem in den Vorgänger-Entwürfen vorgesehen war, dass die Ausfüllung dieses zentralen Begriffes durch noch zu schaffende untergesetzliche Vorgaben erfolgen sollte, ist nun doch bereits eine Ausgestaltung erfreut. Die so entstandene Rechtssicherheit ist zu begrüßen
  • Einbeziehung von „Unternehmen im besonderen öffentlichen Interesse“: Bisher gelten die Sicherheitsanforderungen und Eingriffsbefugnisse des BSIG in erster Linie für die Betreiber kritischer Infrastrukturen (erfasst sind die Bereiche Energie, Wasser, Ernährung, Transport, Finanzen, Versicherungen, Gesundheit, Telekommunikations- und Informationstechnik). Diese sollen durch das Änderungsgesetz zu großen Teilen auch auf andere Unternehmen ausgeweitet werden, an deren Funktionsfähigkeit ein erhebliches gesellschaftliches Interesse besteht. Dafür wurden drei Kategorien entwickelt, an die teilweise unterschiedliche Anforderungen gestellt werden. So muss u.a. innerhalb der dritten Kategorie nicht zwingend eine Registrierung beim BSI erfolgen. Zu der ersten Kategorie gehören etwa Unternehmen der Rüstungsindustrie und Verschlusssachen-IT, zu der zweiten Unternehmen, die wegen ihrer hohen Wertschöpfung eine besondere volkswirtschaftliche Bedeutung haben, und zu der dritten gehören Unternehmen, die der Regulierung durch die Störfallverordnung unterfallen (vgl. § 2 Abs.14 BSIG-E). Die Frage, wann es sich um ein Unternehmen von besonderer volkswirtschaftlicher Bedeutung handelt, soll anhand wirtschaftlicher Kennzahlen erfolgen. Jedenfalls auf die Betreiber solcher Unternehmen wird mit dem IT-Sicherheitsgesetz ein erheblicher Mehraufwand zukommen.
  • Angriffserkennungssysteme: Betreiber kritischer Infrastrukturen müssen innerhalb eines Jahres nach Inkrafttreten des Gesetzes Angriffserkennungssysteme implementieren (§ 8a Abs. 1a BSIG-E) und die dabei anfallenden Daten für mindestens vier Jahre speichern. Diese Pflicht trifft Unternehmen im besonderen öffentlichen Interesse nicht.
  • Nachweispflichten: Im Übrigen müssen aber auch die Betreiber von Unternehmen im besonderen öffentlichen Interesse alle zwei Jahre eine Selbsterklärung zur IT-Sicherheit vorlegen, aus der Details zu den getroffenen IT-Sicherheitsmaßnahmen hervorgehen (etwa Zertifizierung, Sicherheitsaudits und sonstige Schutzmaßnahmen; vgl. § 8f BSIG-E). Nach § 8b Abs. 4a BSIG-E kann das BSI im Falle einer Störung außerdem die Herausgabe der zur Beseitigung erforderlichen Unterlagen verlangen. Eine zwischenzeitlich vorgesehene Ausweitung der bereits bestehenden Meldepflicht für Störungen in § 8b Abs. 4 BSIG ist nun aber doch nicht zum Bestandteil des Gesetzesentwurfs gemacht worden.
  • Anzeigepflicht beim Einbau kritischer Komponenten: Nach § 9b BSIG-E ist außerdem der Einbau kritischer Komponenten, für die eine Zertifizierungspflicht besteht, anzuzeigen. Diese dürfen nur dann verwendet werden, wenn eine „Garantieerklärung“ des Herstellers über die Vertrauenswürdigkeit des Produktes vorliegt. Hierbei dürfte es sich um eine Folge der Debatte um Huawei handelt, allerdings findet durch diese Regel kaum eine Einschränkung der Produkte ausländischer Hersteller statt. Das BSI kann den Einsatz kritischer Komponenten bei Betreibern kritischer Infrastrukturen allerdings auch verbieten
  • Entwicklung eines einheitlichen IT-Sicherheitskennzeichens: Es werden die Voraussetzungen für ein nationales IT-Sicherheitskennzeichen geschaffen, das allerdings freiwillig bleiben soll. Die Anforderung können dann in einer Technischen Richtlinie (TR) festgelegt werden. Anderenfalls richten sie sich nach branchenabgestimmten IT-Sicherheitsvorgaben. Hierbei handelt es sich nicht um die Zertifizierung unter dem Cyber Security Act der EU, für die das BSI zukünftig ebenfalls zuständig sein soll. Ob eine solche nationale Zertifizierung neben der CSA-Zertifizierung sinnvoll ist, ist durchaus umstritten. Darüber hinaus bleibt es für Verbraucherinnen und Verbraucher schwierig, ein sicheres Produkt zu erkennen, wenn die Kennzeichnung freiwillig ist.
  • Anpassung des Bußgeldkataloges: Durch einen Verweis auf § 30 Abs. 2 OWiG sind nunmehr Bußgelder in Höhe von bis zu 20 Mio. Euro möglich. Eine Anknüpfung an den Jahresumsatz eines Unternehmens erfolgt anders als in der DSGVO jedoch nicht. Hierbei handelt es sich um einen nationalen Vorstoß, dessen Auswirkung auf die europäische Gesetzgebung noch abzuwarten ist.
  • Stärkung des BSI: Auch über die oben genannten Punkte hinaus fällt die Stärkung des BSI auf. Diesem wird eine Reihe neuer Aufgabenbereichen übertragen, sodass sich die Rolle des BSI immer mehr der einer obersten Bundesbehörde annähert:

 

  • a) Verbraucherschutz, namentlich die „Beratung und Warnung von Verbrauchern“ in IT-Sicherheitsfragen (§ 3 Nr. 14 a BSIG-E).
  • b) Allgemeine Meldestelle für Meldungen von IT-Sicherheitsrisiken (§ 4b BSIG-E). Ziel ist der Aufbau einer freiwilligen anonymen Meldeplattform für IT-Sicherheitsvorfälle. Es wird kritisiert, dass keine Pflicht des BSI normiert ist, die so erlangten Erkenntnisse auch mit Dritten bzw. den Unternehmen zu teilen. Das wurde auch in der ersten Bundestagsdebatte am 28. Januar 2021 bemängelt: Dadurch, dass keine Pflicht zur Meldung gefundener Sicherheitslücken besteht, könnten diese für Nachrichtendienste offengehalten werden. Wenn Lücken nicht geschlossen werden, wird jedoch die Verbesserung der Cybersicherheit erschwert. Dabei ist die Weitergabe der Informationen grundsätzlich durchaus vorgesehen und auch möglich.
  • c) Portscans: Das BSI erhält die Befugnis, Sicherheitslücken an den Schnittstellen informationstechnischer Systeme zu öffentlichen Telekommunikationsnetzen zu detektieren (nach offenen Ports zu suchen). Dies berechtigt das BSI zwar nicht zu RedTeaming Aktivitäten und Penetrationstests, allerdings sind Portscans ohne vorherige Ankündigung möglich, sofern die begründete Annahme besteht, dass Sicherheitslücken bestehen oder Sicherheitsvorkehrungen nicht ausreichen (§ 7b BSIG-E). Diese Vorschrift wurde als sogenannter „Hackingparagraf“ kritisiert.
  • d) Kontrolle der Kommunikationstechnik des Bundes und Auswertung und Speicherung von behördeninternen Protokolldaten: Dass das BSI die Metadaten von Behördenanfragen für bis zu zwölf Monate speichern darf, wird ebenfalls kritisiert.
  • e) Untersuchung der Sicherheit in der Informationstechnik durch Untersuchung von zur Bereitstellung auf dem Markt vorgesehenen IT-Produkten und Systemen (§ 7a BSIG-E) oder durch Abfrage von Bestandsdaten bei Anbietern von Telekommunikationsdiensten.
  • f) Beratung, Information und Warnung der Öffentlichkeit in Fragen der Informationssicherheit: Das BSI spricht Warnungen vor Sicherheitslücken in informationstechnischen Produkten und Diensten, vor Schadprogrammen und im Falle eines Verlusts von oder eines unerlaubten Zugriffs auf Daten aus und informiert über sicherheitsrelevante IT-Eigenschaften der Produkte.

III. Ausblick

Nachdem sich das Gesetzgebungsverfahren bereits knapp zwei Jahre hingezogen hat, wird von vielen nun mit einem vergleichsweise schnellen Abschluss gerechnet, der aber wohl kaum vor Frühjahr dieses Jahres zu erwarten ist. Grund dafür ist, dass es sich bei dem neuen IT-Sicherheitsgesetz um ein Ziel aus dem aktuellen Koalitionsvertrag handelt. Dies bedeutet jedoch auch, dass umfassende Änderungen an dem Gesetz trotz der vielfach geäußerten Kritik (z. B. des BDI und des Deutschen Verkehrsforums, siehe Artikel vom 31. Januar 2021) eher nicht mehr zu erwarten sind.

IV. Fazit

Zu begrüßen ist, dass der aktuelle Entwurf zum IT-Sicherheitsgesetz anders als die vorherigen Entwürfe für mehr Rechtsklarheit sorgt, da deutlich weniger pauschale Verweisungen auf untergesetzliche Rechtsakte erfolgen, in denen dann erst wichtige Details geregelt werden sollen. Ebenfalls zu begrüßen ist, dass es nicht zu Änderungen an StGB und StPO gekommen ist, die etwa die Möglichkeit der zwangsweisen Herausgabe von Zugangsdaten zu Benutzerkonten durch den Verdächtigen zum Inhalt gehabt hätten. Für die meisten Unternehmen wird nach Inkrafttreten des IT-Sicherheitsgesetzes kein großer Umsetzungsaufwand entstehen. Lediglich für Unternehmen im besonderen öffentlichen Interesse und teilweise auch für Betreiber kritischer Infrastrukturen wird die Umsetzung mit teilweise massiven Anpassungen verbunden sein.

Dennoch gibt es erhebliche Kritikpunkte. Zu diesen gehört, dass das neue Gesetz erarbeitet wurde, obwohl eine Evaluierung der Maßnahmen aus dem Gesetz von 2015 nicht stattgefunden hat. Auch die vergleichsweise kurze Öffentlichkeitsdebatte wird kritisiert, nachdem sich die Bundesregierung für dieses Gesetz so viel Zeit gelassen habe. Daneben birgt das nationale IT-Sicherheitskennzeichen das Risiko, dass sich Verbraucherinnen und Verbraucher bei Nutzung solcher Produkte in einer „Scheinsicherheit“ wiegen.

Der größte Kritikpunkt ist aber wohl die Ambivalenz zwischen dem erklärten Ziel des Verbraucherschutzes und Stärkung der IT-Sicherheit einerseits und der Tatsache, dass das BSI Sicherheitslücken nicht melden muss andererseits.

Als PDF herunterladen

Ansprechpartner

Sie benutzen aktuell einen veralteten und nicht mehr unterstützten Browser (Internet-Explorer). Um Ihnen die beste Benutzererfahrung zu gewährleisten und mögliche Probleme zu ersparen, empfehlen wir Ihnen einen moderneren Browser zu benutzen.