IT-Sicherheitsgesetz 2.0 - ein Ausblick

Published

18.03.2021

Ausgangslage

Mit dem seit Juli 2015 gültigen Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (kurz: IT-Sicherheitsgesetz) sollte ein Beitrag dazu geleistet werden, die IT-Systeme und digitalen Infrastrukturen in Deutschland zu den sichersten weltweit zu machen. Insbesondere im Bereich der sog. Kritischen Infrastrukturen (KRITIS) hätte ein Ausfall oder eine Beeinträchtigung der Versorgungsdienstleistungen dramatische Folgen für Wirtschaft, Staat und Gesellschaft.

Der KRITIS-Sektor umfasst gem. Verordnung zur Bestimmung Kritischer Infrastrukturen nach dem BSI-Gesetz, oder kurz: BSI-Kritisverordnung (BSI-KritisV), bislang folgende Bereiche:

1. Energie (§ 2 Abs. 1 Nr. 1-4)

Versorgung der Allgemeinheit mit Elektrizität (Stromversorgung)
Versorgung der Allgemeinheit mit Gas (Gasversorgung)
Versorgung der Allgemeinheit mit Kraftstoff und Heizöl (Kraftstoff- und Heizölversorgung)
Versorgung der Allgemeinheit mit Fernwärme (Fernwärmeversorgung)

2. Wasser (§ 3 Abs. 1 Nr. 1-2)

Versorgung der Allgemeinheit mit Trinkwasser (Trinkwasserversorgung)
Beseitigung von Abwasser der Allgemeinheit (Abwasserbeseitigung)

3. Ernährung (§ 4 Abs. 1)

Versorgung der Allgemeinheit mit Lebensmitteln (Lebensmittelversorgung)

4. Informationstechnik und Telekommunikation (§ 5 Abs. 1 Nr. 1-2)

Sprach- und Datenübertragung
Datenspeicherung und -verarbeitung

5. Gesundheit (§ 6 Abs. 1 Nr. 1-4)

stationäre medizinische Versorgung
Versorgung mit unmittelbar lebenserhaltenden Medizinprodukten, die Verbrauchsgüter sind
Versorgung mit verschreibungspflichtigen Arzneimitteln und Blut- und Plasmakonzentraten zur Anwendung im oder am menschlichen Körper
Laboratoriumsdiagnostik

6. Finanz- und Versicherungswesen (§ 7 Abs. 1 Nr. 1-5)

Bargeldversorgung
kartengestützte Zahlungsverkehr
konventioneller Zahlungsverkehr
Verrechnung und die Abwicklung von Wertpapier- und Derivatgeschäften
Versicherungsdienstleistungen

7. Transport und Verkehr (§ 8 Abs. 1)

Versorgung der Allgemeinheit mit Leistungen zum Transport von Personen und Gütern (Personen- und Güterverkehr)

Die Unternehmen, die in den KRITIS-Bereichen angesiedelt sind, müssen u.a. hohe Anforderungen an ihre IT-Sicherheit erfüllen.

Aber nicht nur KRITIS-Unternehmen müssen die speziellen Vorgaben durch das IT-Sicherheitsgesetz beachten. Auch im Telemediengesetz (TMG) kam es zu Änderungen, die jeden Betreiber von geschäftsmäßigen Websites betrifft. § 13 Abs. 7 TMG gilt also z.B. für alle Webshops, Unternehmens-Websits oder Blogs, die nicht nur rein privater Natur sind. Und selbst dann, wenn die inhaltliche Ausrichtung rein privat sein sollte, wird ein Web-Auftritt dann als "geschäftsmäßig" im Sinne des § 13 Abs. 7 TMG eingestuft, wenn dort etwa Werbung oder Partnerprogramme eingebunden werden, wenn also jedenfalls die Möglichkeit der Gewinnerzielung besteht; auf tatsächliche Einnahmen kommt es hierbei nicht an.

§ 13 Abs. 7 TMG besagt folgendes:

„(1) Diensteanbieter haben, soweit dies technisch möglich und wirtschaftlich zumutbar ist, […] durch technische und organisatorische Vorkehrungen sicherzustellen, dass
1. kein unerlaubter Zugriff auf die für ihre Telemedienangebote genutzten technischen Einrichtungen möglich ist und
2. diese
a) gegen Verletzungen des Schutzes personenbezogener Daten und
b) gegen Störungen, auch soweit sie durch äußere Angriffe bedingt sind,
gesichert sind.
(2) Vorkehrungen nach Satz 1 müssen den Stand der Technik berücksichtigen.
(3) Eine Maßnahme nach Satz 1 ist insbesondere die Anwendung eines als sicher anerkannten Verschlüsselungsverfahrens.“

Es besteht also nicht erst seit Wirksamwerden der DSGVO die Pflicht, z.B. die eigene Website durch Einbindung eines SSL- / TLS-Zertifikats abzusichern, sondern bereits seit 2015.

IT-Sicherheitsgesetz 2.0

Am 16.12.2020 hat die Deutsche Bundesregierung den Entwurf eines Zweiten Gesetzes zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz 2.0) beschlossen. Dadurch sollen u.a. folgende Gesetze reformiert werden:

Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSI-Gesetz)
Telekommunikationsgesetz (TKG)
Gesetz über die Elektrizitäts- und Gasversorgung, kurz: Energiewirtschaftsgesetz (EnWG)
Außenwirtschaftsverordnung (AWV)
10. Sozialgesetzbuch (SGB X)

Neu in den Kreis der KRITIS-Betreiber wird der Bereich der Siedlungsabfallentsorgung aufgenommen.

Das IT-Sicherheitsgesetz 2.0 enthält u.a. folgende Ziele:

Stärkung des BSI: Das BSI wird befugt, Kontroll- und Prüfbefugnisse gegenüber der Bundesverwaltung auszuüben. Bei wesentlichen Digitalisierungsvorhaben des Bundes soll das BSI frühzeitig beteiligt werden. Zudem wird die Dauer zur Speicherung von Protokolldaten zum Zwecke der Abwehr von Gefahren für die Kommunikationstechnik des Bundes auf 12 Monate verlängert. Protokollierungsdaten werden neu in das BSI-Gesetz aufgenommen und das BSI wird befugt, diese Daten zur Abwehr von Gefahren für die Kommunikationstechnik des Bundes zu verarbeiten. Das BSI wird befugt, Sicherheitslücken an den Schnittstellen informationstechnischer Systeme zu öffentlichen Telekommunikations-Netzen zu detektieren (Port-scans) sowie Systeme und Verfahren zur Analyse von Schadprogrammen und Angriffsmethoden einzusetzen (Honeypots). Das BSI kann zudem Maßnahmen gegenüber Telekommunikations- und Telemedienunternehmen bei bestimmten Gefahren für die Informationssicherheit anordnen.

Stärkung des Verbraucherschutzes: Der Verbraucherschutz wird in den Aufgabenkatalog des BSI aufgenommen. Die Grundlage für ein einheitliches IT-Sicherheitskennzeichen wird eingeführt, das die IT-Sicherheitsfunktionen insbesondere von Produkten im Verbrauchersegment erstmals für Bürgerinnen und Bürger sichtbar und nachvollziehbar macht. Zum Schutz von Betroffenen und zum Zweck ihrer Benachrichtigung wird das BSI befugt, bei Anbietern von Telekommunikationsdiensten Bestandsdatenauskünfte zu verlangen. Die Befugnis des BSI zur Untersuchung von IT-Produkten wird neu gefasst. Hersteller werden zur Auskunft über ihre Produkte verpflichtet.

Stärkung der unternehmerischen Vorsorgepflichten: Betreiber Kritischer Infrastrukturen werden verpflichtet, Systeme zur Angriffserkennung einzusetzen. Über eine Änderung im Gesetz über die Elektrizitäts- und Gasversorgung gilt diese Pflicht auch für Betreiber von Energieversorgungsnetzen und Energieanlagen. Die bereits für Betreiber Kritischer Infrastrukturen geltenden Meldepflichten gelten künftig auch für Unternehmen, die von besonderem öffentlichen Interesse sind wie Unternehmen der Rüstungsindustrie und Verschlusssachen-IT, Unternehmen, die wegen ihrer hohen Wertschöpfung eine besondere volkswirtschaftliche Bedeutung haben sowie Unternehmen, die der Regulierung durch die Störfallverordnung unterfallen.

Stärkung der staatlichen Schutzfunktion: Das Gesetz enthält eine Regelung zur Untersagung des Einsatzes kritischer Komponenten, für die eine Zertifizierungspflicht besteht. Zudem werden die Bußgeldvorschriften neu gefasst. Im Telekommunikationsgesetz wird erstmals eine Zertifizierungspflicht für kritische Komponenten in Telekommunikationsnetzen eingefügt. Die Änderung der Außenwirtschaftsverordnung trägt der Einführung der kritischen Komponenten im BSI-Gesetz Rechnung.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) soll als nationale Cybersicherheitsbehörde ausgebaut und in seiner Rolle als Beratungsstelle für Fragen der IT-Sicherheit gestärkt werden. Folgende Änderungen sind vorgesehen:

Einführung weiterer Prüf- und Kontrollbefugnisse für das BSI. Neben den Stellen des Bundes gelten die durch das BSI festgelegten Mindeststandards künftig auch für IT-Dienstleister, die Dienstleistungen für die Kommunikationstechnik des Bundes erbringen.
Erlaubnis für das BSI zur Detektion von Schadprogrammen zum Schutz der Regierungsnetze. Damit kann das BSI nach Sicherheitslücken suchen und die Betroffenen informieren. Darüber hinaus darf das BSI künftig Verfahren zur Analyse von Schadprogrammen und Angriffsmethoden einsetzen.
Das BSI kann künftig Auskunft über Bestandsdaten von Telekommunikationsdienstleistungen verlangen, um Betreiber Kritischer Infrastrukturen, Unternehmen im besonderen öffentlichen Interesse und Anbieter digitaler Dienste über Sicherheitslücken und Angriffe informieren zu können.
Schaffung einer Anordnungsbefugnis des BSI gegenüber Telekommunikations- und Telemedienanbietern zur Abwehr spezifischer Gefahren für die Informationssicherheit. Diese müssen die erforderlichen technischen und organisatorischen Maßnahmen ergreifen, um einen ordnungsgemäßen Zustand ihrer Angebote wiederherzustellen, wenn diese Angebote unzureichend gesichert sind.
Ausweitung der bestehenden Meldepflichten und verpflichtenden Mindeststandards für Betreiber Kritischer Infrastrukturen auf Unternehmen im besonderen öffentlichen Interesse, u.a. Unternehmen der Rüstungsindustrie und Unternehmen mit besonderer volkswirtschaftlicher Bedeutung.
Schaffung von Eingriffsbefugnissen (umfassende Prüfmöglichkeit) für den Einsatz und Betrieb kritischer Komponenten.
Etablierung von Verbraucherschutz im Bereich der Informationssicherheit als zusätzliche Aufgabe des BSI.
Schaffung der Voraussetzungen für ein einheitliches freiwilliges IT-Sicherheitskennzeichen, das die IT-Sicherheit von Produkten sichtbar machen soll.
Überarbeitung des Bußgeldregimes.

Zur Umsetzung des Verbraucherschutzes im Bereich der Sicherheit in der Informationstechnik soll das BSI mit den Verbraucherorganisationen und weiteren Partnern im Bereich des (digitalen) Verbraucherschutzes eng zusammenarbeiten. Als Maßnahmen für eine effektive Umsetzung des Verbraucherschutzes im Bereich der Sicherheit in der Informationstechnik kommen insbesondere folgende Maßnahmen des BSI in Betracht:

Beratung und Information von Herstellern von Verbraucherprodukten, um bereits bei der Entwicklung und Gestaltung der Produkte und Dienste das konsequente Mitdenken der IT-Sicherheit ("security by design") zu erreichen.
Systematische Marktbeobachtung im Bereich Verbraucherprodukte und -dienste (internetfähige IT-Systeme und Online-Dienste) im Hinblick auf Fragen der IT-Sicherheit. Hierdurch wird das BSI in die Lage versetzt, aktuelle Marktentwicklungen zu identifizieren und basierend hierauf auch Prognosen im Hinblick auf zukünftige Trends, Entwicklungen und Auswirkungen auf Verbraucher treffen zu können. Die Ergebnisse der Marktbeobachtung stellen die Grundlage für weitergehende Sicherheitstests und -analysen dar.
Definition des Stands der Technik für IT-Produktkategorien und Dienste im Verbraucherbereich. Der Stand der Technik wird durch das BSI kontinuierlich weiter gepflegt und aktualisiert.
Sicherheitstests und -analysen mit dem Schwerpunkt „IT-Sicherheitsrisiken für Verbraucherinnen und Verbraucher“. Durch Sicherheitstests und -analysen von auf dem Markt bereitgestellten IT-Produkten und Systemen kann das BSI aktuelle IT-Sicherheitsrisiken für Verbraucherinnen und Verbraucher identifizieren. Zum anderen können Sicherheitstests und -analysen zur stichprobenartigen Überprüfung bezüglich der Einhaltung der Anforderungen nach dem zuvor definierten Stand der Technik dienen.
Um das Problembewusstsein und die Aufmerksamkeit für die Belange der Informationssicherheit zu erhöhen, soll das BSI seine Beratungs- und Unterstützungsangebote, beispielsweise mit einer zielgruppenspezifischen Sensibilisierungskampagne für Verbraucher, intensivieren. Insbesondere kann es auf Basis der Ergebnisse von Marktbeobachtung, Sicherheitstests und technischen Bewertungen sowie eines durch das BSI definierten Standes der Technik Verbrauchern allgemeine Empfehlungen zur sicheren Nutzung von informationstechnischen Produkten und Diensten geben und vor Gefahren im Zusammenhang mit konkreten informationstechnischen Produkten und Diensten sowie vor Herstellern warnen. Hierbei soll auf eine Abstimmung mit bereits vorhandenen Maßnahmen der Verbraucherinformation geachtet werden.
Ergänzung des BSI-Bürger-Angebots um eine Verbraucherschutz-Online-Plattform, auf der Verbraucherinnen und Verbraucher auf Empfehlungen, Warnungen und Informationen des BSI zugreifen und sich umfassend zu den für sie relevanten Themen der Cyber-Sicherheit informieren können. Die Plattform dient zudem als Kommunikationsschnittstelle zu den Verbraucherinnen und Verbrauchern. Es soll darauf geachtet werden, dass auch bereits vorhandene Strukturen und Plattformen zur Verbraucherinformation genutzt beziehungsweise mit einbezogen werden.
Aufnahme eines kontinuierlichen Verbraucherschutzdialogs zwischen BSI, Herstellern und Diensteanbietern, um einen frühzeitigen und steten Austausch zur Realisierung eines höchstmöglichen Schutzniveaus der IT-Sicherheit bei Verbraucherprodukten zu erreichen. Hierzu nutzt das BSI seine Erfahrungen aus der Marktbeobachtung, den Sicherheitstests und -analysen sowie dem Dialog mit den übrigen im Verbraucherschutz tätigen Akteuren.
Angebot eines IT-Sicherheitskennzeichens für verbrauchernahe Produkte und Dienste zur Erhöhung der Verbrauchertransparenz und zur Förderung der Sicherheit in der Informationstechnik. Das Angebot eines Kennzeichens für IT-Sicherheit kann Verbraucherinnen und Verbrauchern die Auswahl eines IT-Produktes oder eines Online-Dienstes erleichtern, indem für sie auf einen Blick feststellbar ist, welches IT-Produkt oder welcher Dienst welches konkrete Sicherheitsniveau aufweist. Hierdurch kann der Markt für sichere IT-Systeme und Online-Dienste (z.B. Cloud-Dienste) positiv beeinflusst werden, so dass indirekt zugunsten der Verbraucher ein Beitrag dazu geleistet wird, das Sicherheitsniveau insgesamt zu steigern. Zudem wird ein sichtbares Gütesiegel oder Kennzeichen auch zu einer Sensibilisierung der Verbraucher und damit zu einem Bewusstsein für IT-Sicherheit führen.
Unterstützung von Abmahnungen und Klagen bei verbraucherrechtswidrigen Praktiken durch das BSI. Das BSI unterstützt mit seiner fachlichen Expertise im Bereich der IT-Sicherheit Abmahnungen und Klagen bei verbraucherrechtswidrigen Praktiken nach dem Unterlassungsklagegesetz (UKlaG) bzw. dem Gesetz gegen unlauteren Wettbewerb (UWG). Gemäß § 7a Absatz 2 BSIG darf das BSI informationstechnische Produkte untersuchen und die hieraus gewonnenen Erkenntnisse u.a. auch den im UKlaG genannten Stellen zur Verfügung stellen. Ebenso darf das BSI diese Stellen in Fragen der Sicherheit der Informationstechnik beraten. Im Ergebnis kann das BSI somit die im UKlaG genannten Stellen bei der Durchsetzung von Ansprüchen gegen verbraucherrechtswidrige Praktiken im Bereich der IT-Sicherheit beraten und unterstützen.
Förderung fremder Projekte zum Verbraucherschutz im Bereich der Informationssicherheit und Durchführung von eigenen Forschungsprojekten zum Verbraucherschutz im Bereich IT-Sicherheit.

Auf der Website der AG KRITIS finden sich alle bislang verfügbaren Versionen des neuen IT-Sicherheitsgesetzes. Ergänzend dazu finden sich auf den Seiten der Kriminalpolitischen Zeitung (KriPoz) auch alle Stellungnahmen zu den einzelnen Entwürfen, u.a. von der AG KRITIS, vom Bundesdatenschutzbeauftragten, von der Bundesärztekammer, vom Chaos Computer Club oder auch von der Bitkom.

Über den Autor

Michael Rohrlich

Würselen

Website Twitter LinkedIn Xing

ist Rechtsanwalt mit Kanzlei in Würselen (Nähe Aachen) und gehört zur "Generation C64". Zu seinen beruflichen Schwerpunkten zählen das IT-, das Online- sowie das Datenschutzrecht und auch der Bereich E-Commerce. Bereits seit 1997 veröffentlicht er regelmäßig Fachbeiträge in verschiedenen Print- und Online-Publikationen sowie diverse Bücher. Zudem hält er auch regelmäßig Vorträge und steht für Video-Trainings vor der Kamera.

Interviews mit Personen aus dem weiten Feld Datenschutz / IT-Sicherheit

BGH: besonderes elektronisches Anwaltspostfach (beA) muss keine Ende-zu-Ende-Verschlüsselung haben