IT-Sicherheitsgesetz 2.0 verleiht BSI neue Befugnisse

Ein aktueller Gesetzesentwurf – das IT-Sicherheitsgesetz 2.0 – soll die Kompetenzen des BSI erweitern und weitere Kritis-Sektoren in die Pflicht nehmen. Als 2015 das Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz) in Kraft getreten ist, galt dieses gerade im Hinblick auf die IT-Sicherheit Kritischer Infrastrukturen als wichtiger Baustein im Kampf gegen Cyberkriminalität.

Der Entwurf ist eine Antwort auf eine sich kontinuierliche verändernde Bedrohungslage. Neben den herkömmlichen Cyberangriffen sind in den letzten Jahren immer ausgefeiltere Attacken zum Zuge gekommen. Die Ransomware Wannacry und die in Prozessoren entdeckten Sicherheitslücken Meltdown und Spectre sind nur einige Beispiele. Insofern scheint es nur folgerichtig, dass das BMI der Bedrohungslage Rechnung tragen will. Das IT-Sicherheitsgesetz 2.0 ist ein Änderungsgesetz, das nicht nur das Gesetz über das Bundesamt für Sicherheit in der Informationstechnik, sondern auch andere Normen, wie etwa das Strafgesetzbuch, ändert.

Im Bereich des BSI sind naturgemäß die meisten Änderungen zu verzeichnen. Zunächst werden die Kritis-Sektoren um den der Entsorgung ergänzt. Eine funktionierende Abfallwirtschaft ist notwendig, um Mensch und Umwelt vor gefährlichen Stoffen oder Seuchen zu schützen. Kein wirklich neuer Sektor, aber Infrastrukturen „im besonderen öffentlichen Interesse“ sind ferner solche im Bereich Rüstung, Kultur und Medien sowie Unternehmen mit Zulassung zum Teilbereich des regulierten Marktes mit weiteren Zulassungsfolgepflichten (Prime Standard). Näheres wird später durch Rechtsverordnung erlassen werden. Gerade den Medien kommt als Pfeiler der freiheitlichen demokratischen Grundordnung eine besondere Bedeutung zu, weswegen informationstechnische Systeme besonders schützenwert sind.

Um die Sicherheit von IT-Produkten generell zu bewerten, darf das BSI von den Herstellern Auskunft über die technischen Eigenschaften verlangen und Erkenntnisse hierüber veröffentlichen. Für Kritische Infrastrukturen und solche des öffentlichen Interesses müssen die IT-Produkte bestimmte Mindeststandards erfüllen. „Erhebliche Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit“ solcher Produkte sind dem BSI sofort zu melden (Stichwort: Cyberkritikalität). Kritis-Kernkomponenten müssen ferner zertifiziert sein, und der Hersteller muss eine Vertrauenswürdigkeitserklärung abgeben. Ferner darf das BSI nun „Maßnahmen zur Detektion und Auswertung von Schadprogrammen, Sicherheitslücken und anderen Sicherheitsrisiken in öffentlich erreichbaren informationstechnischen Systemen durchführen.“ Systeme gelten dann als ungeschützt, wenn aufgrund unzureichender Sicherheitsvorkehrungen „von unbefugten Dritten auf das System zugegriffen werden kann“.

Die erweiterten Aufgaben sollen dem BSI nun ein aktives Handeln ermöglichen, indem die Behörde von sich aus auf Systeme und Komponenten von Anbietern zum Zwecke der Überprüfung zugreift. Kritis -Betreiber werden nun vom BSI verpflichtet, „angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit“ ihrer Systeme zu treffen. Flankiert wird dies durch eine Änderung des Telekommunikationsgesetzes. Dort erhält das BSI das Recht „Zur Abwehr von erheblichen Gefahren für die Kommunikationstechnik des Bundes, eines Betreibers einer Kritischen Infrastruktur oder einer Infrastruktur im besonderen öffentlichen Interesse“, infizierte Systeme vom Diensteanbieter bereinigen zu lassen. Der Gesetzgeber erhofft sich hiervon, schneller und effektiver auf Angriffe reagieren zu können und etwa die Provider stärker in die Pflicht zu nehmen, Angriffe wie DDOS-Attacken, zu blockieren. Dass betroffene Dienstleister und Unternehmen den Anweisungen des BSI auch Folge leisten, soll durch eine Angleichung der Bußgeldvorschriften an die der DSGVO sichergestellt werden: Bis zu 20 Mio. EUR oder 4 % des weltweiten Jahresumsatzes können fällig werden.

Im Bereich des Strafgesetzbuches betrifft die wichtigste Änderung das unter Strafe stellen der Zugänglichmachung einer internetbasierten Leistung (Paragraph 126 a), „deren Zweck oder Tätigkeit darauf ausgerichtet ist, die Begehung von rechtswidrigen Taten zu ermöglichen, zu fördern oder zu erleichtern“. Ebenso bestraft wird die Industriespionage und Geheimnisverrat auch im Auftrag fremder Mächte (Nachrichtendienste). Der neue Paragraph 126a im Strafgesetzbuch ist eine Reaktion auf die Machenschaften im Darknet. Hier stehen vor allem die Betreiber von Plattformen und Angeboten im Visier, die bislang nur ungenügend durch die Strafgesetzgebung berücksichtigt worden sind. Der extra weitgefasste Anwendungsbereich „internetbasiert“ soll sicherstellen, dass alle technisch möglichen Formen illegaler Angebote erfasst werden.

Den Entwurf sehen Branchen und Experten in Teilen mitunter durchaus kritisch, vor allem was die Befugnisse gegenüber Anbietern von Produkten und Dienstleistungen angeht. In einer umfangreichen Stellungnahme lehnt etwa der BDI es ab, dass das BSI Penetrationstests zur Überprüfung der Sicherheit von Systemen durchführen darf, da diese „im schlimmsten Fall die Sicherheit Kritischer Infrastrukturen gefährden“ könnten. Auch die Verpflichtung der Kritis-Betreiber, ihre Systeme mit technischen Möglichkeiten zur Angriffs-
erkennung auszustatten, muss dem Gebot der Verhältnismäßigkeit folgen und dem Stand der Technik. Andernfalls könnten solche Systeme sich negativ auf das Unternehmen selbst auswirken. Hier bedarf es abgestimmte Definitionen der notwendigen Technologien für die einzelnen Branchen.

Ebenfalls kritisch wird die angestrebte Vertrauenswürdigkeitserklärung der Hersteller von Produkten gesehen, denn auch hier drohten unkalkulierbare Folgen für die Industrie. Denn letztendlich ist die gesamte Wertschöpfungskette von Komponenten betroffen, die den Anforderungen genügen muss. Gerade für international agierende und produzierende Unternehmen könnten hier Wettbewerbsnachteile entstehen. Schließlich werden auch die erweiterten Bußgeldvorschriften als zu hoch und der von der Regierung angesetzte Erfüllungsaufwand für die Industrie als zu niedrig angesehen. Andere Kritiker sehen im Entwurf das Ziel, das BSI zur aufgrund seiner anvisierten offensiven Möglichkeiten zur „Hackerbehörde“ auszubauen.

Die ehemalige Bundesjustizministerin Sabine Leutheusser-Schnarrenberger mahnt etwa das notwendige Augenmaß bei den Reformen an. Dies gilt etwa bei der Verschärfung des Strafrechts oder für die Balance zwischen der Schließung von Sicherheitslücken einerseits und der Notwendigkeit von „Backdoors“ andererseits für behördeneigene Programme. Insgesamt ist festzuhalten, dass der Entwurf sicherlich viele der aktuellen Entwicklungen adressiert, in einigen, aber wichtigen Punkten noch unspezifisch bleibt. Hier benötigen Betreiber wie Hersteller aber Rechtssicherheit und konkrete Vorgaben, wie Systeme und Prozesse auszugestalten sind.