IT-Sicherheitsgesetz 2.0: Neue Meldepflichten für Unternehmen

Veröffentlicht am 19.05.2020

Pressefoto: Bundesamt für Sicherheit in der Informationstechnik
Mit einer Überarbeitung des IT-Sicherheitsgesetzes will das BMI neue Regeln für den Einbau kritischer Komponenten festlegen. Streit in der Bundesregierung um die Beteiligung von Huawei am 5G-Ausbau hatte diese hinausgezögert. Nach langem Warten ging nun ein Referentenentwurf in die Ressortabstimmung. Bei dieser Fassung wird es aber wohl nicht bleiben.

Mit einer Reform des IT-Sicherheitsgesetzes will das Bundesinnenministerium (BMI) die Sicherheit Kritischer Infrastrukturen (KRITIS) verbessern und dazu auch die Befugnisse des Bundesamts für Sicherheit in der Informationstechnik (BSI) ausweiten. Vor rund einem Jahr hatte Bundesinnenminister Horst Seehofer (CSU) das Gesetzesvorhaben angekündigt, nun gelangte ein 73-seitiger Referentenentwurf an die Öffentlichkeit. Das Ministerium schickte den Entwurf für das „Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme“ am Donnerstagabend, den 7. Mai, in die Ressortabstimmung. Für die Verzögerung hatten unter anderem Streitigkeiten der Regierungsparteien um die Beteiligung des chinesischen Netzwerkausrüsters Huawei am 5G-Ausbau gesorgt. Huawei wird in dem Referentenentwurf zwar nicht explizit genannt, es werden aber neue Regeln für „vertrauenswürdige“ Hersteller kritischer Komponenten definiert.

Zentrale Inhalte

Betreiber Kritischer Infrastrukturen erhalten durch den Gesetzentwurf neue Pflichten, die beispielsweise den Einbau kritischer Komponenten betreffen. Diese dürfen nur von vertrauenswürdigen Herstellern stammen, wofür eine Garantieerklärung nötig wird. Die Regelungen des IT-Sicherheitsgesetzes werden außerdem auf „Unternehmen im besonderem öffentlichen Interesse“ erweitert, wie Rüstungskonzerne oder Chemieunternehmen. Welche Unternehmen konkret betroffen sind, will das BMI in einer Verordnung bestimmen.

Anzug Mann Hologramm shutterstock
Foto: shutterstock / Wichy

Daneben wird das BSI deutlich ausgebaut und personell aufgestockt. Der Entwurf regelt neue Kompetenzen und Zuständigkeiten, wofür die Behörde 583 neue Stellen bekommen soll. Grund dafür sind unter anderem neue Aufgaben für den Verbraucherschutz, wie Beratung und Sensibilisierung. Durch ein Kennzeichen für die Sicherheit von IT-Produkten – das IT-Sicherheitskennzeichen – sollen Kunden leichter feststellen können, ob ein Gerät neuesten Sicherheitsstandards entspricht. Ob sie ein solches Kennzeichen nutzen, steht den Herstellern frei. Auch diese Kennzeichnung soll das BSI überprüfen.

Regeln für Kritische Infrastrukturen

Zu den geplanten Neuerungen des Gesetzentwurfes zählen zusätzliche Pflichten für die Betreiber Kritischer Infrastrukturen, wie Energie- oder (Ab-)Wasserversorger, Arzneimittel- und Impfstoffhersteller, die Telekommunikations- sowie Informationstechnikbranche oder Verkehrs- und Logistikbetriebe. Sie müssen einen Katalog von Sicherheitsanforderungen erfüllen, der vom BSI veröffentlicht wird.

Neben den Betreibern Kritischer Infrastrukturen umfasst das Gesetzesvorhaben auch „Unternehmen im besonderem öffentlichen Interesse“, beispielsweise wegen ihrer volkswirtschaftlichen Bedeutung. Dazu zählen auch Unternehmen, die unter die Außenwirtschaftsverordnung fallen, wie Rüstungskonzerne, oder der Verordnung zum Schutz vor Gefahrstoffen unterliegen, wie Chemiekonzerne. Näheres will das BMI durch eine Verordnung bestimmen. Die Firmen müssen nach § 8f zwei Jahre nach Inkrafttreten des Gesetzes ein IT-Sicherheitskonzept beim Bundesamt vorlegen, worin sie erklären, welche IT-Komponenten „für die Erbringung der Wertschöpfung“ maßgeblich sind und wie sie Störungen „der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit“ vermeiden.

Garantie für Vertrauenswürdigkeit

IT-Komponenten innerhalb der IT-Systeme benötigen eine extra Zertifizierung. Für den Einsatz sicherheitsrelevanter Komponenten gibt es eine Anzeigepflicht gegenüber dem BMI (§ 9b). Kritische Komponenten dürfen zudem nur von Herstellern stammen, die eine Garantieerklärung über ihre Vertrauenswürdigkeit abgegeben haben. Diese umfasst „die gesamte Lieferkette des Herstellers“. Aus der Erklärung muss hervorgehen „ob und wie der Hersteller hinreichend sicherstellen kann, dass die kritische Komponente über keine technischen Eigenschaften verfügt, die geeignet sind, missbräuchlich auf die Sicherheit, Integrität, Verfügbarkeit oder Funktionsfähigkeit der Kritischen Infrastruktur (etwa Sabotage, Spionage oder Terrorismus) einwirken zu können“.

§ 9b gibt außerdem fünf Kriterien vor, nach denen ein Hersteller als nicht vertrauenswürdig gilt. Dies trifft zu, wenn er gegen die Garantieerklärung verstößt, darin angegebene Tatsachen unwahr sind, er Sicherheitsprüfungen an seinen Produkten nicht „im erforderlichen Umfang“ unterstützt oder bekannt gewordene Schwachstellen nicht unverzüglich meldet und beseitig. Darüber hinaus gilt er als nicht vertrauenswürdig, wenn die kritische Komponente technische Eigenschaften besitzt, die missbräuchlich eingesetzt werden können, insofern er nicht nachweisen kann, dass er sie nicht selbst implementiert hat.

Die möglichen Bußgelder bei Verstößen wurden von bisher 100.000 Euro auf Höchststrafen von bis zu 20 Millionen Euro oder bis zu vier Prozent des weltweit erzielten Jahresumsatzes eines Unternehmens angehoben.

Neue Kompetenzen für das BSI

Das BSI wird durch die Gesetzesnovelle erheblich gestärkt. Zum einen erhält das Bundesamt neue Aufgaben im Bereich des Verbraucherschutzes. Zum anderen werden die Meldestelle zur Sammlung von Informationen über Sicherheitslücken und seine Kompetenzen zur Überprüfung der IT des Bundes erweitert. Bei ihren Aufgaben wird die Behörde von der Bundesanstalt für den Digitalfunk der Behörden und Organisationen mit Sicherheitsaufgaben (BDBOS) unterstützt, wofür dort 54 neue Stellen geschaffen werden sollen.

Von den für das BSI im Entwurf vorgesehenen 583 neuen Stellen entfallen 163 Planstellen auf den Verbraucherschutz. Für die Konzeption und Vergabe des künftigen IT-Sicherheitskennzeichens sind 25 Stellen vorgesehen. Einen großen Posten macht auch die Begleitung der Digitalvorhaben der Bundesregierung aus, wofür 71 Stellen geplant sind. Für die Sicherung der eigenen IT-Systeme und -Netze des Bundes sind 64 Stellen vorgesehen.

Mobile Einsatzteams erhalten mehr Personal

Die Zusammenarbeit mit Betreibern Kritischer Infrastruktur erfordert 44 neue Stellen, außerdem 59 weitere für den Austausch mit „Unternehmen im besonderem öffentlichen Interesse“. Nicht nur den Bund, sondern auch die Länder und KRITIS-Betreiber soll das BSI bei der IT-Sicherheit unterstützten. Dafür sollen die mobilen Einsatzgruppen bei Cyberangriffen verstärkt werden. Für die „Mobile Incident Response Teams (MIRTs)“ sind 41 neue Planstellen vorgesehen.

pixabay BiljaST smartphone security
Foto: CC0 1.0, Pixabay / BiljaST / Ausschnitt bearbeitet

Als weitere neue Aufgabe soll das BSI auch behördeninterne Protokollierungsdaten überprüfen, um Cyber-Angriffen vorzubeugen. Dabei wird auf die „sehr heterogene IT-Systemlandschaft“ verwiesen – sprich zahlreiche unterschiedliche IT-Programme, die der Behörde die Auswertung erschweren. Daher sei eine „individuelle Betreuung der Behörden“ mit 29 zusätzliche Stellen erforderlich. Darüber hinaus nennt der Entwurf weitere nötige Stellen, etwa für den Ausbau der Meldestelle für Sicherheitslücken.

Außerdem wird das BSI seine Zusammenarbeit mit dem Bundeskriminalamt (BKA) verstärken. So soll es die Sicherheitsbehörde auf deren Bitte hin bei der Auswertung von Sicherheitslücken und der Analyse öffentlicher Quellen im Netz unterstützen dürfen. Die neue Kooperation soll in erster Linie dem Schutz von Mitarbeitern und Systemen des BKA und des Verfassungsschutzes dienen. Verfahrensdetails werden in eine separate Vereinbarung ausgelagert, die bis 2022 entstehen soll.

Im Zuge der Reform des IT-Sicherheitsgesetzes werden auch Änderungen am Telekommunikationsgesetz (TKG), dem Telemediengesetz (TMG) sowie der Außenwirtschaftsverordnung vorgenommen.

Experten kritisieren Anzeigepflicht

Im Vergleich zu einem von netzpolitik.org im März 2019 veröffentlichten Entwurf sei das neue IT-Sicherheitsgesetz 2.0 „definitiv eine Verbesserung“, schreiben die Sicherheitsexperten Manuel Atug und Johannes Rundfeldt der unabhängigen Arbeitsgruppe AG KRITIS. Einzelne Punkte seien aber auch ein Rückschritt. Ihre Kritik richtet sich vor allem gegen die Anzeigepflicht für den Einbau kritischer Komponenten nach § 9b Absatz 1. Bisher musste der Hersteller der Komponente mit dem BSI zusammenarbeiten, um eine Zertifizierung zu erreichen. Diese konnte das BMI aus Gründen der öffentlichen Sicherheit ablehnen.

Nach dem neuen Entwurf muss nun auch der Betreiber der Komponente deren Einsatz beim BMI melden. Auf diese Weise plane das BMI eine Liste aufzubauen, welcher KRITIS-Betreiber welche Komponenten im Einsatz habe. „So eine Liste ist jedoch höchst kritisch zu bewerten, da jeder Geheimdienst und jede ausländische Macht, die Zugriff auf diese hochsensible Liste erlangt, unsere kritische Infrastruktur gefährden kann“, warnen sie.

Unabhängigkeit des BSI gefordert

Sollte so eine Liste als unbedingt nötig erachtet werden, müsse das BSI unabhängig vom BMI werden und nicht mehr unter dessen Aufsicht stehen. Dies fordert auch Konstantin von Notz, stellvertretender Vorsitzender der Grünen-Bundestagsfraktion. Sollte es nicht „aus dem Weisungsstrang des Bundesinnenministeriums“ herausgelöst werden, „wird es die ihm zugedachte Rolle als Institution zur Beratung von Unternehmen und Bürgerinnen und Bürgern nicht leisten können“, sagte von Notz der Düsseldorfer „Rheinischen Post“ und dem Bonner „General-Anzeiger“ am Mittwoch. Die Unabhängigkeit der Behörde hatten bereits in der Vergangenheit mehrere Politiker und Verbände gefordert, darunter die Gesellschaft für Informatik und der Chaos Computer Club.

Ein zweiter Kritikpunkt der AG KRITIS richtet sich gegen „die offensichtliche Umgehung des frisch geschaffenen Nationalen Cyberabwehrzentrum (NCAZ) bei erfolgreichen Angriffen auf IT-Systeme“. Den Änderungsplänen zu § 109a TKG zufolge sollen Datenverluste an das Bundeskriminalamt (BKA) gemeldet werden. Diese Meldung sollte stattdessen an das NCAZ erfolgen, fordert die AG KRITIS. Außerdem kritisieren sie, dass die Rüstungsindustrie – auch wenn nicht explizit genannt – als Kritische Infrastruktur gewertet werden soll. Die Rüstungsindustrie gehöre nicht zu Diensten, „‚die eine wesentliche Bedeutung für die Aufrechterhaltung wichtiger gesellschaftlicher Funktionen, der Gesundheit, der Sicherheit und des wirtschaftlichen oder sozialen Wohlergehens der Bevölkerung sind und deren Störung oder Zerstörung erhebliche Auswirkungen hätte‘ (KRITIS-Definition)“. Außerdem üben die Leiter der AG KRITIS Kritik daran, dass keine Evaluierung des IT-Sicherheitsgesetzes von 2015 vorgenommen wurde, die eigentlich vier Jahre nach Inkrafttreten hätte erfolgen müssen.

Als positiv werten sie, dass die mobilen Einsatzteams bei Cyberangriffen (MIRTs) personell aufgestockt werden. Außerdem begrüßen sie die Aufnahme der Abfall- und Entsorgungswirtschaft in die Kritische Infrastruktur: „Dies ist überfällig und sinnvoll, schließlich entstehen sehr schnell katastrophale Gesundheitsrisiken für die Bevölkerung wegen der drohenden Seuchengefahr und Gefährdungen in der Umwelt bedingt durch gefährliche Stoffe, wenn die Abfallentsorgung nicht mehr funktionieren würde.“

Eine baldige Einigung der Ministerien auf einen Kabinettsentwurf für das IT-Sicherheitsgesetz 2.0 ist unwahrscheinlich. Unionsfraktionsvize Thorsten Frei (CDU) hatte die Erwartungen gegenüber der dpa bereits gedämpft: „Der Gesetzentwurf wird sicherlich im weiteren Verfahren noch eine Reihe von Änderungen erfahren und ist damit eine Momentaufnahme“, sagte er.

Schlagworte

Empfehlung der Redaktion