Änderungen am IT-Sicherheitsgesetz

(c) Deutscher Bundestag / Simone M. Neumann
Veröffentlicht am 12.06.2015

Das Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme, das Bundesinnenminister Thomas de Maizière am 17.12.2014 erfolgreich durchs Kabinett gebracht hatte, steht heute morgen als erstes Thema auf der Tagesordnung des Deutschen Bundestages. Das Gesetz sieht vor, dass Betreiber Kritischer Infrastrukturen – also Anbieter von gesellschaftlich wichtigen Infrastrukturen aus den Bereichen Energie, Informationstechnik und Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung sowie Finanz- und Versicherungswesen – ein Mindest-niveau an IT-Sicherheit einhalten und dem Bundesamt für Sicherheit in der Informationstechnik (BSI) IT-Sicherheitsvorfälle melden müssen. Um den Schutz der Bürger zu gewährleisten, werden wichtige Telekommunikationsanbieter darüber hinaus dazu verpflichtet, IT-Sicherheit in puncto Fernmeldegeheimnis, Schutz personenbezogener Daten sowie Verfügbarkeit ihrer Telekommunikations- und Datenverarbeitungssysteme nach dem Stand der Technik sicherzustellen.

Die Große Koalition wird das IT-Sicherheitsgesetz heute, am Freitag, 12.06.2015, in zweiter und dritter Lesung im Bundestag verabschieden – allerdings nicht, ohne dem BMI-Entwurf einige Änderungen hinzuzufügen, die der federführende Innenausschuss erst vorgestern beschlossen hat. Augenfälligste Ergänzung des Änderungsantrags (Ausschussdrucksache 18(4)326) sind die Bußgelder, die das BSI dann verhängen kann, wenn sich Unternehmen nicht an die Pflicht zur Meldung erheblicher Störungen halten. 50.000 bis 100.000 Euro kann ein Meldeverstoß die Unternehmen kosten – aber nur dann, wenn die nicht gemeldete Störung „tatsächlich zu einem Ausfall oder einer Beeinträchtigung der Funktionsfähigkeit der Kritischen Infrastruktur geführt hat“, wie es in der Begründung des Änderungsantrags heißt. Mit diesen Sanktionsmöglichkeiten gehen die Regierungsfraktionen auf Kritik ein, die in der öffentlichen Anhörung im Innenausschuss u.a. von Prof. Dr. Alexander Roßnagel vom Institut für Wirtschaftsrecht an der Universität Kassel geäußert worden war.

Mehr Befugnisse für das BSI

Der Rechtswissenschaftler hatte außerdem die Formulierung, dass die Unternehmen den aktuellen Stand der Technik lediglich „berücksichtigen“ müssten, als nicht ausreichend eingeschätzt, um die Einhaltung des Sicherheitsstandards tatsächlich zu gewährleisten. Auch diesem Hinweis sind die Regierungsfraktionen gefolgt und haben die Formulierung „Dabei soll der Stand der Technik eingehalten werden“ in das Gesetz aufgenommen. Dass es sich hierbei noch immer nur um eine „Soll-Vorschrift“ handelt, trägt laut der Begründung dem Umstand Rechnung, dass manche Software-Aktualisierungen bei Betriebssystemen nicht umgehend installiert werden können, da „deren Auswirkungen auf die notwendigen Betriebsprozesse bei komplexen Systemen nicht von vornherein absehbar sind“ und ihrerseits zu einem Ausfall der eigentlich zu schützenden Kritischen Infrastrukturen führen könnten.

Auch angesichts aktuell diskutierter Bedrohungslagen von IT-Systemen des Bundes durch Schadprogramme wie REGIN haben die Regierungsfraktionen die Befugnisse des BSI im Vergleich zum ursprünglichen Gesetzentwurf nochmals ausgeweitet. So sind die Bundesbehörden nun verpflichtet, das Bundesamt „zu unterstützen und hierbei den Zugang des Bundesamtes zu behördeninternen Protokolldaten“ sicherzustellen. Das BSI soll zudem Mindeststandards für die Sicherheit der Informationstechnik des Bundes erarbeiten, die das Bundesinnenministerium nach Rücksprache mit dem IT-Rat „ganz oder teilweise als allgemeine Verwaltungsvorschriften des Bundes“ erlassen kann. Auch hiermit kommen die Regierungsfraktionen Kritikern u.a. aus den Reihen der Opposition zumindest ein Stück entgegen, die z.B. bei der ersten Lesung des Gesetzes moniert hatten, dass die Bundesbehörden nicht von dem Gesetzentwurf erfasst würden.

Evaluation nach vier Jahren

(c) Deutscher Bundestag / Simone M. Neumann
Der Innenausschuss des Deutsches Bundestages bei seiner Arbeit. Mit dem Ausschussvorsitzenden, Wolfgang Bosbach, und dem Vizepräsidenten des Deutschen Bundestages, Peter Hintze. (c) Deutscher Bundestag / Simone M. Neumann

Zumindest teilweise entsprochen haben die Innenexperten der Fraktionen der CDU/CSU und SPD dem Einwand des Telekom-Vertreters, der in seiner Stellungnahme darauf hingewiesen hatte, dass Hardware- und Softwarehersteller sowie Internetdienste bisher „nicht in der gebotenen Klarheit vom Anwendungsbereich des Gesetzes erfasst“ seien. Mit dem Änderungsantrag wird nun festgelegt, dass das Bundesamt „vom Hersteller der betroffenen informationstechnischen Produkte und Systeme die Mitwirkung an der Beseitigung oder Vermeidung einer Störung“ fordern kann. Ob die von Unternehmensseite kritisierten Vorgaben zu den Meldepflichten ihren Zweck erfüllen, will die Regierungskoalition vier Jahre nach Inkrafttreten des IT-Sicherheitsgesetzes prüfen. Für die Evaluation soll im Einvernehmen mit dem Bundestag ein wissenschaftlicher Sachverständiger bestellt werden.

Die Fraktion Bündnis 90/Die Grünen hingegen ist mit dem Gesetzentwurf so wenig einverstanden, dass sie gleich einen Entschließungsantrag (Ausschussdrucksache 18(4)327) in den Ausschuss eingebracht hat, der die komplette Zurücknahme des IT-Sicherheitsgesetzes fordert. Stattdessen solle die Bundesregierung einen Gesetzentwurf vorlegen, der „weitergehende, insbesondere grundrechts- und rechtsstaatskonforme Regelungen zur IT-Sicherheit enthält“. Der Katalog der konkreten Anforderungen an dieses Gesetz ist lang. Unter anderem müsste es nach Ansicht der Grünen datenschutzrechtlichen Vorgaben und dem Fernmeldegeheimnis sowie den Urteilen des Bundesverfassungsgerichts und des Europäischen Gerichtshof zur Vorratsdatenspeicherung gerecht werden. Der Anwendungsbereich des Gesetzes solle auch öffentliche Stellen umfassen und normenklare gesetzliche Regelungen der betroffenen Wirtschaftsbereiche und Betreiber enthalten. Außerdem vermisst die Fraktion Bündnis 90/Die Grünen am aktuellen Gesetzentwurf offensichtlich positive und wettbewerbsrelevante Anreize für die Wirtschaft, ihre IT-Sicherheitskonzepte proaktiv weiterzuentwickeln und zu pflegen. Auch Penetrationstests sollten verpflichtend in die IT-Sicherheitskonzepte von Unternehmen und Behörden aufgenommen werden.

Der vorstehende Artikel erscheint im Rahmen einer Kooperation mit dem Tagesspiegel Politikmonitoring auf UdL Digital. Nadine Brockmann ist als Analystin für das Themenfeld Netzpolitik verantwortlich.

 

Schlagworte

Empfehlung der Redaktion