IT-Sicherheitsgesetz 2.0: BMI skizziert erste Weiterentwicklungen
„Wir wollen, dass gemeinsam zwischen Bund und Ländern, möglichst sogar in ganz Europa Sicherheitsstandards für die IT-Strukturen und den Schutz der kritischen Infrastruktur entwickelt werden.“
So steht es im Koalitionsvertrag von CDU, CSU und SPD. Hierfür wollen die Koalitionsfraktionen das IT-Sicherheitsgesetz zu einem IT-Sicherheitsgesetz 2.0 weiterentwickeln und ausbauen. Einen Einblick in das Gesetzesvorhaben hat am vergangenen Freitag Andreas Könen gegeben. Der Abteilungsleiter für Cyber- und IT-Sicherheit beim zuständigen Bundesinnenministerium (BMI) erklärte beim „Tagespiegel Cybersec.lunch“, dass dem Innenminister Horst Seehofer schon ein Eckpunktepapier zum IT-Sicherheitsgesetz 2.0 vorgelegt wurde. Das sei „wirklich umfangreich“.
Kritische Infrastruktur
Ein wichtiger Punkt sei die Fortführung des IT-Sicherheitsgesetzes 1.0 im Bereich der Absicherung von Kritischen Infrastrukturen (KRITIS). Hier müsse geklärt werden, ob es nötig sei, weitere Branchen in den Bereich der Kritischen Infrastruktur mit aufzunehmen. Möglicherweise werde man dabei vom Begriff der „Versorgungskritikalität“ hin zur „IT-Kritikalität“ wechseln.
„Wir haben Branchen, die nicht unmittelbar versorgungskritisch sind, wie zum Beispiel die chemische Industrie, aber jeder weiß, dass ein Cyberunfall wirklich massive Folgen in der Umgebung einer chemischen Anlage hätte“,
erklärte Könen. Eine weitere Frage sei, ob nicht die Schwellen abgesenkt werden sollten, wann ein Unternehmen als Kritische Infrastruktur eingestuft wird. Nicht weil der Bund mehr regulieren wolle, so Könen, sondern weil „man dann auf Länderebene genauer in die Anlagen reinschauen könnte.“
Ebenfalls zu klären ist, ob auch geistiges Eigentum unter Umständen als kritisches Gut eingeschätzt werden sollte. Besonders Unternehmensbereiche, die eine hohe Know-How Dichte haben, könnten unter den Schutzschirm des IT-Sicherheitsgesetzes kommen, wenn deren Wissen als kritisch für die Bundesrepublik eingeschätzt wird. Mögliche Kandidaten wären Hersteller aus der Automobil- oder der Verteidigungswirtschaft.
Zertifizierung
Ein weiterer wichtiger Komplex bei den Überlegungen zum IT-Sicherheitsgesetz 2.0 seien die Themen Zertifizierung, Gütesiegel und Haftung. Bei der Zertifizierung würden jetzt im EU-Cybersicherheitspaket die Rahmenbedingungen festgesetzt werden und innerhalb dieser Bedingungen müsse man sich praktisch bewegen.
Cybersicherheitsarchitektur
Der dritte Aspekt den der Abteilungsleiter als Eckpunkt des IT-Sicherheitsgesetzes 2.0 nannte, war der Ausbau der Cybersicherheitsarchitektur. Man müsste sich vor allem die Frage stellen, wie es zu einem geregelten Ausbau der Cybersicherheitslage im Einklang mit den Ländern kommen könne. Hier könnte das BSI eine größere Rolle spielen. „Der Aufgabenkatalog des BSI wird sich erweitern. In wieweit sich auch die Befugnisse erweitern, werden wir im Bundesrat und mit den Ländern diskutieren müssen“, so Könen.
Cybersicherheit bei der OZG-Umsetzung
Auf die Frage, ob die IT-Sicherheit bei der Umsetzung des Onlinezugangsgesetzes (OZG) ein Bremser sei, erklärte Könen, das man dies nicht ganz leugnen könne. Schließlich könne die Sicherheit erst nach der funktionalen Definition betrachtet werden. Das BSI habe inzwischen allerdings massive Erfahrungen in der Absicherung von Verfahren, auf die man zurückgreifen könne. Klar sei, dass das Grundgerüst für die Online-Verwaltungsportale und die Struktur dahinter in den nächsten zwei Jahren stehen müsse, damit bis 2022 die Anforderungen des OZG umgesetzt seien.
„Wir müssen vor allem die Frage des elektronischen Zugangs wirklich zügig lösen. Das ist ein klarer Showstopper, wenn wir das nicht schaffen würden. Das müssen wir in 2019 durchdekliniert haben und die Beauftragung losschicken können“,
erklärte Könen. Alle Möglichkeiten zu Identifikation würden in die Überlegungen miteinbezogen, die Identifikation über das Steuerportal ebenso wie privatwirtschaftliche Log-In-Anbieter wie Verimi oder Banken. „Wir haben ganz klar einen Favoriten – und Sie würde sie wundern, wenn ich jetzt nicht Elektronischer Personalausweis sagen würde“, sagte Könen. Der sei seiner Zeit als elektronisches Identifikationsmittel vielleicht seiner Zeit sogar voraus gewesen.
Könen zeigte sich „vorsichtig optimistisch“, dass die NFC-Funktion des Personalausweises in Zukunft auch mit dem iPhone genutzt werden könne. Das ist bislang nur mit Android-Geräten möglich. Bei Apple in Cupertino nehme man war, dass auch Banken die Öffnung der NFC-Schnittstelle wollen „deshalb gebe ich dem mehr und mehr Chancen“, sagte Könen.
Der vorstehende Artikel erscheint im Rahmen einer Kooperation mit dem Tagesspiegel Politikmonitoring auf UdL Digital. Martin Müller ist Analyst für Digitalpolitik.