IT-Sicherheitsgesetz - Änderungen

Hackerangriff? Cyber-Feuerwehr!

Christian Kuss ist Rechtsanwalt der Luther Rechtsanwaltsgesellschaft mbH in Köln. Sein Tätigkeitsschwerpunkt liegt auf IT- und Datenschutzrecht.
Nach dem Willen des Bundesregierung sollen in Zukunft bei massiven IT-Angriffen auf Behörden und Unternehmen mobile Experten-Einheiten erste Hilfe leisten. Dabei sollen die IT-Spezialisten aus der Privatwirtschaft kommen und ähnlich einer freiwilligen Feuerwehr operieren.

Neben der bereits bestehenden Cybercrime-Landespolizeibehörde soll zukünftig auch durch sogenannte Mobile Incident Response Teams (MIRTs) eine Art "Cyber-Feuerwehr" geschaffen werden. Dabei sollen Unternehmen ihre IT-Experten an den Staat ausleihen, um Hackerangriffe zu bekämpfen. Die Koordination soll das Bundesamt für Sicherheit in der Informationstechnik (BSI) übernehmen. Die Pläne für die Cyber-Feuerwehr sind bereits im Oktober 2016 bekannt geworden und Teil der am 9. November 2016 von der Bundesregierung beschlossenen "Cyber-Sicherheitsstrategie für Deutschland 2016".

Eine Cyber-Feuerwehr soll kritische Infrastrukturen künftig vor Hackerangriffen schützen.
Eine Cyber-Feuerwehr soll kritische Infrastrukturen künftig vor Hackerangriffen schützen.
Foto: Arisha Ray Singh - shutterstock.com

Cyberattacken in der letzten Zeit hätten dabei gezeigt, dass neue, institutionalisierte staatliche Strukturen geschaffen werden müssten. Deshalb sollen neben den MIRTs weitere staatliche Eingreiftruppen etwa beim Bundesamt für Verfassungsschutz ("Mobile Cyber-Teams"), dem Bundeskriminalamt ("Quick Reaction Force") oder der Bundeswehr ("Incident Response Teams") eingerichtet oder weiter ausgebaut werden. Ziel ist dabei die Cybersicherheit auf einem der Bedeutung und der Schutzwürdigkeit der vernetzen Informations-Infrastrukturen angemessenen Niveau zu gewährleisten. Dazu soll unter Umständen auch aktiv gegen Hackerangriffe vorgegangen werden dürfen - zumindest wenn es nach dem Verfassungsschutzpräsidenten Hans-Georg Maaßen geht.

NIS-Richtlinie

Damit die Behörden jedoch tatsächlich tätig werden können, müssen diese erst die rechtlichen Kompetenzen zum Einschreiten erhalten. Die Rechtsgrundlage für den Einsatz der MIRTs soll das Gesetz zur Umsetzung der europäischen Richtlinie zur Netz- und Informationssicherheit (NIS-Richtlinie) bringen. Einen Gesetzesentwurf dazu hat das Bundeskabinett am 25. Januar 2017 auf den Weg gebracht.

Die NIS-Richtlinie muss bis Mai 2018 in nationales Recht umgewandelt werden. Diese europäische Regelung zur IT-Sicherheit soll ein EU-weit einheitliches und hohes Sicherheitsniveau von IT-Systemen sicherstellen und die Kooperation zwischen den Ländern fördern. Allerdings ist ein großer Teil der geforderten Maßnahmen in Deutschland schon durch das im Juli 2015 in Kraft getretene IT-Sicherheitsgesetz abgedeckt. Denn seitdem gelten für Betreiber sogenannter "kritischer Infrastrukturen" erhöhte und gesetzlich explizit geregelte Anforderungen an die IT-Sicherheit. Unternehmen fallen bisher in den Anwendungsbereich des IT-Sicherheitsgesetzes, wenn sie in einem der neun benannten Sektoren (Energie, Informationstechnik, Telekommunikation, Transport, Verkehr, Gesundheit, Wasser, Ernährung und Finanz- und Versicherungswesen) tätig sind und ihre Einrichtungen oder Anlagen von hoher Bedeutung für das Funktionieren des Gemeinwesens sind. Das ist allgemein immer dann der Fall, wenn durch ihren Ausfall oder ihre Beeinträchtigung erhebliche Versorgungsengpässe oder eine Gefährdung der öffentlichen Sicherheit eintreten würde. Konkrete Schwellenwerte liefert für einige Sektoren bereits eine Rechtsverordnung zum IT-Sicherheitsgesetz, deren zweiter Teil für die übrigen Sektoren im Frühjahr 2017 in Kraft treten soll.

Bisher noch nicht vom IT-Sicherheitsgesetz erfasst waren Anbieter "digitaler Dienste". Vor allem diese sollen nun aber zur Umsetzung der NIS-Richtlinie ebenfalls unter das IT-Sicherheitsgesetz fallen. Einbezogen werden damit sowohl Online-Marktplätze und Online-Suchmaschinen als auch Anbieter von Cloud-Computing-Diensten. Das Bundesministerium des Innern (BMI) schätzt, dass von den geplanten Regelungen für digitale Dienste in Deutschland zwischen 500 und 1.500 Unternehmen betroffen sein werden.

Änderungen am IT-Sicherheitsgesetz

Neben der Einbeziehung von Anbietern digitaler Dienste soll der Gesetzesentwurf weitere Änderungen des IT-Sicherheitsgesetzes mit sich bringen. So sollen etwa die Befugnisse des BSI zur Überprüfung der Einhaltung technisch-organisatorischer Maßnahmen sowie die Melde- und Nachweispflichten der Betreiber kritischer Infrastrukturen erweitert werden. Aber auch die Rechtsgrundlage für die angesprochene Cyber-Feuerwehr soll durch Einfügung des § 5a BSIG gewährleistet werden. Zwar kann das BSI auf Einwilligungsbasis und nach allgemeinem Datenschutzrecht bereits jetzt bei Hackerattacken und Cyberangriffen unterstützend und beratend tätig werden, allerdings bedarf es für Maßnahmen, die etwa mit Eingriffen in das Fernmeldegeheimnis verbunden sind, einer ausdrücklichen rechtlichen Grundlage. Das Fernmeldegeheimnis kann beispielsweise berührt sein, wenn zur Wiederherstellung der betroffenen Systeme der Netzwerkverkehr der betroffenen Einrichtungen analysiert werden muss.

Zukünftig soll durch § 5a BSIG Absatz 1 das BSI mit MIRTs verstärkt auch operative Unterstützung bei der Bewältigung von Sicherheitsvorfällen bei Stellen des Bundes und bei Betreibern kritischer Infrastrukturen leisten können. Dazu ist erforderlich, dass die betroffene Einrichtung um Unterstützung des BSI bittet und es sich um einen herausgehobenen Fall handelt. Ein solcher kann in einem sogenannten DDoS-Angriff liegen, der mit einer außergewöhnlichen Bandbreite oder Technik ausgeführt wird oder wenn beispielsweise eine Chemieanlage angegriffen wird, von der potenzielle Gefahren für die Bevölkerung ausgehen könnten. Wegen des zunehmenden Bedrohungspotenzials und des damit verbundenen, herausragenden öffentlichen Interesses an der Sicherheit werden zudem erste Maßnahmen zur Schadensbegrenzung und Sicherstellung des Notbetriebes vor Ort für die Betroffenen nicht kostenpflichtig sein. Dadurch soll gewährleistet werden, dass von einem Hilfeersuchen an das BSI nicht aus Kostengründen abgesehen wird.

Inhalt dieses Artikels