IT-Sicherheit und Recht

IT-Sicherheitsgesetz 2.0 - Auf in die zweite Runde

07.06.2019 von Mareike Gehrmann  IDG ExpertenNetzwerk
Am 27. März legte das Bundesministerium des Innern, für Bau und Heimat (BMI) einen Referentenentwurf zum IT-Sicherheitsgesetz 2.0 vor - mit erheblichen Auswirkungen für Unternehmen.
  • Ausweitung der betroffenen Unternehmen
  • Infrastruktur-Hersteller sollen in die Pflicht genommen werden
  • Erweiterte Befugnisse für das BSI
  • Verschärfung des Cyber-Strafrechts

Mit dem IT-Sicherheitsgesetz 1.0 setzte der deutsche Gesetzgeber 2015 den ersten Schritt, um der Gefährdungslage aus dem Cyber-Raum entgegenzutreten. In den vergangenen Jahren hat sich die Gefährdungslage im Bereich der IT-Sicherheit in Deutschland durch die fortschreitende Digitalisierung und die zunehmende Vernetzung von IT-Systemen zugespitzt.

Nach der DSGVO kann es für betroffene Unternehmen auch bei Cyber-Lacks teuer werden. Bußgelder in Millionenhöhe drohen.
Foto: AVN Photo Lab - shutterstock.com

Um den Schutz vor Cyber-Angriffen auch in Zukunft gewährleisten zu können, haben CDU, CSU und SPD deshalb im Koalitionsvertrag beschlossen, das IT-Sicherheitsgesetz 1.0 weiterzuentwickeln. Am 27. März 2019 legte das BMI den Referentenentwurf zum IT-Sicherheitsgesetz 2.0 vor.

Mit spannendem Inhalt: Verstöße sollen zukünftig mit Bußgeldern bis zu 20 Millionen Euro oder 4 Prozent des gesamten weltweiten Jahresumsatzes eines Unternehmens geahndet werden. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) soll zukünftig auch für den Verbraucherschutz zuständig sein und als zentrale "Hackerbehörde" fungieren.

Adressatenkreis wird erweitert

Ziel des IT-Sicherheitsgesetzes 1.0 (IT-SIG 1.0) ist der Schutz von IT-Infrastrukturen vor Cyber-Angriffen durch Erkennung und idealerweise Abwehr von organisationsexternen Attacken, um Versorgungsengpässe von Wirtschaft, Staat und Gesellschaft zu verhindern. Adressaten des IT-SiG 1.0 sind deshalb vor allem Betreiber sogenannter kritischer Infrastrukturen (KRITIS), die den folgenden Sektoren angehören und von hoher Bedeutung für das Funktionieren des Gemeinwesens sind:

Auch Automobilhersteller betroffen

Das IT-Sicherheitsgesetz 2.0 (IT-SIG 2.0) soll zukünftig weitere Sektoren und Bereiche erfassen. So soll die Liste der KRITIS-Sektoren auf die Abfallentsorgung ausgedehnt werden. Ferner soll das IT-SIG 2.0 auch für Infrastrukturen im besonderen öffentlichen Interesse gelten. Hierzu gehören vor allem die folgenden Bereiche:

Daneben nennt die Gesetzesbegründung auch Unternehmen mit Zulassung zum Teilbereich des regulierten Marktes mit weiteren Zulassungsfolgepflichten (Prime Standard) nach § 48 Börsenordnung der Frankfurter Wertpapierbörse, sowie Infrastrukturen aus den Bereichen Chemie, Automobilherstellung. Obwohl diese Infrastrukturen nicht als KRITIS im engeren Sinne (vgl. § 2 Abs. 10 IT-SIG 1.0) angesehen werden, betont das BMI in der Gesetzesbegründung, dass die Funktionsfähigkeit dieser Infrastrukturen aus anderen Gründen ein erhebliches Interesse für die Gesellschaft darstelle.

Neu definiert wurden im Referentenentwurf auch so genannte KRITIS-Kernkomponenten. Hierbei handelt es sich um IT-Produkte, die zum Betrieb von KRITIS dienen und für diesen Zweck besonders entwickelt oder geändert werden (vgl. § 2 Abs. 13 IT-SiG 2.0).
Hersteller solcher KRITIS-Kernkomponenten werden zukünftig verpflichtet, eine Vertrauenswürdigkeitserklärung abzugeben, die sich auf die gesamte Lieferkette erstreckt. Anderenfalls dürfen ihre Produkte nicht mehr bei KRITIS-Betreibern eingesetzt werden. Zudem haben die Hersteller von KRITIS-Kernkomponenten - wie KRITIS-Betreiber - Störungen durch Cyber-Angriffe in Zusammenhang mit ihren Produkten dem BSI zu melden (vgl. § 8b IT-SiG 2.0).
Dasselbe gilt auch für Hersteller von anderen IT-Produkten. Hintergrund sei, dass Hersteller in der Regel vor ihren Kunden die Kenntnis von Sicherheitslücken erhielten. Zum Schutz der Allgemeinheit sei daher auch von den Herstellern zu fordern, dass Sicherheitslücken kurzfristig gemeldet würden, um rechtzeitig Schutzmaßnahmen ergreifen zu können.

Zum Video: IT-Sicherheitsgesetz 2.0 - Auf in die zweite Runde

Wann ein Unternehmen innerhalb der genannten Sektoren als KRITIS-Betreiber einzustufen ist, legt die so genannte BSI-Kritisverordnung fest, in der jeweils Schwellenwerte genannt. Liegt ein Unternehmen unterhalb der Schwellenwerte, findet das IT-SiG 1.0 keine Anwendung. Hier setzt nunmehr das IT-SiG 2.0 an. So soll das BSI in einem begründeten Einzelfall einem Unternehmen die Pflichten des IT-SiG2.0 auferlegen können, wenn eine Störung der IT-Sicherheit dieses Unternehmens zu einer Gefährdung der Gesellschaft führen könnte (vgl. § 8g IT-SiG 2.0).

BSI erhält umfangreiche Befugnisse

Vor allem die Aufgaben und Befugnisse des BSI werden erheblich erweitert. So soll das dem BMI untergeordnete BSI als zentrale Zertifizierungs- und Standardisierungsstelle mehr Verantwortung und weitere Aufgaben, zum Beispiel im Bereich des digitalen Verbraucherschutzes, übernehmen.

Da die derzeit bestehende Abhängigkeit des BSI Interessenkonflikte hervorruft - Aufgabe des BSI ist es einerseits, IT-Sicherheitslücken zu schließen; andererseits schafft es diese durch die Mitwirkung an der Entwicklung von Staatstrojanern jedoch teilweise selbst ­- soll das BSI außerdem zu einer unabhängigeren und neutralen Beratungsstelle ausgebaut werden. Zugleich soll das BSI eine erweiterte Warn- und Untersuchungsbefugnis sowie ein erweitertes Weisungsrecht erhalten (vgl. § 3 IT-SiG 2.0).

Insbesondere soll das BSI mit Rechten ausgestattet werden, die ein offensives Vorgehen gegen Botnetze, Risiken im Internet der Dinge und die Verbreitung von Schadsoftware ermöglichen. So soll das BSI beispielsweise die Befugnis erhalten, in fremde IT-Systeme einzudringen, um Patches zu installieren oder Schadsoftware zu entfernen. Darüber hinaus soll das BSI befugt sein, Provider anzuordnen, Datenverkehre zu blockieren oder umzuleiten (vgl. §109 a Abs. 8 Telekommunikationsgesetz), um Cyber-Angriffe abzuwehren.

Des Weiteren soll mit dem IT-Sicherheitsgesetz 2.0 ein IT-Sicherheitskennzeichen eingeführt werden. Dieses soll Verbrauchern eine Einschätzung zur Cyber-Sicherheit von IT-Produkten und -services erleichtern. Das IT-Sicherheitskennzeichen können Hersteller für ihre Produkte zukünftig freiwillig beantragen, wenn sie den vom BSI durch technische Richtlinien festgelegten "Stand der Technik" der IT-Sicherheit implementiert haben (vgl. § 9a IT-SiG 2.0).

Verschärfung des Cyber-Strafrechts

Ferner ist eine Verschärfung des Cyber-Strafrechts vorsehen. Durch Anpassungen des materiellen Strafrechts soll der Unrechts- und Gefahrengehalt von Cyber-Straftaten besser abgebildet werden können. Strafbarkeitslücken sollen geschlossen und neue Qualifikationstatbestände für besonders schwere Fälle von Computerstraftaten geschaffen werden (u.a. Entwurf § 126 a und §§ 200e ff. StGB).

Lesetipp: Wie funktioniert das Darknet?

Außerdem sollen die Befugnisse des BSI sowie der Strafverfolgungs- und Sicherheitsbehörden durch Anpassung des Strafverfahrensrechts erweitert werden. Die Strafverfolgungs- und Ermittlungsbehörden sollen mit effektiven Ermittlungsinstrumenten zur Bekämpfung der Cyber-Kriminalität ausgestattet werden - so sollen die Sicherheitsbehörden beispielsweise befugt sein, virtuelle Identitäten anzunehmen, um künftig verdeckt unter der Identität eines Tatbeteiligten ermitteln zu können (vgl. Entwurf § 163g Strafprozessordnung).

Mitarbeitern von Sicherheitsbehörden soll es erlaubt werden, mit virtuellen Identitäten im Netz zu ermitteln.
Foto: Axel Bueckert - shutterstock.com

Bußgelder in Millionenhöhe

Neben der Erweiterung des Katalogs der Bußgeldtatbestände soll das IT-SiG 2.0 eine sprunghafte Erhöhung der Bußgelder - vergleichbar mit dem Niveau der Bußgeldregelungen in der EU-Datenschutzgrundverordnung (DSGVO) - vorsehen. Die bisherigen Bußgeldhöhen von maximal 100.000 Euro wurden seitens des BMI als zu gering angesehen, um eine lenkende Wirkung zu entfalten.

Orientiert am Vorbild des DSGVO sollen erhöhte Bußgelder nun dafür sorgen, dass Unternehmen sich verstärkt den Anforderungen des IT-SiG 2.0 widmen. Wie in der DSGVO sollen nun Bußgelder bis zu maximal 20 Millionen Euro oder bis zu 4 Prozent des gesamten, weltweiten Unternehmensumsatzes verhangen werden können. Das "Schreckgespenst Bußgeld" hat zumindest beim Datenschutz für ein radikales Umdenken an den Unternehmensspitzen gesorgt. Dies erhofft sich der deutsche Gesetzgeber nun auch für die IT-Sicherheit.

Lesetipp: Rechtsprechung zur DSGVO - Haftet der Betriebsrat künftig für Bußgelder

IT-Sicherheit versus öffentliche Sicherheit

Experten sind sich überwiegend einig, dass das IT-SiG 2.0 das nötige Bewusstsein vieler Personen und Unternehmen beim Thema IT-Sicherheit fördern und dazu führen kann, dass sich Mitarbeiter ausgiebiger mit dem Thema befassten. Es wird davon ausgegangen, dass die durch das IT-SIG 2.0 erweiterten Meldepflichten geeignet sind, andere Unternehmen rechtzeitig über neue Angriffe und Schwachstellen zu informieren und das Entstehen größerer Schäden an Wirtschaft und Gesellschaft dadurch verhindert werden kann.
Betroffene scheinen insbesondere die ausgedehnten Meldepflichten bei Zulieferern von KRITIS-Betreibern überwiegend zu befürworten. Sie fordern jedoch konkrete Hilfestellungen nach Cyber-Angriffen sowie Unterstützung bei der Entwicklung und Etablierung von Präventionsmaßnahmen.

Auch wenn das IT-SIG 2.0 insbesondere in der Politik als dringend notwendig betrachtet wird, bestehen Bedenken, dass das BMI die Bereiche IT-Sicherheit und öffentliche Sicherheit verwischt, um die Befugnisse der Polizei auszuweiten. Es ist zu davon auszugehen, dass insbesondere die umfassende Erweiterung der Befugnisse der Sicherheitsbehörden sowie die vorgesehene Verschärfung des Cyber-Strafrechts - auch unter verfassungsrechtlichen Gesichtspunkten - kontrovers diskutiert werden.