IT-Sicherheitsgesetz 2.0

Die Aufrüstung des BSI

15.05.2020
Von   IDG ExpertenNetzwerk
Neben seiner umfassenden Forschungs- und Projekterfahrung, die Dennis-Kenji Kipker als Wissenschaftlicher Geschäftsführer an der Universität Bremen gewinnen konnte, ist bei ihm auch die Praxis als Legal Advisor des VDE, Abteilung CERT@VDE, nicht zu kurz gekommen. Daneben ist er noch im Policy-Bereich als Mitglied des Vorstandes der Europäischen Akademie für Informationsfreiheit und Datenschutz (EAID) tätig. Der Autor kümmert sich außerdem als Geschäftsführer von Certavo gleichermaßen um die IT-Sicherheit und den Datenschutz.
Der Referentenentwurf für das überarbeitete IT-Sicherheitsgesetz liegt vor. Lesen Sie, wo die Neuerungen und Unterschiede zum ersten Entwurf aus dem Frühjahr 2019 liegen.

Nach den politischen Kontroversen aus dem vergangenen Jahr, die sich in erheblichem Maße auch um den chinesischen Mobilfunkausrüster Huawei und das Thema 5G drehten, wurde der neue Entwurf für das IT-Sicherheitsgesetz 2.0 (IT-SiG 2.0) mit Spannung erwartet.

Der neue Entwurf für das überarbeitete IT-Sicherheitsgesetz dürfte die Schlagkraft des BSI im Cyberkrieg deutlich erhöhen.
Der neue Entwurf für das überarbeitete IT-Sicherheitsgesetz dürfte die Schlagkraft des BSI im Cyberkrieg deutlich erhöhen.
Foto: Sergey Nemirovsky - shutterstock.com

Der aktuelle Referentenentwurf aus dem Bundesministerium des Inneren, für Bau und Heimat (BMI) datiert auf den 7. Mai 2020. Er ist mit 73 Seiten inklusive der Entwurfsbegründung etwas kürzer als die ursprüngliche Version mit 90 Seiten. Geändert werden dabei das Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSIG, Regelungsschwerpunkt), das Telekommunikationsgesetz (TKG), das Telemediengesetz (TMG) und die Außenwirtschaftsverordnung (AWV).

BSI-Personaloffensive und Befugniszuwachs

Auch wenn bei diesem zweiten Entwurf inhaltlich vieles beim Alten geblieben ist, wird zumindest der Erfüllungsaufwand in Form der Planstellen deutlich konkreter gefasst. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) wird zunehmend zu einer zentralen Behörde in der deutschen Verwaltungsinfrastruktur. Dies dürfte erneut die politischen Diskussionen um seine Selbstständigkeit beflügeln, da es organisatorisch derzeit immer noch dem Bundesinnenministerium zugeordnet ist.

In der Vergangenheit hatten Kritiker bemängelt, dass die Behörde einerseits sensible und sicherheitsrelevante Informationen sammle, andererseits aber beispielsweise auch wie der Verfassungsschutz dem Innenministerium nachgeordnet ist. In dessen Aufgabenbereich sollen teils auch Sicherheitslücken ausgenutzt werden. Um die einzelnen Neuregelungen gemäß dem zweiten Referentenentwurf zum IT-SiG 2.0 umzusetzen, sind insgesamt 583 Planstellen allein beim BSI notwendig.

Der Gesetzentwurf führt verschiedene neue Aufgaben für das BSI an, die es notwendig machen, Personal und Kapazität aufzustocken:

  • Das BSI soll als Konformitätsbewertungsstelle im Bereich der IT-Sicherheit tätig sein und als nationale Behörde für die Cybersicherheitszertifizierung gemäß EU Cybersecurity Act (CSA) fungieren. Zusätzlich soll es als zentrale Stelle für die IT-Sicherheit staatliche und private Stellen in Fragen der Informationssicherheit beraten, informieren und warnen sowie Verbraucherinformation und Verbraucherschutz fördern.

  • Des Weiteren wird es Aufgabe des Amtes, Identifizierungs- und Authentifizierungsverfahren zu bewerten und Empfehlungen auszusprechen. Darüber hinaus wird es damit betraut, einen Stand der Technik bei sicherheitstechnischen Anforderungen an IT-Produkte zu entwickeln und zu veröffentlichen.

  • Um die IT-Sicherheit in der Kommunikationstechnik des Bundes sicherzustellen, für die das BSI verantwortlich ist, soll die Behörde ihre umfassenden Befugnisse, die schon 2019 vorgeschlagen wurden, wohl behalten. Sie soll die Aufgabe als allgemeine Meldestelle für Sicherheitslücken, -Vorfälle und Malware übernehmen, um ein Gesamtbild zu erstellen. Zudem soll sie (behördeninterne) Protokolldaten speichern und auswerten. Auch soll es nach wie vor Bestandsdatenauskunft einholen dürfen, die zur Kontaktaufnahme zu Zwecken der IT-Sicherheit erforderlich ist. Die Warnpflichten für die Öffentlichkeit bestehen ebenfalls in nahezu unveränderter Form fort. Das BSI darf außerdem auf dem Markt bereitgestellte oder zur Bereitstellung auf dem Markt vorgesehene IT-Produkte und Systeme untersuchen und die Ergebnisse laut dem Entwurf an zuständige Behörden und Ressorts weitergeben.

  • Es wird Aufgabe des BSI, den Adressatenkreises der schon bestehenden Mobile Incident Response Teams (MIRTs) zu erweitern und die Kommunikationsstruktur und Krisensteuerung für kritische Infrastrukturen (KRITIS) zu etablieren. Es soll weitere Branchen in den Regelungsbereich des Gesetzes aufnehmen und die Bußgeldvorschriften bei Verstößen und Zuwiderhandlungen gegen das Gesetz erweitern. Schließlich soll das Amt ein IT-Sicherheitskennzeichen entwickeln und vergeben.

IT-Sicherheitsgesetz 2.0 - kritische Ergänzungen

Die grundlegenden Anforderungen im neuen Entwurf sind im Vergleich zur ersten Fassung aus Frühjahr 2019 ähnlich. Ergänzt werden unter anderem die Begriffsbestimmungen durch zusätzliche Definitionen für IT-Produkte sowie für Systeme zur Angriffserkennung. Zusätzliche Begriffsbestimmungen sollen außerdem für kritische Komponenten im Sinne des BSIG und Unternehmen im besonderen öffentlichen Interesse eingeführt werden.

Kritische Komponenten sind IT-Produkte, die im KRITIS-Sektor eingesetzt werden und wichtig sind, damit das Gemeinwesen funktioniert. Kataloge, die unter anderem durch das BSI erstellt werden, konkretisieren den Bereich. Auch für Unternehmen, die im besonderen öffentlichen Interesse liegen, dürften die vorgeschlagenen Regelungen interessant sein. In der Entwurfsbegründung genannt werden unter anderem Rüstungsproduzenten und Hersteller von IT-Produkten für die Verarbeitung staatlicher Verschlusssachen. Zudem fallen Unternehmen darunter, die einer Regulierung durch die Verordnung zum Schutz von Gefahrstoffen unterliegen. Die Unternehmen, die allgemein aufgrund ihrer volkswirtschaftlichen Bedeutung und insbesondere ihrer erbrachten Wertschöpfung von besonderem öffentlichem Interesse sind, werden durch eine Rechtsverordnung näher bestimmt.

Neu ist, dass kritische Infrastrukturen künftig Prozesse vorsehen dürfen, um die Vertrauenswürdigkeit jener Beschäftigten zu überprüfen, die in zentralen Bereichen tätig sind. Außerdem wird eine Regelung vorgeschlagen, dass solche Daten, die zur Angriffserkennung erhoben wurden, von den Betreibern an die dafür zuständigen Behörden zu übermitteln sind. Falls der Entwurf in der vorliegenden Fassung verabschiedet werden sollte, könnten KRITIS-Betreiber für die Zukunft überdies angehalten sein, dem BSI zusätzlich eine Liste aller IT-Produkte übermitteln, die wichtig für die Funktionsfähigkeit der von ihnen betriebenen kritischen Infrastrukturen sind.

IT-Sicherheitskennzeichen statt Cyberkritikalität

In der ersten Entwurfsfassung von 2019 wurde unter dem Begriff "Cyberkritikalität" diskutiert, ob das BSI für kritische Betreiber, die per se nicht unter das Gesetz fallen, eine eigenständige Identifizierungsmöglichkeit einführen soll. Das ist in der zweiten Entwurfsfassung entfallen, nachdem verschiedene Stimmen diese Befugniszentralisierung bei der Behörde bemängelten. Der aktuelle Entwurf schlägt demgegenüber vor, eine Vorschrift einzufügen, die die Sicherheit in der Informationstechnik bei Unternehmen im besonderen öffentlichen Interesse regelt. Zudem sollen diese Unternehmen ein IT-Sicherheitskonzept vorlegen. Im neuen Entwurf erhalten geblieben ist auch das IT-Sicherheitskennzeichen, um Verbraucher zu schützen. Das ist nach wie vor freiwillig und setzt sich aus zwei Komponenten zusammen: der Herstellererklärung und der BSI-Sicherheitsinformation.

Soll es nach dem Gesetzentwurf gehen, müssen die Hersteller von als kritisch eingestuften IT-Produkten besonders hohe Anforderungen erfüllen. So bestimmt das Gesetz, dass dem Innenministerium noch vor dem Einbau angezeigt werden muss, wenn kritische Komponenten zum Einsatz kommen sollen. Zudem dürfen nur Produkte von Herstellern genutzt werden, die eine Erklärung über die Vertrauenswürdigkeit gegenüber dem Betreiber der kritischen Infrastruktur abgegeben haben.

Diese Garantieerklärung muss sich auf die gesamte Lieferkette des Herstellers erstrecken. Das dürfte herstellerseitig mit einem teils erheblichen logistischen und organisatorischen Aufwand verbunden sein. Ein Hersteller gilt dann nicht als vertrauenswürdig, wenn er unwahre Tatsachen behauptet hat, Sicherheitsüberprüfungen und Penetrationstests nicht angemessen unterstützt oder bekannte Schwachstellen nicht unverzüglich beseitigt. Des Weiteren darf die kritische Komponente nicht über Eigenschaften verfügen, die die IT-Sicherheit negativ beeinträchtigen können.

Dass der Gesetzgeber IT-Sicherheit ernst nimmt, wird spätestens bei den Bußgeldtatbeständen deutlich, die an die EU Datenschutzgrundverordnung (DSGVO) angelehnt sind. Der Höchstrahmen liegt bei 20 Millionen Euro oder bis zu 4 Prozent des gesamten, weltweit erzielten Unternehmensumsatzes des vorangegangenen Geschäftsjahres. (jd/fm)