IT-Sicherheit und Recht

IT-Sicherheitsgesetz 2.0 - Auf in die zweite Runde

07.06.2019
Von   IDG ExpertenNetzwerk
Mareike Christine Gehrmann ist Salary Partner bei der Wirtschaftskanzlei Taylor Wessing und Fachanwältin für Informationstechnologierecht. Seit 2015 ist sie Mitglied im IDG-Expertennetzwerk.
Am 27. März legte das Bundesministerium des Innern, für Bau und Heimat (BMI) einen Referentenentwurf zum IT-Sicherheitsgesetz 2.0 vor - mit erheblichen Auswirkungen für Unternehmen.
  • Ausweitung der betroffenen Unternehmen
  • Infrastruktur-Hersteller sollen in die Pflicht genommen werden
  • Erweiterte Befugnisse für das BSI
  • Verschärfung des Cyber-Strafrechts

Mit dem IT-Sicherheitsgesetz 1.0 setzte der deutsche Gesetzgeber 2015 den ersten Schritt, um der Gefährdungslage aus dem Cyber-Raum entgegenzutreten. In den vergangenen Jahren hat sich die Gefährdungslage im Bereich der IT-Sicherheit in Deutschland durch die fortschreitende Digitalisierung und die zunehmende Vernetzung von IT-Systemen zugespitzt.

Nach der DSGVO kann es für betroffene Unternehmen auch bei Cyber-Lacks teuer werden. Bußgelder in Millionenhöhe drohen.
Nach der DSGVO kann es für betroffene Unternehmen auch bei Cyber-Lacks teuer werden. Bußgelder in Millionenhöhe drohen.
Foto: AVN Photo Lab - shutterstock.com

Um den Schutz vor Cyber-Angriffen auch in Zukunft gewährleisten zu können, haben CDU, CSU und SPD deshalb im Koalitionsvertrag beschlossen, das IT-Sicherheitsgesetz 1.0 weiterzuentwickeln. Am 27. März 2019 legte das BMI den Referentenentwurf zum IT-Sicherheitsgesetz 2.0 vor.

Mit spannendem Inhalt: Verstöße sollen zukünftig mit Bußgeldern bis zu 20 Millionen Euro oder 4 Prozent des gesamten weltweiten Jahresumsatzes eines Unternehmens geahndet werden. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) soll zukünftig auch für den Verbraucherschutz zuständig sein und als zentrale "Hackerbehörde" fungieren.

Adressatenkreis wird erweitert

Ziel des IT-Sicherheitsgesetzes 1.0 (IT-SIG 1.0) ist der Schutz von IT-Infrastrukturen vor Cyber-Angriffen durch Erkennung und idealerweise Abwehr von organisationsexternen Attacken, um Versorgungsengpässe von Wirtschaft, Staat und Gesellschaft zu verhindern. Adressaten des IT-SiG 1.0 sind deshalb vor allem Betreiber sogenannter kritischer Infrastrukturen (KRITIS), die den folgenden Sektoren angehören und von hoher Bedeutung für das Funktionieren des Gemeinwesens sind:

  • Energie

  • IT und Telekommunikation (ITK)

  • Transport und Verkehr,

  • Gesundheit,

  • Wasser,

  • Ernährung,

  • Finanz- und Versicherungswesen

Auch Automobilhersteller betroffen

Das IT-Sicherheitsgesetz 2.0 (IT-SIG 2.0) soll zukünftig weitere Sektoren und Bereiche erfassen. So soll die Liste der KRITIS-Sektoren auf die Abfallentsorgung ausgedehnt werden. Ferner soll das IT-SIG 2.0 auch für Infrastrukturen im besonderen öffentlichen Interesse gelten. Hierzu gehören vor allem die folgenden Bereiche:

  • Verteidigungs- und Sicherheitsindustrie,

  • Kultur und Medien

  • Unternehmen von erheblicher volkswirtschaftlicher Bedeutung (vgl. § 2 Abs. 14 IT-SIG 2.0)

Daneben nennt die Gesetzesbegründung auch Unternehmen mit Zulassung zum Teilbereich des regulierten Marktes mit weiteren Zulassungsfolgepflichten (Prime Standard) nach § 48 Börsenordnung der Frankfurter Wertpapierbörse, sowie Infrastrukturen aus den Bereichen Chemie, Automobilherstellung. Obwohl diese Infrastrukturen nicht als KRITIS im engeren Sinne (vgl. § 2 Abs. 10 IT-SIG 1.0) angesehen werden, betont das BMI in der Gesetzesbegründung, dass die Funktionsfähigkeit dieser Infrastrukturen aus anderen Gründen ein erhebliches Interesse für die Gesellschaft darstelle.

Neu definiert wurden im Referentenentwurf auch so genannte KRITIS-Kernkomponenten. Hierbei handelt es sich um IT-Produkte, die zum Betrieb von KRITIS dienen und für diesen Zweck besonders entwickelt oder geändert werden (vgl. § 2 Abs. 13 IT-SiG 2.0).
Hersteller solcher KRITIS-Kernkomponenten werden zukünftig verpflichtet, eine Vertrauenswürdigkeitserklärung abzugeben, die sich auf die gesamte Lieferkette erstreckt. Anderenfalls dürfen ihre Produkte nicht mehr bei KRITIS-Betreibern eingesetzt werden. Zudem haben die Hersteller von KRITIS-Kernkomponenten - wie KRITIS-Betreiber - Störungen durch Cyber-Angriffe in Zusammenhang mit ihren Produkten dem BSI zu melden (vgl. § 8b IT-SiG 2.0).
Dasselbe gilt auch für Hersteller von anderen IT-Produkten. Hintergrund sei, dass Hersteller in der Regel vor ihren Kunden die Kenntnis von Sicherheitslücken erhielten. Zum Schutz der Allgemeinheit sei daher auch von den Herstellern zu fordern, dass Sicherheitslücken kurzfristig gemeldet würden, um rechtzeitig Schutzmaßnahmen ergreifen zu können.

Wann ein Unternehmen innerhalb der genannten Sektoren als KRITIS-Betreiber einzustufen ist, legt die so genannte BSI-Kritisverordnung fest, in der jeweils Schwellenwerte genannt. Liegt ein Unternehmen unterhalb der Schwellenwerte, findet das IT-SiG 1.0 keine Anwendung. Hier setzt nunmehr das IT-SiG 2.0 an. So soll das BSI in einem begründeten Einzelfall einem Unternehmen die Pflichten des IT-SiG2.0 auferlegen können, wenn eine Störung der IT-Sicherheit dieses Unternehmens zu einer Gefährdung der Gesellschaft führen könnte (vgl. § 8g IT-SiG 2.0).

BSI erhält umfangreiche Befugnisse

Vor allem die Aufgaben und Befugnisse des BSI werden erheblich erweitert. So soll das dem BMI untergeordnete BSI als zentrale Zertifizierungs- und Standardisierungsstelle mehr Verantwortung und weitere Aufgaben, zum Beispiel im Bereich des digitalen Verbraucherschutzes, übernehmen.

Da die derzeit bestehende Abhängigkeit des BSI Interessenkonflikte hervorruft - Aufgabe des BSI ist es einerseits, IT-Sicherheitslücken zu schließen; andererseits schafft es diese durch die Mitwirkung an der Entwicklung von Staatstrojanern jedoch teilweise selbst ­- soll das BSI außerdem zu einer unabhängigeren und neutralen Beratungsstelle ausgebaut werden. Zugleich soll das BSI eine erweiterte Warn- und Untersuchungsbefugnis sowie ein erweitertes Weisungsrecht erhalten (vgl. § 3 IT-SiG 2.0).

Insbesondere soll das BSI mit Rechten ausgestattet werden, die ein offensives Vorgehen gegen Botnetze, Risiken im Internet der Dinge und die Verbreitung von Schadsoftware ermöglichen. So soll das BSI beispielsweise die Befugnis erhalten, in fremde IT-Systeme einzudringen, um Patches zu installieren oder Schadsoftware zu entfernen. Darüber hinaus soll das BSI befugt sein, Provider anzuordnen, Datenverkehre zu blockieren oder umzuleiten (vgl. §109 a Abs. 8 Telekommunikationsgesetz), um Cyber-Angriffe abzuwehren.

Des Weiteren soll mit dem IT-Sicherheitsgesetz 2.0 ein IT-Sicherheitskennzeichen eingeführt werden. Dieses soll Verbrauchern eine Einschätzung zur Cyber-Sicherheit von IT-Produkten und -services erleichtern. Das IT-Sicherheitskennzeichen können Hersteller für ihre Produkte zukünftig freiwillig beantragen, wenn sie den vom BSI durch technische Richtlinien festgelegten "Stand der Technik" der IT-Sicherheit implementiert haben (vgl. § 9a IT-SiG 2.0).