Die ohnehin schon überragende Bedeutung der Informationstechnik für die Wirtschaft und alle anderen Bereiche unserer Gesellschaft wird weiter zunehmen. Als Schattenseite der fortschreitenden Digitalisierung und Vernetzung wächst damit auch die allgemeine Abhängigkeit von IT-Systemen – und damit die Verwundbarkeit durch Cyberattacken. Bundesregierung und EU-Kommission verfolgen deshalb seit längerem das strategische Ziel, das allgemeine IT-Sicherheitsniveau zu stärken. Gestern hat Bundesinnenminister Thomas de Maizière den überarbeiteten Entwurf eines IT-Sicherheitsgesetzes vorgestellt.
Die aktuelle Fassung beruht auf einem Gesetzentwurf aus dem März 2013, der nach teils massiver inhaltlicher Kritik insbesondere aus der Wirtschaft von der schwarz-gelben Regierung nicht mehr verabschiedet worden war. Das ambitionierte Ziel des neuen Entwurfs ist „eine signifikante Verbesserung der Sicherheit informationstechnischer Systeme in Deutschland″. Zu diesem Zweck soll eine Reihe bestehender Gesetze geändert werden (nämlich BSI-Gesetz, Telemediengesetz, Telekommunikationsgesetz, Außenwirtschaftsgesetz und BKA-Gesetz).
Betreiber „kritischer Infrastrukturen″ in der Pflicht
Eine zentrale Maßnahme ist die vorgesehene Änderung des BSI-Gesetzes. Sie betrifft Betreiber von „kritischen Infrastrukturen″ aus den Wirtschaftssektoren Energie, IT, Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung sowie Finanz- und Versicherungswesen.
Welche Infrastrukturen konkret als „kritisch″ einzustufen sind, soll vom Bundesinnenministerium durch Rechtsverordnung näher bestimmt werden – dass diese wichtige Frage nicht im Gesetz geregelt wird, wurde schon bei Veröffentlichung des Vorentwurfs vielfach kritisiert. Immerhin enthält die Entwurfsbegründung nun eine Aufzählung von „kritischen Dienstleistungen″ (S. 46 f.) – Unternehmen aus den genannten Wirtschaftssektoren sollten sich diese Auflistung ansehen, um besser abschätzen zu können, ob sie vom zu erwartenden IT-Sicherheitsgesetz betroffen werden (vgl. auch den Umsetzungsplan KRITIS). Kleinstunternehmen sind pauschal ausgenommen.
Die Betreiber „kritischer Infrastrukturen″ müssen zukünftig IT-Sicherheitsmaßnahmen treffen, die den Stand der Technik berücksichtigen und mit Blick auf die drohenden Folgen eines Ausfalls der Infrastruktur angemessen sind. Der Entwurf verzichtet jedoch darauf, die zu treffenden Sicherheitsmaßnahmen weiter zu konkretisieren. So gibt es hierzu keine Gesetzesanlage, wie sie sich im sehr ähnlichen Fall des § 9 Bundesdatenschutzgesetz bewährt hat.
Eine wichtige Rolle wird daher den von Betreibern und Verbänden zu entwickelnden branchenspezifischen Sicherheitsstandards zukommen. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) als zuständige Behörde erkennt diese Branchen-Sicherheitsstandards auf Antrag als geeignet an.
Kommt der IT-Sicherheits-„TÜV″ doch nicht?
Im Übrigen berät und unterstützt das BSI die betroffenen Betreiber zu den Sicherheitsmaßnahmen, übt aber auch die Aufsicht darüber aus. Deutlich gelockert wurde dabei die Nachweispflicht der Betreiber: Wurden diese im Entwurf von 2013 noch zu kostenträchtigen Sicherheitsaudits im Zwei-Jahres-Rhythmus verpflichtet, können sie den Nachweis nach dem neuen Entwurf „auf geeignete Weise″, insbesondere auch durch sonstige „Prüfungen oder Zertifizierungen″ erbringen.
Meldepflichten: „BSI, wir haben ein Problem″
Auch der neue Entwurf sieht vor, dass die Betreiber kritischer Infrastrukturen zukünftig Störungen ihrer IT-Systeme, welche die Infrastruktur beeinträchtigen können, unverzüglich dem BSI melden müssen. Diese Meldepflicht wird durch den jetzt vorliegenden Vorschlag zum Teil verschärft, denn anders als nach dem Vorentwurf sollen nun nicht mehr nur „schwerwiegende″ Beeinträchtigungen der IT gemeldet werden.
In anderer Hinsicht kommt der Entwurf der Wirtschaft aber entgegen: Solange nur die IT beeinträchtigt ist, kann die Meldung „ohne Nennung des Betreibers″, also gewissermaßen anonym erfolgen. Ob das BSI allerdings allein auf Basis anonymer Meldungen Cyberangriffe richtig einschätzen und die Abwehr dagegen effektiv koordinieren kann, muss sich noch zeigen. Jedenfalls sinkt so das Risiko der betroffenen Betreiber, durch das Bekanntwerden eines Angriffs einen Rufschaden zu erleiden – was die Bereitschaft zu Meldungen an das BSI erhöhen wird. Betrifft die Störung allerdings nicht nur die IT, sondern wirkt sich auch auf die Infrastruktur selbst aus, soll dies auch nach dem neuen Entwurf unverzüglich unter Nennung des Betreibers zu melden sein.
Spezialregelung für Telekommunikationsanbieter
Telekommunikationsanbieter sind teilweise von den vorstehenden Änderungen des BSI-Gesetzes ausgenommen. Sie sollen Spezialregelungen im Telekommunikationsgesetz (TKG) unterliegen und danach unter anderem Störungen an die Bundesnetzagentur (statt an das BSI) melden.
Außerdem sollen Unternehmen, die Produkte zur Telekommunikationsüberwachung (TKÜ) anbieten – also zur Durchführung staatlicher Überwachungsmaßnahmen –, zukünftig der Investitionskontrolle nach dem Außenwirtschaftsgesetz unterliegen. Beim Im- und Export von TKÜ-Produkten könnten dann vergleichbare Beschränkungen erlassen werden wie beim Handel mit Kriegswaffen und Rüstungsgütern.
Es trifft auch die Kleinen: Telemedienanbieter
Doch der Gesetzesentwurf betrifft nicht nur die „Großen″, für das Gemeinwesen essentiellen Versorger und Dienstleister. Auch Anbieter von „geschäftsmäßig in der Regel gegen Entgelt angebotenen Telemedien″ sollen bis zu einem gewissen Grad in die Pflicht genommen werden. Das sind alle, die der Impressumspflicht nach § 5 Telemediengesetz (TMG) unterliegen – also im Zweifel alle Unternehmen mit Website. Ein neuer § 13 Abs. 7 TMG soll sie verpflichten, durch technische und organisatorische Vorkehrungen dafür zu sorgen, dass nur Berechtigte auf „die Telekommunikations- und Datenverarbeitungssysteme″ zugreifen können. Diese Pflicht gilt aber nur, soweit „technisch möglich und zumutbar″.
Die praktischen Konsequenzen sind schwer absehbar. Laut Entwurfsbegründung sei vor allem wichtig, dass Webseitenbetreiber regelmäßig Sicherheitspatches einspielen, um die Verbreitung von Schadsoftware durch sogenannte Drive-by-Downloads zu verhindern. Die Einschränkung „soweit technisch möglich und zumutbar″ im Entwurfstext erinnert aber fatal an den bisherigen § 13 Abs. 6 TMG (Verbot des Klarnamenzwangs), der sich gerade auch wegen dieser Einschränkung als zahnloser Tiger herausgestellt hat. Relevant könnte immerhin die ausdrücklich vorgesehene Pflicht werden, bei personalisierten Telemediendiensten „angemessene Authentifizierungsverfahren″ anzubieten – die weitere Entwicklung hierzu sollten Anbieter von Webseiten mit Registrierungsmöglichkeit im Auge behalten.
Datenschutz versus IT-Sicherheit
Bemerkenswert ist schließlich die vorgeschlagene Aufweichung des Datenschutzes zugunsten der IT-Sicherheit: Telemedienanbieter sollen Nutzungsdaten künftig auch zur Störungserkennung und -beseitigung verarbeiten dürfen. Ähnliches gilt für Anbieter von Telekommunikationsdiensten, die zur Störungsbekämpfung Bestands- und Verkehrsdaten verarbeiten dürfen. Bevor diese Vorschläge Gesetz werden, ist noch erheblicher Widerstand seitens der Datenschützer zu erwarten.
Ausblick
Mit dem neuen Entwurf bekräftigt die große Koalition, dass sie am Ziel eines IT-Sicherheitsgesetzes festhält. Dies ist zu begrüßen, da das IT-Sicherheitsniveau in den betroffenen Sektoren uneinheitlich ist und eine kompetente staatliche Koordinierung bisher weitgehend fehlt. Auch die Wirtschaft hat dieses Anliegen daher im Grundsatz breit unterstützt.
Die Kritik am alten Entwurf beruhte vor allem auf der konkreten Umsetzung. Der neue Entwurf geht darauf teilweise ein – BDI und Bitkom haben das Entgegenkommen bereits anerkannt. Der Entwurf bringt aber auch viel Neues. In der bevorstehenden Ressortabstimmung dürften dabei unter anderem die Beschränkungen des Datenschutzes für Zündstoff sorgen.
Gleichwohl scheint das IT-Sicherheitsgesetz nicht mehr allzu fern. Nicht mehr abgewartet werden muss der Erlass der EU-Richtlinie für Netz- und Informationssicherheit, deren Entwurf seit Februar 2013 vorliegt. Denn diese ist bereits weitgehend berücksichtigt. So übernimmt die in der Richtlinie vorgesehene Funktion der nationalen Informationssicherheitsbehörde künftig das BSI.
Mit Spannung darf erwartet werden, welche Maßstäbe das BSI in seiner künftigen Praxis an die IT-Sicherheit anlegt. Im Zweifel werden Unternehmen, die kritische Infrastrukturen betreiben und dabei bereits heute auf ein angemessenes IT-Sicherheitsniveau achten, nur überschaubaren Anpassungsbedarf haben. Im Vergleich der betroffenen Branchen zeigen sich hier aber bisher erhebliche Unterschiede – auch, weil sie gerade im Bereich des Risikomanagements unterschiedlich stark reguliert sind. Wer noch Nachholbedarf hat, sollte diesen frühzeitig analysieren: Der neue Entwurf sieht eine Frist von zwei Jahren (ab Inkrafttreten der begleitenden Rechtsverordnung) vor, nach der die danach vorgeschriebenen IT-Sicherheitsmaßnahmen getroffen sein müssen.