Am Freitag, den 12.06. 2015, hat der Bundestag das seit mehr als zwei Jahren diskutierte IT-Sicherheitsgesetz verabschiedet. Grundlage ist die Entwurfsfassung vom 25.02.2015 (BT-Drs. 18/4096 (PDF)) mit den vom Innenausschuss empfohlenen Änderungen (BT-Drs. 18/5121 (PDF)). Der Entwurf ist eine Reaktion auf die weiter zunehmenden – und teils spektakulären – Cyberangriffe auf sog. „Kritische Infrastrukturen“, deren Ausfall gravierende Auswirkungen auf Wirtschaft und Gesellschaft haben kann.

Bundesamtes für Sicherheit in der Informationstechnik (BSI) wird nationale Aufsichtsbehörde

Das IT-Sicherheitsgesetz ist ein „Artikelgesetz“, d.h. es beschränkt sich auf die Änderung bestehender Gesetze. Zentral ist die Änderung des BSI-Gesetzes. Sie erhebt das BSI zur Aufsichtsbehörde über die Betreiber von „kritischen Infrastrukturen“, kurz KRITIS. Hierzu zählen Einrichtungen aus dem Bereich der Versorgung mit Grundbedürfnissen (Energie, Wasser, Ernährung, Gesundheit), sowie den Sektoren Finanz- und Versicherungswesen, Transport, Informationstechnik und Telekommunikation, soweit sie „von hoher Bedeutung für das Funktionieren des Gemeinwesens sind“. Im Vergleich der genannten Branchen zeigte sich bisher ein uneinheitliches IT-Sicherheitsniveau, was auch auf die bis dato fehlenden branchenübergreifenden Regelungen zurückzuführen ist.

Betreiber kritischer Infrastrukturen müssen IT-Sicherheit gewährleisten

Künftig unterliegen Betreiber kritischer Infrastrukturen insbesondere § 8a Abs. 1 BSI-Gesetz n.F.:

Betreiber Kritischer Infrastrukturen sind verpflichtet, spätestens zwei Jahre nach Inkrafttreten der Rechtsverordnung nach § 10 Absatz 1 angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse zu treffen, die für die Funktionsfähigkeit der von ihnen betriebenen Kritischen Infrastrukturen maßgeblich sind. Dabei soll der Stand der Technik eingehalten werden. Organisatorische und technische Vorkehrungen sind angemessen, wenn der dafür erforderliche Aufwand nicht außer Verhältnis zu den Folgen eines Ausfalls oder einer Beeinträchtigung der betroffenen Kritischen Infrastruktur steht.

Die Regelung verpflichtet zur Einhaltung eines angemessen IT-Sicherheitsniveaus, ohne Einzelheiten vorzugeben. Zur Konkretisierung sollen die Industrieverbände branchenspezifische Sicherheitsstandards entwickeln, die das BSI dann prüft und absegnet (§ 8a Abs. 2 BSI-Gesetz n.F.). Die zu treffenden Maßnahmen lassen sich also im Einzelnen aus dem Gesetz noch nicht ableiten. Doch findet die bevorstehende Entwicklung der Branchenstandards nicht im luftleeren Raum statt: Orientierungspunkte werden u.a. die ISO-Normenreihe 2700x in Verbindung mit den IT-Grundschutz-Katalogen des BSI sein, aber auch entsprechende Empfehlungen anderer Organisationen wie etwa des amerikanischen NIST (siehe Cybersecurity Framework (PDF)).

Sicherheitsaudits

Die Erfüllung der Anforderungen des § 8a Abs. 1 BSI-Gesetz n.F. ist im Zwei-Jahres-Rhythmus nachzuweisen. Dafür lässt das Gesetz den Betreibern die Wahl zwischen Sicherheitsaudits, Prüfungen oder Zertifizierungen. Frühere Entwürfe sahen hier noch eine Art verbindlichen Sicherheits-TÜV vor – hiergegen hat sich die Wirtschaft mit Ihrer Forderung, Zusatzkosten durch formalisierte Prüfungsverfahren zu vermeiden, letztlich durchgesetzt. Allerdings kann das BSI, welches die Aufsicht über die IT-Sicherheit Kritischer Infrastrukturen führt, Anforderungen an die Durchführung der Prüfungen und die ihm vorzulegenden Nachweise festlegen.

Meldepflichten bei erheblichen Störungen

Zudem unterliegen Betreiber Kritischer Infrastrukturen in Zukunft einer Meldepflicht gegenüber dem BSI nach § 8b Abs. 4 BSI-G n.F.:

Betreiber Kritischer Infrastrukturen haben erhebliche Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse, die zu einem Ausfall oder einer Beeinträchtigung der Funktionsfähigkeit der von ihnen betriebenen Kritischen Infrastrukturen

  1. führen können oder
  2. geführt haben,

über die Kontaktstelle unverzüglich an das Bundesamt zu melden. Die Meldung muss Angaben zu der Störung sowie zu den technischen Rahmenbedingungen, insbesondere der vermuteten oder tatsächlichen Ursache, der betroffenen Informationstechnik, der Art der betroffenen Einrichtung oder Anlage sowie zur Branche des Betreibers enthalten. Die Nennung des Betreibers ist nur dann erforderlich, wenn die Störung tatsächlich zu einem Ausfall oder einer Beeinträchtigung der Funktionsfähigkeit der Kritischen Infrastruktur geführt hat.

Diskussionen hatte es im Gesetzgebungsverfahren darum gegeben, ob entsprechende Meldungen auch „anonym“ zulässig sein sollen, oder ob der Betreiber genannt werden muss. Dahinter stand die Befürchtung, dass die Information an die Öffentlichkeit gelangen und Rufschäden entstehen könnten. Herausgekommen ist ein Kompromiss: Grundsätzlich genügt eine anonyme Meldung; eine Nennung des Betreibers wird aber erforderlich, wenn die Störung der IT tatsächlich zu Auswirkungen auf die Kritische Infrastruktur geführt hat. Inwieweit die Einhaltung der anonymen Meldepflicht in der Praxis überprüfbar ist, muss sich allerdings noch erweisen.

Durch eine Änderung in letzter Minute wird das BSI auch die Möglichkeit erhalten, zur Beseitigung des Störung ggf. die Hersteller der von Störungen betroffenen IT-Systeme in die Pflicht zu nehmen (§ 8b Abs. 6 BSI-G n.F.). Diese sinnvolle Kompetenzerweiterung erlaubt – soweit erforderlich – den Zugriff auf das spezielle Know-How der Hard- und Softwarehersteller.

Bußgelder

Erst am 10.06. in den Gesetzentwurf eingefügt wurde auch der neue Bußgeldtatbestand des § 14 BSI-G n.F., der Verstöße gegen die Pflicht zur Einhaltung angemessener Sicherheitsmaßnahmen und gegen die Meldepflicht zur Ordnungswidrigkeit erhebt. Die Bußgelder sind allerdings mit bis zu 50.000 Euro (bei Verstößen gegen die Anordnung zur Beseitigung eines Sicherheitsmangels bis zu 100.000 Euro) sehr moderat, insbesondere wenn man bedenkt, dass Kritische Infrastrukturen häufig von Großunternehmen betrieben werden. Zum Vergleich: Allgemeine Verstöße gegen den Datenschutz können nach § 43 Abs. 2 BDSG mit Bußgeldern bis zu 300.000 Euro und damit deutlich stärker geahndet werden.

Ausnahmen

Telekommunikationsanbieter, Energieversorger und Betreiber von Atomanlagen sind teilweise von den vorstehenden Änderungen des BSI-Gesetzes ausgenommen. Sie werden allerdings durch Änderungen des Telekommunikationsgesetzes, des Energiewirtschaftsgesetzes respektive des Atomgesetzes im Ergebnis in ähnlicher Weise verpflichtet und in das neue Meldesystem des BSI eingebunden. Ausgenommen sind ferner pauschal alle Kleinstunternehmen.

Übergangsfrist

Die Betreiber Kritischer Infrastrukturen erhalten noch eine Übergangsfrist, um sich auf die Veränderungen einzustellen. Nach Erlass der bereits angesprochenen Rechtsverordnung (die näher definiert, welche Infrastrukturen vom Gesetz betroffen sind), haben die Betreiber noch zwei Jahre Zeit, das von § 8a BSI-G n.F. vorgeschriebene Sicherheitsniveau herzustellen. Die Kontaktstellen für die Störungsmeldungen müssen bereits sechs Monate nach Erlass der Verordnung benannt sein.

IT-Sicherheit der Bundesbehörden

Insbesondere als Reaktion auf die jüngsten Angriffe gegen die IT des Bundestages ist die Neufassung des § 8 Abs. 1 BSI-G n.F. zu verstehen, wonach das BSI auch Mindeststandards für die Sicherheit der Informationstechnik des Bundes erarbeitet, die vom Bundesinnenministerium als Verwaltungsvorschriften verabschiedet werden können. Dies ist zu begrüßen, ist es doch offensichtlich, dass auch die staatliche Infrastruktur nicht nur ein naheliegendes Angriffsziel für ressourcenstarke Hackerorganisationen ist, sondern selbst verschiedentlich Nachholbedarf bei der IT-Sicherheit hat.

Änderung des Telemediengesetzes

In einem Punkt betrifft das IT-Sicherheitsgesetz auch die „Kleinen“, nämlich gewöhnliche Anbieter von Telemediendiensten wie Websites. Neu eingefügt wird § 13 Abs. 7 Telemediengesetz (n.F.):

(7) Diensteanbieter haben, soweit dies technisch möglich und wirtschaftlich zumutbar ist, im Rahmen ihrer jeweiligen Verantwortlichkeit für geschäftsmäßig angebotene Telemedien durch technische und organisatorische Vorkehrungen sicherzustellen, dass

  1. kein unerlaubter Zugriff auf die für ihre Telemedienangebote genutzten technischen Einrichtungen möglich ist und
  2. diese a) gegen Verletzungen des Schutzes personenbezogener Daten und b) gegen Störungen, auch soweit sie durch äußere Angriffe bedingt sind,

gesichert sind. Vorkehrungen nach Satz 1 müssen den Stand der Technik berücksichtigen. Eine Maßnahme nach Satz 1 ist insbesondere die Anwendung eines als sicher anerkannten Verschlüsselungsverfahrens.

Welche Pflichten folgen daraus konkret? Die Gesetzesbegründung nennt hierzu zwei Regelungsziele:

  • Um die Verbreitung von Schadsoftware über das Internet einzudämmen (Drive-by-Downloads), sollen Websitebetreiber regelmäßig Sicherheitspatches einspielen.
  • Kompromittierungen durch Inhalte von Diensteanbieter, auf die der Websitebetreiber keinen unmittelbaren technischen Einfluss hat (zum Beispiel über kompromittierte Werbebanner, die auf der Webseite eingebunden sind), sollen durch organisatorische Maßnahmen unterbunden werden. Gemeint ist beispielsweise, die Werbedienstleister vertraglich zu entsprechenden Schutzmaßnahmen zu verpflichten.

 
Auch Verstöße gegen die Pflicht aus § 13 Abs. 7 TMG werden mit einem Bußgeld bis zu 50.000 Euro bewehrt.

Kritik und Ausblick

Die Regulierung der IT-Sicherheit bei Kritischen Infrastrukturen ist unbedingt zu begrüßen. Auch der Ausbau der Kompetenzen des BSI und dessen zentrale Rolle bei der Prävention, Auswertung und Bekämpfung von Angriffen ist sinnvoll.

Leider krankt das Gesetz in mehrfacher Hinsicht an einer bedenklichen Unbestimmtheit. So wird vielen Unternehmen nicht klar sein, ob sie als Betreiber einer „kritischen Infrastruktur“ anzusehen sind oder nicht. Zur Konkretisierung des Anwendungsbereichs ist zwar noch der Erlass einer Rechtsverordnung vorgesehen, dies stößt aber wiederum auf juristische Bedenken mit Blick auf den Parlamentsvorbehalt. Wenig konturiert ist auch der Begriff der „erheblichen Störung“, welche die Meldepflicht auslöst. All dies ist im Vorfeld von Experten bereits kritisiert worden, eine überzeugende Antwort hat der Gesetzgeber aber nicht gefunden. Die Probleme werden damit auf den Gesetzesvollzug und die behördliche und gerichtliche Praxis verschoben.

Mit Spannung darf erwartet werden, welche Maßstäbe das BSI in seiner künftigen Praxis an die IT-Sicherheit anlegt und wie die brachenspezifischen Sicherheitsstandards aussehen werden. Im Zweifel werden Unternehmen, die kritische Infrastrukturen betreiben und dabei bereits heute auf ein angemessenes IT-Sicherheitsniveau achten und ein Informationssicherheits-Managementsystem implementiert haben, nur überschaubaren Anpassungsbedarf haben. Im Vergleich der betroffenen Branchen zeigen sich hier aber bisher erhebliche Unterschiede – auch, weil sie gerade im Bereich des Risikomanagements unterschiedlich stark reguliert sind. Insofern wird das Gesetz zu einer flächendeckenden und notwendige Professionalisierung in der IT-Sicherheit führen. Die Kosten dafür müssen in Kauf genommen werden (in einer Studie zu einem früheren Entwurf ging KMPG von immerhin 1,1 Milliarden Euro pro Jahr aus (PDF)).