04. November 2020

Referentenentwurf für das IT-Sicherheitsgesetz 2.0: Verbraucherschutz und neue Unternehmenspflichten

Update-Hinweis: Seit dem 19. November 2020 liegt ein aktualisierter Referentenentwurf eines Zweiten Gesetzes zur Erhöhung der Sicherheit informationstechnischer Systeme (Zweites IT-Sicherheitsgesetz – IT-SiG 2.0) vor. 


Mit dem aktuellen Referentenentwurf für ein IT-Sicherheitsgesetz 2.0 sollen insbesondere die Befugnisse des Bundesamts für Sicherheit in der Informationstechnik (BSI) erheblich ausgebaut werden. In diesem Zusammenhang soll es auch ein Sicherheitskennzeichen für IT-Produkte geben. Neben erweiterten Pflichten für Betreiber Kritischer Infrastrukturen (KRITIS) ist auch vorgesehen, dass eine neue Gruppe an Unternehmen vom Anwendungsbereich des Gesetzes erfasst wird – sogenannte Unternehmen im öffentlichen Interesse. Nach den Regelungen des aktuellen Entwurfs müssten sich somit eine größere Anzahl an Unternehmen auf IT-sicherheitsrechtliche Vorgaben einstellen. Darüber hinaus sind auch für Telekommunikations- und Telemedienanbieter neue Vorgaben geplant.

Den Entwurf, der sowohl Zuspruch als auch Kritik erhalten hat, haben wir hier für Sie zusammengefasst. Aktuell wird mit einer Befassung des IT-Sicherheitsgesetzes 2.0 im Bundestag erst gegen Ende des Jahres gerechnet. Es bleibt insofern abzuwarten, wann und mit welchen Inhalten es tatsächlich zu einer Verabschiedung kommen wird.

Meldepflicht und Untersagung im Rahmen kritischer Komponenten

Erweiterte Anforderungen stellt der Entwurf an Betreiber kritischer Infrastrukturen (KRITIS-Betreiber) im Zusammenhang mit dem Einsatz „Kritischer Komponenten“, ein in § 2 Abs. 13 BSIG-E neu definierter Begriff. Solche sind IT-Produkte, die „in Kritischen Infrastrukturen eingesetzt werden und die von hoher Bedeutung für das Funktionieren des Gemeinwesens sind, weil Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit zu einem Ausfall oder zu einer erheblichen Beeinträchtigung der Funktionsfähigkeit Kritischer Infrastrukturen oder zu Gefährdungen für die öffentliche Sicherheit führen können“. Diese auf den ersten Blick vielleicht umständliche Formulierung ist recht offengehalten, sodass eine Vielzahl der Komponenten, die KRITIS-Betreiber für ihre IT-Infrastruktur einsetzen, davon erfasst sein dürften. Näheren Aufschluss darüber geben der Katalog von Sicherheitsanforderungen nach § 109 Abs. 6 TKG sowie ein weiterer Katalog, der noch vom BSI veröffentlicht werden soll.

Für den Einsatz dieser Kritischen Komponenten soll es eine Meldepflicht geben (§ 8a Abs. 3 S. 4 BSIG-E). Betreiber müssen demnach eine Liste aller IT-Produkte, die als Kritische Komponenten einzustufen sind, anfertigen und an das BSI übermitteln. Somit laufen wichtige Informationen über den Einsatz von Komponenten von einer Vielzahl von Unternehmen beim BSI als zentrale Stelle zusammen. Kritische Stimmen befürchten Analysen und Weitergaben dieser Informationen, zumal das BSI weiterhin eine dem Bundesinnenministerium nachgeordnete Behörde bleiben soll – viele Experten hatten ein vom Ministerium unabhängiges BSI gefordert.

Festgelegt ist in Bezug auf die Meldepflicht der Zweck, die IT-Sicherheit Kritischer Infrastrukturen zu sichern. Für Komponenten, für die eine gesetzlich vorgeschriebene Zertifizierung notwendig ist, müssen Betreiber zudem darauf achten, diese nur von „vertrauenswürdigen Herstellern“ zu beziehen: Der Betreiber muss vom Hersteller eine Garantieerklärung einholen, worauf anschließend die Vertrauenswürdigkeit geprüft wird. Sollte der Hersteller sich als nicht vertrauenswürdig herausstellen, kann die Nutzung seiner Komponenten untersagt werden (vgl. § 9b BSIG-E).

Pflichten für Unternehmen im öffentlichen Interesse

Gemäß dem Referentenentwurf soll über die Betreiber Kritischer Infrastrukturen hinaus eine neue Kategorie von „Unternehmen im besonderen öffentlichen Interesse“ aufgenommen werden. Gemäß § 2 Abs. 14 BSIG-E gibt es zur Einordnung in diese Kategorie drei Gruppen:

  1. Unternehmen nach § 60 Abs. 1 Nr. 1 bis 5 der Außenwirtschaftsverordnung (AWV), worunter aktuell Rüstungs-, Raumfahrt und IT-Sicherheitsunternehmen fallen.
  2. Unternehmen, „die aufgrund ihrer volkswirtschaftlichen Bedeutung und insbesondere ihrer erbrachten Wertschöpfung von besonderem öffentlichen Interesse sind“. Diese werden wie die anderen erst in einer Rechtsverordnung konkretisiert, die noch folgen wird.
  3. Unternehmen, die durch die Verordnung zum Schutz vor Gefahrstoffen reguliert werden, also insbesondere Chemieunternehmen.

Für Unternehmen, die in eine dieser Gruppen fallen, sollen nun erhöhte Anforderungen gelten, wenn auch geringere als an KRITIS-Betreiber. So müssen Unternehmen aus den Gruppen 1 und 2 gemäß § 8f BSIG-E dem BSI unter anderem mindestens alle zwei Jahre ein IT-Sicherheitskonzept vorlegen, aus dem hervorgeht, (1) welche informationstechnischen Systeme, Komponenten und Prozesse für die Wertschöpfung maßgeblich sind, (2) welche technischen und organisatorischen Vorkehrungen gegen Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit dieser vorgenommen werden, und (3) inwieweit dabei der aktuelle Stand der Technik eingehalten wurde. Unternehmen der Gruppe 3 sind hiervon ausgenommen, sofern sie nicht zugleich auch in eine andere Gruppe fallen.

Schließlich treffen nach § 8b Abs. 4a, 4b BSIG-E Unternehmen im öffentlichen Interesse Meldepflichten gegenüber dem BSI bei bestimmten Störfällen der IT-Systeme, -komponenten oder -prozesse. Bei Chemieunternehmen gilt die Besonderheit, dass es vor allem um Störungen geht, aus der sich Gefahren für die öffentliche Sicherheit und Ordnung ergeben haben oder ergeben können.

Ausbau der Befugnisse des BSI

Kritik am Gesetzesentwurf entzündet sich unter anderem an dem geplanten Ausbau des BSI. Tatsächlich werden laut Entwurf allein für das BSI 583 neue Planstellen und Kosten von knapp 50 Mio. EUR pro Jahr veranschlagt. Bei aller Kritik ist aber festzuhalten, dass sich der Ausbau auf Verbraucherschutz und auf die Gefahrenabwehr im digitalen Raum bezieht. Vor dem Hintergrund, dass sich die Schäden durch Cyberangriffe konstant erhöhen, bereits auf 100 Mrd. EUR im Jahr beziffern und immer wieder Fälle von Cyberattacken auf Unternehmen oder politische Institutionen in die Medien kommen, muss man dies nicht nur kritisch sehen. So stellt nach dem Entwurf (vgl. § 5c BSIG-E) das BSI bei erheblichen Störungen auf IT-Systeme, also im Krisenfall für besonders wichtige Unternehmen oder Kritische Infrastrukturen, einen Gesamtplan für Reaktionsmaßnahmen auf und kann Daten übermitteln, notwendige Informationen von Unternehmen herausverlangen und Reaktionsmaßnahmen anordnen.

Ebenfalls eine weitreichende Befugnis ist die vorgesehene Durchsuchungsmöglichkeit öffentlich erreichbarer IT-Systeme zum Auffinden von Schadprogrammen, Sicherheitslücken und sonstigen Sicherheitsrisiken. Entsprechende Scans können nach § 7b BSIG-E auf allen Geräten, auf die über eine Internetverbindung zugegriffen werden kann, durchgeführt werden. Damit können alle möglichen Endgeräte von Verbrauchern genauso erfasst werden wie komplexe Geräte in Unternehmen. Auch wenn die Übermittlung von Informationen, die dem Fernmeldegeheimnis unterliegen, eingeschränkt ist, können sie doch in bestimmten Fällen an Strafverfolgungsbehörden und Nachrichtendienste übermittelt werden.

Schließlich darf das BSI nach dem Entwurf alle Arten von IT-Produkten und Systemen, die auf dem Markt angeboten werden oder auch nur dafür vorgesehen sind, untersuchen (vgl. § 7a BSIG-E), um seine Aufgaben zu erfüllen. Das BSI kann von den jeweiligen Unternehmen dazu notwendige Informationen, insbesondere zu technischen Details, anfordern und eine Nichtbeachtung mit Bußgeldern sanktionieren. Die Informationen können, wenn notwendig, auch an andere Behörden weitergegeben oder veröffentlicht werden.

Neue Vorgaben für Telekommunikations- und Telemedienanbieter

Neben den Veränderungen des BSIG sollen auch das Telemedien- (TMG) und das Telekommunikationsgesetz (TKG) überarbeitet werden. Auf jeweilige Anbieter kommen mit dem Entwurf Aufgaben im Rahmen der allgemeinen Cyberabwehr, bei laufenden und abgeschlossenen Angriffen zu. Anbieter sollen hier das BSI und andere Sicherheitsbehörden wie das BKA unterstützen. Die Mehrheit der Unternehmen, die im Internet Waren oder Dienstleistungen anbieten, müssten damit jederzeit auf entsprechende Vorgaben des BSI gefasst sein.

Für Telemedienanbieter kann nach dem neuen § 13 Abs. 7a TMG-E das BSI in begründeten Ausnahmefällen technische und organisatorische Maßnahmen anordnen, um etwa den Schutz personenbezogener Daten sicherzustellen, wenn so „eine konkrete Gefahr für Datenverarbeitungssysteme einer Vielzahl von Nutzern durch unzureichend gesicherte Telemedienangebote beseitigt werden kann“. Bestehen also beispielsweise Gefahren für das System eines Onlineshops durch Schadsoftware, kann das BSI dem Unternehmen entsprechende Maßnahmen vorschreiben. Allerdings ist hier zu beachten, dass es sich nicht um eine verbraucherschutzrechtliche Vorschrift handelt. Die Regelung gilt nur für den Schutz Kritischer Infrastrukturen und solcher des Bundes. Darüber hinaus besagt § 15b TMG-E, insbesondere als Konsequenz aus der Verbreitung gestohlener Daten verschiedener Politiker Ende 2018, dass, sobald ein Anbieter die unrechtmäßige Kenntniserlangung oder Verbreitung personenbezogener Daten oder Geschäftsgeheimnisse feststellt, er dies unverzüglich dem BKA melden muss. Das aber nur, wenn davon auszugehen ist, dass eine große Anzahl von Personen oder ein großer Datenbestand betroffen ist, Gefahren für Leib, Leben oder Freiheit angenommen werden oder wenn fremde Geheimnisse, vor allem Geschäftsgeheimnisse, die von einer amtlichen Stelle geheim gehalten werden, betroffen sind.

Für Telekommunikationsanbieter ist der neue § 109a Abs. 8 TKG-E vergleichbar. Ebenfalls zum Schutz der Kommunikationstechnik des Bundes, Kritischer Infrastrukturen, solcher im öffentlichen Interesse kann das BSI Maßnahmen wie die Bereinigung betroffener Datenverarbeitungssysteme von Schadprogrammen anordnen. Zudem müssen Anbieter in bestimmten Fällen und in geringerem Maße als Telemedienanbieter bei unrechtmäßiger Übermittlung oder Kenntniserlangung von Daten durch Dritte unverzüglich das BKA informieren (vgl. § 109a Abs. 1a TKG-E).

Das IT-Sicherheitskennzeichen

Zur Umsetzung des in § 3 Abs. 1 S. 2 Nr. 14 BSIG-E neu formulierten Ziels, öffentliche Stellen sowie Hersteller, Vertreiber und Anwender bezüglich der IT-Sicherheit zu beraten, zu informieren und zu warnen, soll das BSI in Zukunft ein freiwilliges IT-Sicherheitskennzeichen vergeben. Dieses Kennzeichen ist für Verbraucherprodukte und Dienstleistungen im IT-Bereich gedacht und soll deren IT-Sicherheit verständlich, transparent, einheitlich und aktuell darstellen. Es soll dafür aus zwei Komponenten bestehen:

  • Einer Herstellererklärung, in welcher der Hersteller das Vorliegen bestimmter IT-Sicherheitseigenschaften des Produkts für zutreffend erklärt. Für die Richtigkeit dieser Angaben ist allein der Hersteller verantwortlich und haftbar.
  • Einer Sicherheitserklärung des BSI, welche weiterführende Informationen zu den Sicherheitseigenschaften enthält, zu denen der Verbraucher über einen QR-Code gelangen kann. Diese Eigenschaften können sich aus Technischen Richtlinien des BSI oder branchenspezifischen Vorgaben ergeben, die das BSI für geeignet hält. Details werden in einer Rechtsverordnung geregelt.

Hersteller, die ihr Produkt mit einem IT-Sicherheitskennzeichen versehen möchten, müssen einen entsprechenden Antrag auf Nutzungsfreigabe beim BSI einreichen. Anhand eingereichter Herstellerdokumente wird daraufhin eine Plausibilitätsprüfung durchgeführt. Produkte, die ein Kennzeichen erhalten haben, überprüft das BSI regelmäßig auf ihre IT-Sicherheit. Die Ergebnisse sollen anschließend online und öffentlich zugänglich bereitgestellt werden. Der Begriff des Gütesiegels wird hier nicht mehr verwendet, da die Voraussetzungen dafür nicht gegeben sind. Während ein Gütesiegel die Prüfung objektiver Kriterien für die IT-Sicherheit durch eine unabhängige Stelle beschreibt, handelt es sich beim Sicherheitskennzeichen um eine freiwillige Selbstauskunft durch den Hersteller. Im Entwurf wird der Verzicht auf ein Siegel unter anderem damit begründet, da dieses nicht mehr als eine Momentaufnahme sein könne. Bei Sicherheitslücken eines Produkts, für das einmal ein Siegel vergeben wurde, würde das Vertrauen in das Instrument grundsätzlich in Frage gestellt. Dass das IT-Sicherheitskennzeichen nicht verpflichtend ist, liegt nach dem Entwurf daran, dass dies EU-rechtswidrig wäre. Daher setzt der Entwurf auf Freiwilligkeit und auf den Anreiz für Unternehmen, mit einem IT-Sicherheitskennzeichen Vertrauen bei den Kunden für die IT-Sicherheit ihrer Produkte zu schaffen.

Bußgelder deutlich erhöht

Besonders wichtig für Unternehmen: Die bisherige Höchstgrenze für Bußgelder lag bislang bei 100.000 EUR. Mit dem neuen Entwurf würde eine Anpassung an die Regelung der DSGVO erfolgen: Der geplante § 14 Abs. 2 ermöglicht Bußgelder in Höhe von bis zu 20 Mio. EUR oder bis zu 4 % des gesamten weltweit erzielten jährlichen Unternehmensumsatzes des vorangegangenen Geschäftsjahres, je nachdem, welcher der Beträge der höhere ist. Sie können wegen fehlender Mitwirkung bei der Beseitigung von Störungen, Mängeln beim Sicherheitskonzept oder auch für ein nicht rechtmäßig verwendetes IT-Sicherheitskennzeichen verhängt werden.

Fazit

Mit dem Anstieg digitaler Lösungen und Vernetzungen und den damit verbundenen Bedrohungen durch Cyberkriminalität, ist ein Ausbau des BSI mit Sicherheit ein begrüßenswerter Schritt. Die Behörde sollte in der Lage sein, ihre Aufgaben in dieser Hinsicht umfassender wahrnehmen zu können. Auch der Ausbau des Verbraucherschutzes erscheint als konsequenter Schritt. Denn das BSI betont, wie ein zunehmend digitalerer Alltag die Sicherheitsrisiken erhöht. Insofern erscheint es sinnvoll, bereits die Produkte möglichst sicher zu gestalten. Das freiwillige IT-Sicherheitskennzeichen könnte hierbei ebenfalls eine wichtige Rolle spielen. Für die vom Gesetzesentwurf erfassten Unternehmen ist vor allem der drastisch erhöhte Bußgeldrahmen wichtig. Zur Absicherung ihrer kritischen und systemrelevanten Prozesse sollten diese deswegen frühzeitig ein Information Security Management System (ISMS) inklusive Notfallplanung einführen und fortlaufend optimieren.

Newsletter

Bleiben Sie immer up to date in Sachen Datenschutz!