Was bringt das neue IT-Sicherheitsgesetz 2.0? Hat die Bundesregierung das zuvor gesteckte Ziel erreicht, die IT-Sicherheit der sogenannten kritischen Infrastrukturen, der Bundesverwaltung und von Verbrauchern besser zu gewährleisten?
Diese Fragen stellen sich derzeit viele Unternehmen. In den vergangenen Wochen gab es darüber viele Diskussionen. In diesem Artikel erfahren Sie die wichtigsten Inhalte und Auswirkungen des im Mai vom Bundesrat gebilligten IT-Sicherheitsgesetz 2.0.
Ziele des neuen IT-Sicherheitsgesetzes 2.0
Cyberangriffe auf kritische Infrastrukturen nehmen stetig zu. Es liegt daher auf der Hand, dass die IT-Sicherheit auch für die Infrastruktur in Deutschland von wesentlicher Bedeutung ist. Der erfolgreiche Angriff auf die Wasseraufbereitungsanlage in Florida ist noch nicht sehr lange her. Hier gelang es durch einen Cyberangriff, die Konzentration von Natriumhydroxid im Trinkwasser drastisch zu erhöhen. Dass dabei nichts schlimmeres passiert ist, war Zufall und ist einem aufmerksamen Mitarbeiter zu verdanken. Ein bekanntes noch jüngeres Beispiel aus Deutschland ist der Trojaner, der das Landratsamt der Kreisverwaltung von Anhalt-Bitterfeld Anfang Juli vollkommen lahmgelegt hat. Hier bat der Lankreis die Bundeswehr um Hilfe, um die dortige IT-Struktur wiederaufzubauen.
Vor diesem Hintergrund soll die Neufassung des Gesetzes eine signifikante Verbesserung der IT-Sicherheit in Deutschland sowie in Unternehmen bewirken. Der Fokus liegt auf dem Schutz kritischer Infrastruktur. Zusätzlich sollen die Bürger von erhöhten Sicherheitsauflagen profitieren. Bundesbehörden wie das Bundesamt für die Sicherheit in der Informationstechnik (BSI) und das Bundeskriminalamt sollen für den Kampf gegen Cyberverbrechen weiter gestärkt werden.
Kritik am neuen IT-Sicherheitsgesetzes 2.0
In Fachkreisen steht das Update des IT-Sicherheitsgesetzes unter scharfer Kritik. Bemängelt werden unter anderem die neuen pro-aktiven Befugnisse des BSI, öffentlich zugängliche Internetdienste und Geräte hacken zu dürfen, um Sicherheitslücken aufzudecken. Diese Befugnisse sind nach vorherrschender Meinung unzureichend gedeckelt.
Nicht hinreichend klare Regelungen und unübersichtliche Wechselwirkungen mit zahlreichen anderen Gesetzen führen bei betroffenen Unternehmen und Einrichtungen zu einer Rechtsunsicherheit. Aus datenschutzrechtlicher Sicht sind die langen Speicherfristen für Protokolldaten problematisch. Das BSI erscheint zudem nicht mehr als unabhängige Behörde, sondern als Unterstützer von Sicherheitsbehörden und Nachrichtendiensten. Begründung findet diese Kritik in den neuen Befugnissen des BSI, im Rahmen von Strafverfolgung die erkannten Sicherheitslücken offenzuhalten und zu verheimlichen. Dies steht der Verpflichtung des BSI entgegen, relevante Informationen über bekannte Schwachstellen öffentlich zu machen und an einer Behebung mitzuwirken.
Positiv hervorzuheben ist, dass zumindest in Teilen vom übermäßigen Einsatz Technischer Richtlinien (TR) abgesehen wurde, um Anforderungen zu konkretisieren. Auf diese Weise können immerhin nationale Alleingänge bei der Bestimmung allgemeingültiger technischer Maßstäbe für den „Stand der Technik“, das IT-Sicherheitskennzeichen und die Herstellererklärung zum Einsatz von kritischen Komponenten weitestgehend ausgeschlossen werden.
Für wen gilt das neue IT-Sicherheitsgesetz 2.0?
Bisher betraf das IT-Sicherheitsgesetz die Unternehmen der sogenannten kritischen Infrastruktur (KRITIS). Diese wurde nun um den Bereich der Siedlungsabfallentsorgung erweitert. Ab bestimmten Schwellenwerten zählen also auch Entsorger zur kritischen Infrastruktur.
Gänzlich neu sind spezielle Pflichten auch für sogenannte „Unternehmen im besonderen öffentlichen Interesse“. Darunter fallen Unternehmen, die nach Ansicht des Gesetzgebers von „erheblicher volkswirtschaftlicher Bedeutung für die Bundesrepublik Deutschland sind oder die für solche Unternehmen als Zulieferer wegen ihrer Alleinstellungsmerkmale von wesentlicher Bedeutung sind“ (§ 2 Abs. 14 S. 1 Nr. 2 BSI-Gesetz neu). Auch Rüstungshersteller fallen mittlerweile darunter.
Damit weitet der Gesetzgeber den Anwendungsbereich deutlich aus. Während sich dieser bisher vor allem an der Zugehörigkeit eines Unternehmens zu einem bestimmten Unternehmenssektor orientierte, betrifft die Regelung nun grundsätzlich alle Unternehmen ab einer bestimmten Wichtigkeit für die deutsche Volkswirtschaft und deren Zulieferer. Auch Unternehmen, die keinem der in § 2 Abs. 10 BSI-Gesetz aufgezählten Sektoren angehören, sollten deshalb sorgfältig prüfen, ob sich für sie aus dem IT-Sicherheitsgesetz 2.0 neue Pflichten ergeben können.
Welche Anforderungen gelten mit dem neuen IT-Sicherheitsgesetz 2.0?
Die inhaltliche Erweiterung des Gesetzes verlangt, dass sich Betreiber kritischer Infrastrukturen unmittelbar beim BSI registrieren. Ab dem 01.05.2023 müssen diese zudem Systeme zur Angriffserkennung einsetzen.
Neu ist der Begriff der „kritischen Komponenten“. Er beschreibt bestimmte IT-Produkte, die entweder für die Funktionsfähigkeit von kritischen Infrastrukturen besonders wichtig sind, oder die öffentliche Sicherheit gefährden können. Vor dem geplanten erstmaligen Einsatz dieser „kritischen Komponenten“ müssen betroffene Unternehmen dies dem Bundesministerium des Innern, für Bau und Heimat anzeigen. Dieser Einsatz kann durch das Bundesministerium für Inneres, Bau und Heimat unter Umständen auch untersagt werden. Denkbar ist dies insbesondere, wenn der Hersteller der Komponente von einem Drittstaat kontrolliert wird oder den sicherheitspolitischen Zielen der Bundesregierung widerspricht. Weitere Gründe könnten falsche Angaben, die Verweigerung von Sicherheitsüberprüfungen und das Verschweigen von IT-Schwachstellen sein. Diese Neuerung diskutierte die Öffentlichkeit unter dem Begriff „Lex Huawei“, insbesondere im Zusammenhang mit dem Ausbau des 5G-Mobilfunk-Netzes.
Kurz zusammengefasst sind die wichtigsten Pflichten:
- Nennung einer Kontaktstelle für die betriebene kritische Infrastruktur
- Meldung von IT-Störungen oder erheblichen Beeinträchtigungen
- Umsetzung der IT-Sicherheit gemäß dem „Stand der Technik“ (Umsetzung internationaler Normen und Standards, wie z.B. ISO 27001; Nachweis der Umsetzung durch Sicherheits- und Notfallkonzepte)
- Dokumentation der vorgenannten Punkte
- Nachweis des Mindestniveaus alle 24 Monate durch Sicherheitsaudits, Prüfungen oder Zertifizierungen und Information des BSI. Der Nachweis kann durch die Umsetzung eines Informationssicherheitsmanagementsystems (Sicherheitsorganisation, IT-Risikomanagement, Identifikation von kritischen Unternehmenswerten, Maßnahmen zur Angriffsprävention- und –erkennung, Business Continuity Management, Berücksichtigung von branchenspezifischen Besonderheiten) erbracht werden.
Welche Änderungen bringt das neue IT-Sicherheitsgesetz 2.0 im Bereich Datenschutz mit sich?
- Das BSI darf künftig Protokolldaten, die beim Betrieb von Kommunikationstechnik des Bundes anfallen, bis zu 18 Monate speichern. Diese können beispielsweise bei der Kommunikation zwischen Bürgern und Behörden anfallen.
- Das BSI kann zudem im Falle einer Störung von Betreibern kritischer Infrastrukturen die Herausgabe notwendiger Informationen verlangen. Dies schließt auch die Herausgabe von personenbezogenen Daten ein.
Steigt mit dem neuen IT-Sicherheitsgesetz 2.0 die Cybersicherheit?
Durch das Gesetz steigen ganz allgemein die Anforderungen an die IT-Sicherheit von Betreibern kritischer Infrastruktur. Diese erhöhten Anforderungen werden das Sicherheitsniveau in Folge erhöhen. Eine absolute Sicherheit wird dadurch jedoch nicht erreicht, da potentielle Angreifer ihre Vorgehensweisen ebenfalls anpassen werden. Darüber hinaus sind IT-Systeme grundsätzlich fehlerbehaftet und es wird immer Sicherheitslücken geben, die ausgenutzt werden können. Allerdings wird wohl die Komplexität steigen, die es ungebetenen Gästen erschwert, solche Lücken zu finden. Die Summe und die Qualität von Cyberangriffen stieg seit der erstmaligen Einführung des IT-Sicherheitsgesetzes 2.0 im Jahr 2015 stetig. Es ist anzunehmen, dass sich diese Entwicklung entsprechend fortsetzt.
Fazit
Grundsätzlich ist die Verbesserung der IT-Sicherheit von kritischer Infrastruktur und Behörden samt dem Schutz von Verbrauchern ein ehrenwertes Ziel. Die langwierigen und ziellos wirkenden politischen Debatten haben hier nur leider wenig erreicht. Im Ergebnis wird die IT-Sicherheit durch das IT-SiG 2.0 wohl nicht wesentlich verbessert. An manchen Stellen wurde durch widersprüchliche Befugnisse und Regelungen sogar eine Verschlechterung der Situation herbeigeführt. Hier bleibt nur zu hoffen, dass die Debatten zum IT-Sicherheitsgesetz 3.0 konstruktiver ausfallen, damit die IT-Sicherheit kritischer Infrastrukturen und von Behörden wenigstens in Zukunft weitreichender geschützt ist. Dank der europäischen NIS-Richtlinie, die Teil der neuen Cybersicherheitsstrategie ist, könnten die Regelungen des neuen IT-Sicherheitsgesetzes 2.0 im Rahmen der Umsetzung von europäischen Richtlinien schon bald wieder überarbeitet werden.
Sie sind nicht sicher, ob Sie von der Neuerung betroffen sind oder Sie möchten Ihre Cybersicherheit erhöhen? Wir unterstützen Sie gerne!
Hilfreiche Links
- Das IT-Sicherheitsgesetz 2.0 leicht verständlich beschrieben im Datenschutzlexikon
- Pflichten für KRITIS-Betreiber – BSI
Dieser Artikel stellt keine Rechtsberatung dar, sondern spiegelt nur unsere Erfahrungen als Datenschutzbeauftragte wieder.
Dieser Artikel erschien ursprünglich am 02.04.2015, die Aktualisierung erfolgte am 20.08.2021.
Verfasser: Julian Häcker & Mareike Fischer
Bildquelle:
Bild von Darwin Laganzon auf Pixabay