D
Foto: thinkstock/IkonStudio

Schattenseiten der Digitalisierung

von Dr. Theresa Ehlen

Zu Beginn dieses Monats veröffentlichte das Innenministerium einen Verordnungsentwurf zur Definition sogenannter "kritischer Infrastrukturen". Der Entwurf wurde an die Länder und Verbände zur Stellungnahme übermittelt. Für Anfang März ist eine Anhörung der Verbände geplant.

Mit der Verordnung soll konkretisiert werden, welche Unternehmen vom IT-Sicherheitsgesetz betroffen sind; das Gesetz selbst beließ es insoweit bei abstrakten Beschreibungen. Damit steht die Verordnung am Ende einer Reihe von Maßnahmen der Bundesregierung, welche die Sicherheit unserer Infrastruktur in Zeiten zunehmender Digitalisierung gewährleisten sollen.

Während die Bundesregierung die Digitalisierung im Rahmen der im Sommer 2014 veröffentlichten "Digitalen Agenda" zur Stärkung des Standorts Deutschland zügig vorantreiben möchte, mehren sich gleichzeitig Schreckensmeldungen über die Anfälligkeit wichtiger digitalisierter Infrastrukturen für Hackerangriffe. Knapp zwei Drittel aller deutschen Unternehmen sind bereits Opfer von Hackerangriffen gewesen. Auch wenn es sich um ein nahezu flächendeckendes Phänomen handelt, sind doch bestimmte Sektoren besonders im Fokus: So sollen Hacker zuletzt die Kontrollzentren einiger US-amerikanischer Energieversorger zumindest teilweise unter ihre Kontrolle gebracht haben. Sicherheitstests zeigen, dass auch deutsche Stromversorger vor solchen Angriffen nicht gefeit sind.

Der Umgang mit solchen Szenarien war deshalb von Beginn an Bestandteil der digitalen Agenda. Im Sommer vergangenen Jahres wurde dann mit dem IT-Sicherheitsgesetz eine Regelung getroffen, um die Sicherheit der Infrastrukturen zu erhöhen, die für das Funktionieren des Gemeinwesens zentral sind (sogenannte "kritische Infrastrukturen"). Der Verordnungsentwurf konkretisiert diesen Begriff nun für bestimmte Sektoren und grenzt  damit zugleich den Kreis der Betroffenen ein.

Das IT-Sicherheitsgesetz

Das IT-Sicherheitsgesetz sieht im Wesentlichen drei Maßnahmen vor.

  • Erstens müssen Betreiber kritischer Infrastrukturen einen Mindeststandard an IT-Sicherheit einhalten. Branchenverbände können Vorschläge für solche Standards vorbereiten, die auf Antrag vom Bundesamt für Sicherheit in der Informationstechnik (BSI) bestätigt werden.
  • Zweitens sollen die Betreiber verpflichtet sein, erhebliche IT-Sicherheitsvorfälle an das BSI zu melden.
  • Umgekehrt sind sie, drittens, aber auch zu privilegierter Beratung und Information durch das BSI berechtigt. Unter anderem können die Betreiber so von den Informationen und dem Know-how, die durch die Meldungen anderer Betreiber entstehen, profitieren.

Daneben enthält das IT-Sicherheitsgesetz ähnliche Verpflichtungen für Telekommunikations- und Telemediendiensteanbieter, Energienetz- und Kraftwerksbetreiber sowie für Betreiber von Atomkraftwerken und sieht Änderungen der entsprechenden Gesetze vor.

Die Regelungen der Verordnung

Während das IT-Sicherheitsgesetz kritische Infrastrukturen lediglich abstrakt beschreibt und die Zugehörigkeit zu einem bestimmten Sektor sowie eine hohe Bedeutung für das Funktionieren des Gemeinwesens fordert, lässt der Entwurf der Verordnung zum ersten Mal konkret auf die Betroffenen schließen. In seiner derzeitigen Fassung betrifft der Entwurf die Sektoren Energie, Wasser, Informationstechnik und Telekommunikation sowie Ernährung; der "zweite Korb" der Sektoren (Transport und Verkehr, Gesundheit sowie Finanz- und Versicherungswesen) soll bis Ende des Jahres folgen.

Die Konkretisierung des Begriffs "kritische Infrastrukturen" erfolgt dreischrittig: Zunächst werden sektorweise bestimmte Dienstleistungen mit besonderer Bedeutung für das Gemeinwesen festgelegt. Dazu gehört zum Beispiel die Versorgung mit Strom, Gas und Trinkwasser im Sektor Energie. Sodann werden Anlagenkategorien bestimmt, die zur Erbringung dieser Dienstleistungen erforderlich sind. Im Bereich Strom sind dies zum Beispiel alle Anlagen, die der Erzeugung von Strom, der Belieferung von Kunden oder dem Betrieb der Versorgungsnetze dienen.

Die Anlagen werden aber erst als kritisch eingeordnet, wenn sie eine bestimmte Größe erreichen, die mittels eines Schwellenwerts bestimmt wird. Danach sind Anlagen kritisch, wenn mindestens 500.000 Einwohner von ihrem Ausfall betroffen wären. Das Innenministerium geht davon aus, dass dies ein Schwellenwert ist, ab dem ein Ausfall der Dienstleistung nicht mehr über Notfallkapazitäten aufgefangen werden kann und daher zu erheblichen Versorgungsengpässen oder Gefährdungen für die öffentliche Sicherheit führen würde. Um im Sektor Energie zu bleiben: Im Bereich der Stromerzeugung bedeutet dies zum Beispiel, dass alle Erzeugungsanlagen mit einer Leistung von mehr als 420 Megawatt als kritisch eingestuft werden. Das sind vor allem Braunkohle- und größere Steinkohlekraftwerke.

Mit den Schwellenwerten, die dem Entwurf in seiner jetzigen Form zugrunde gelegt sind, geht das Innenministerium für diesen "ersten Korb" von 650 betroffenen Anlagen aus. Die Betreiber würden ab Inkrafttreten der Verordnung zwei Jahre Zeit haben, die geforderten Sicherheitsstandards umzusetzen. Danach müssten sie die Einhaltung der Standards alle zwei Jahre nachweisen. Die Pflicht zur Meldung von erheblichen IT-Sicherheitsvorfällen entsteht schon mit Erlass der Verordnung (allerdings mit einer Übergangsfrist von sechs Monaten).

Den für die Wirtschaft zu erwartenden Erfüllungsaufwand beziffert das Innenministerium für die Erfüllung der Meldepflichten auf jährlich drei Millionen Euro. Pro Meldung werden dabei – wie schon im IT-Sicherheitsgesetz – Bearbeitungskosten in Höhe von ca. 660 Euro veranschlagt, wobei davon ausgegangen wird, dass pro Anlage (im IT-Sicherheitsgesetz wurde hier noch auf die Betreiber abgestellt) nicht mehr als sieben Meldungen pro Jahr erfolgen.

Einordnung und Stellungnahme

Die Maßnahmen der Bundesregierung sollen Deutschland als sicheren Wirtschaftsstandort etablieren; ein Plan, der auch EU-weit im Rahmen einer Strategie für Cybersicherheit verfolgt wird: Im Dezember 2015 einigten sich Parlament und Rat nach langen Verhandlungen auf einen Vorschlag für eine Richtlinie zur Cybersicherheit, die im Frühjahr dieses Jahres verabschiedet werden soll. Sie soll europaweit einheitliche Sicherheitsstandards etablieren und sieht ebenfalls Meldepflichten vor. Durch die Richtlinie könnte sich auch Änderungsbedarf für die deutschen Maßnahmen ergeben, jedoch wird dieser eher als gering eingeschätzt, da sich die Regelungen strukturell sehr ähnlich sind.

Die Reaktionen auf die Regelungen des IT-Sicherheitsgesetzes fielen gemischt aus. Zwar war die Notwendigkeit einer solchen Regelung unbestritten, gleichwohl wurde von verschiedenen Seiten Kritik an der Ausgestaltung geäußert.

So beklagte der Bund deutscher Industrieller hohe Bürokratiekosten und befürchtete darüber hinaus Rufschädigungen, wenn Meldungen von Sicherheitsvorfällen öffentlich würden. Der Verband der Internetwirtschaft Eco bezweifelt unter anderem den Mehrwert der Meldepflichten. Weiterhin wurden datenschutzrechtliche Bedenken geäußert, da im Rahmen der Telekommunikation Nutzerdaten zur Bekämpfung von Sicherheitslücken erhoben und ausgewertet werden dürften. Der Verband Bitkom kritisierte die Unbestimmtheit des Begriffs der kritischen Infrastrukturen.

Zumindest diesen Bedenken dürfte das Innenministerium mit seinem Verordnungsentwurf nun begegnet sein. Auch im Rahmen der Meldepflichten wurde versucht, verhältnismäßige Regelungen zu finden. So sollen grundsätzlich anonymisierte Meldungen zulässig sein, solange die Funktionsfähigkeit der kritischen Infrastruktur nicht tatsächlich beeinträchtigt oder ausgefallen ist.

Die Reaktionen auf den Verordnungsentwurf bleiben abzuwarten. Jedoch ist davon auszugehen, dass bis zum letzten Moment um die Höhe der Schwellenwerte gefeilscht werden wird.

Zudem dürfte bereits jetzt abzusehen sein, dass der in der Verordnung genannte erwartete Erfüllungsaufwand für die Wirtschaft den tatsächlichen Erfüllungsaufwand nur unzureichend widerspiegelt. In der Verordnung wird bis dato ausschließlich der Erfüllungsaufwand in Bezug auf die Meldepflichten genannt. Nicht adressiert werden die Kosten für die Entwicklung und Implementierung der für die Erfüllung der Meldepflichten erforderlichen Prozesse oder die Kosten, die für die Umsetzung der Sicherheitsstandards anfallen werden. Gerade diese Kosten dürften einen erheblichen Anteil des Gesamtaufwands darstellen.

Darüber hinaus stellt sich angesichts der Meldepflichten, die bereits bei potenziellen Beeinträchtigungen der Funktionsfähigkeit ausgelöst werden, der hohen und stetig wachsenden Anzahl an Cyberangriffen sowie des Umstands, dass gerade die vom IT-Sicherheitsgesetz erfassten Unternehmen ganz besonders im Fokus von Angreifern stehen dürften, die Frage, ob die Annahme von maximal sieben Meldungen im Jahr realistisch ist.

Dr. Theresa Ehlen
Das "Gesetz des Monats" wird von der internationalen Rechtsanwaltssozietät Freshfields Bruckhaus Deringer vorgestellt. Ansprechpartner: Dr. Thomas Voland, LL.M., Freshfields Bruckhaus Deringer, Berlin (Foto. privat)