Foto: Getty Images/metamorworks
D
Foto: Getty Images/metamorworks

Nächster Versuch – BMI legt neuen Entwurf des IT SiG 2.0 vor

von Thomas Voland und Philipp Büsch

Bereits im Frühjahr 2019 hatte das Bundesministerium des Innern, für Bau und Heimat (BMI) den ersten "Entwurf eines Zweiten Gesetzes zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz 2.0 – IT SiG 2.0)" vorgelegt. Unter anderem als Reaktion auf den Doxxing-Skandal, in dessen Rahmen personenbezogene Daten von Hunderten Politikerinnen und Politikern erlangt und veröffentlicht wurden, sah der Entwurf weitreichende neue Eingriffsbefugnisse des Bundesamts für Sicherheit in der Informationstechnik (BSI) vor. Erklärtes Ziel der Novellierung war es, den Staat, die Wirtschaft und die Gesellschaft wirksam vor den neuen Gefahren des Internets zu schützen.

Nach zum Teil heftiger Kritik von zivilgesellschaftlichen Verbänden, Wirtschaftsunternehmen und auch dem Bundesministerium der Justiz und für Verbraucherschutz (BMJV) wurde der Entwurf jedoch einstweilen zurückgezogen und die erneute Veröffentlichung mehrfach verschoben. Neben einem interministeriellen Kompetenzgerangel um die Zuständigkeit für den Erlass von Strafvorschriften war Hauptstreitpunkt in der Großen Koalition vor allem der Umgang mit chinesischen Herstellern von Soft- und Hardwareprodukten, insbesondere für den Ausbau der 5G-Infrastruktur. Nach dem Willen der CDU-/CSU-Fraktion soll die Bundesregierung das Recht haben, solche Anbieter auszuschließen, ohne jedoch zum Handeln verpflichtet zu sein.

Dementsprechend weist der Mitte Mai veröffentlichte zweite Entwurf des IT SiG 2.0 im Vergleich zum ersten Entwurf vor allem Neuerungen zum Umgang mit kritischen Komponenten von Infrastrukturen auf. Ferner sind Änderungen im Hinblick auf die Strafvorschriften erfolgt. Viele andere Regelungen entsprechen hingegen im Wesentlichen noch dem ursprünglichen Text aus dem letzten Jahr.

Veränderte Anforderungen an Hersteller von "kritischen Komponenten"

Der ursprüngliche Entwurf des IT SiG 2.0 sah vor, dass Hersteller von KRITIS-Kernkomponenten gegenüber den jeweiligen Betreibern der kritischen Infrastrukturen eine Vertrauenserklärung abgeben müssen, in welcher sie sich zur Wahrung der Vertraulichkeit und Sicherheit ihrer Systeme verpflichten. Die neue Fassung geht insofern jedoch weiter und verfolgt einen zweigliedrigen Ansatz.

Zum einen verlangt sie, dass sicherheitsrelevante Netz- und Systemkomponenten, die kritische Funktionen erfüllen (sogenannte kritische Komponenten), nur zum Einsatz kommen, wenn sie von anerkannten Stellen überprüft und zertifiziert wurden. Dabei soll die Bundesnetzagentur gemeinsam mit dem Bundesamt für Sicherheit in der Informationstechnik und dem Bundesdatenschutzbeauftragten festlegen, welche Funktionen eines Netzes oder Dienstes als kritisch einzustufen sind. Ausgehend davon müssen dann die Betreiber der Telekommunikationsnetze und die Anbieter von Telekommunikationsdienstleistungen ableiten, ob eine bestimmte Komponente eine kritische Funktion erfüllt und folglich der Zertifizierungspflicht unterfällt.

Zum anderen dürfen nur kritische Komponenten von Herstellern eingesetzt werden, die eine Erklärung über ihre Vertrauenswürdigkeit gegenüber dem Betreiber eines 5G-Netzes abgegeben haben (sogenannte Garantieerklärung). Das BMI soll die Mindestanforderungen für die Garantieerklärung erarbeiten und dabei insbesondere sicherheitspolitische Belange berücksichtigen. Ein Hersteller gilt dann nicht als vertrauenswürdig, wenn (i) er gegen Verpflichtungen und Versicherungen verstößt, die er in der Garantieerklärung eingegangen ist, (ii) die von ihm angegebenen Tatsachen unwahr sind, (iii) er Sicherheitsüberprüfungen seiner Produkte nicht unterstützt, (iv) er Schwachstellen nicht meldet oder nicht beseitigt oder (v) die kritische Komponente über technischen Eigenschaften verfügt, die geeignet sind, missbräuchlich auf die Sicherheit, Integrität, Verfügbarkeit oder Funktionsfähigkeit der 5G-Infrastruktur (etwa in Gestalt von Sabotage, Spionage oder Terrorismus) einzuwirken. Das BMI kann den Einbau und die weitere Nutzung von kritischen Komponenten nicht vertrauenswürdiger Hersteller untersagen.

Dadurch erhält das BMI im Einklang mit dem Beschluss der Unionsfraktion die Möglichkeit, in Fällen des Missbrauchs gegen bestimmte Hersteller vorzugehen. In diesem Sinne sieht der Entwurf auch vor, dass Betreibern von kritischer Infrastruktur bei wiederholten Verstößen der Einsatz aller kritischen Komponenten des vertrauensunwürdigen Herstellers untersagt werden kann.

Erweiterte Kompetenzen des BSI

Auch der neue Entwurf hält trotz verbreiteter Kritik an den Kompetenzerweiterungen des BSI weitestgehend fest. Im Zentrum steht dabei weiterhin, dass das BSI schlagfertiger im Kampf gegen Botnetzangriffe werden soll. Hierfür soll ihm ungeachtet der Einwände von Netzaktivistinnen und -aktivisten die Möglichkeit eingeräumt werden, auch gegenüber Telekommunikationsprovidern Anordnungen zu treffen. Letztere sollen etwa im Falle von Störungen Software-Updates auf den betroffenen Geräten durchführen können. Aus diesen Befugnissen, die einen Zugriff auf Endnutzergeräte ermöglichen, könnten massive Grundrechtsverletzungen erwachsen.

Darüber hinaus soll das BSI berechtigt sein, IT-Produkte zu untersuchen, die daraus gewonnenen Erkenntnisse gegebenenfalls weiterzugeben und zu veröffentlichen und sogar Warnungen auszusprechen, falls es Kenntnisse über Sicherheitslücken allein oder durch Whistleblower erlangt. In diesem Zusammenhang wird das BSI zudem ermächtigt, sicherheitstechnische Anforderungen an IT-Produkte zu entwickeln. Schließlich soll das BSI als nationale Behörde die Aufgaben für die Cybersicherheitszertifizierung nach dem inzwischen verabschiedeten und in Kraft getretenen EU Cybersecurity Act wahrnehmen.

Damit das BSI seine neuen Befugnisse auch effektiv wahrnehmen kann, soll es zusätzlich zu den bereits vorhandenen 1.300 Stellen 580 neue erhalten.

Ausweitung der IT-Sicherheitspflichten

Auch der neue Entwurf des IT SiG 2.0 sieht weiterhin vor, dass künftig noch mehr Unternehmen in den Pflichtenkreis des Gesetzes über das Bundesamt für Sicherheit in der Informationstechnik (BSIG) fallen. Dazu gehören zunächst, wie auch schon nach der bisherigen Rechtslage, die Betreiber von kritischen Infrastrukturen. Diese müssen künftig Systeme zur Angriffserkennung einrichten. Darüber hinaus erfasst der erneute Gesetzentwurf zwar weiterhin Unternehmen im besonderen öffentlichen Interesse. Abweichend vom ersten Entwurf werden aber Medien- und Kulturunternehmen nicht mehr als solche angesehen. Im Fokus stehen stattdessen Rüstungshersteller, Gefahrstoffproduzenten sowie Hersteller von IT-Produkten für die Verarbeitung staatlicher Verschlusssachen. Das BMI kann die Unternehmen im besonderen öffentlichen Interesse und die Betreiber kritischer Infrastrukturen per Verordnung näher bestimmen.

Drakonische Bußgelder

Während die strafrechtlichen Vorschriften aus dem neuen Entwurf des IT SiG 2.0 aufgrund des Kompetenzgerangels zwischen BMJV und BMI weichen mussten, sollen die Verschärfungen hinsichtlich der Ordnungswidrigkeiten bestehen bleiben.

Diese sehen eine massive Erhöhung der möglichen Bußgeldzahlungen vor. Im Einklang mit der Bußgeldbemessung im Datenschutzrecht führen die meisten Verstöße gegen die durch das BSIG auferlegten Pflichten zu Bußgeldern von bis zu zwei Prozent des globalen jährlichen Unternehmensumsatzes oder bis zu zehn Millionen Euro. Verstöße gegen bestimmte vollziehbare Anordnungen können sogar mit Bußgeldern von bis zu 20 Millionen oder bis zu vier Prozent des globalen jährlichen Unternehmensumsatzes belegt werden. Dabei gilt jeweils der höhere Betrag. Unternehmen sind allein aufgrund dieser potenziellen Bußgeldhöhen gut beraten, die für sie geltenden Anforderungen aus dem IT SiG 2.0 zu identifizieren und zu beachten.

Fazit und Ausblick

Auch der überarbeitete Entwurf aus dem Hause Seehofer richtet weiterhin den Fokus auf den Schutz vor schadhaften IT-Produkten sowie von Informationstechnik. Der (vorläufige) Verzicht auf die Einführung neuer Straftatbestände, wie des digitalen Hausfriedensbruchs, deren Verfassungsmäßigkeit aufgrund ihrer extensiven Formulierung zumindest fragwürdig gewesen wäre, ändert daran nichts.

Aufgrund von Corona-bedingten Verzögerungen wird mit einer Abstimmung im Bundestag erst gegen Ende des Jahres gerechnet. Es bleibt abzuwarten, ob, wann und vor allem mit welchem Inhalt es tatsächlich zu einer Verabschiedung des IT SiG 2.0 kommen wird. Der zweite Reformversuch des IT-Sicherheitsrechts bietet jedenfalls weiterhin Anlass für intensive Diskussionen, insbesondere in Hinblick auf eine Neujustierung des Spannungsfeldes aus Sicherheit und Freiheit im digitalen Raum.

Thomas Voland

ist Rechtsanwalt und Partner bei Clifford Chance Deutschland LLP. (Foto: Clifford Chance)

Philipp Büsch

ist Rechtsanwalt und Senior Associate bei Clifford Chance Deutschland LLP.