Foto: Getty Images/Natali_Mis
D
Foto: Getty Images/Natali_Mis

Schutz der modernen Lebensadern – Neuregelung der Cybersicherheit

von Dr. Thomas Voland, LL.M. und Dr. Philipp Büsch

Schon heute betrifft Cybersicherheit wegen der technologischen Durchdringung fast alle Lebensbereiche – von sogenannten Smart Toys mit Internetzugang im Kinderzimmer bis zur Steuerung von Stromnetzen. Künftig könnten autonom fahrende Autos, Passagierdrohnen oder aus dem Ausland gesteuerte chirurgische Roboter dazukommen. Darauf hat der Gesetzgeber in verschiedenen Vorschriften reagiert, wobei die zentralen Themen im Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSIG) geregelt sind. Vor allem dieses Gesetz soll nunmehr ergänzt werden. Dazu hat das Bundesinnenministerium (BMI) Anfang April den "Entwurf eines Zweiten Gesetzes zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz 2.0 – IT SiG 2.0)" vorgelegt. Dieser Entwurf enthält eine Vielzahl von Neuerungen, von denen nachfolgend einige ausgewählte diskutiert werden sollen.

Erweiterte Kompetenzen des BSI

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) wird als nationale Cyber-Sicherheitsbehörde weiter ausgebaut. Dazu erhält es weitreichende neue Eingriffsbefugnisse. So ist es in Zukunft zum Beispiel berechtigt, informationstechnische Produkte und Systeme zu untersuchen. Zu diesem Zweck kann das BSI von den Herstellern alle notwendigen Informationen einschließlich technischer Details anfordern und gewonnene Erkenntnisse ggf. weitergeben und veröffentlichen. Auch kann das BSI künftig noch schneller Warnungen aussprechen.

Insbesondere soll das BSI schlagfertiger im Kampf gegen Botnetzangriffe werden. Hierzu soll es künftig in öffentlich erreichbaren IT-Systemen Sicherheitsrisiken detektieren und auswerten dürfen. Da nach Meinung des BMI viele Produkte, etwa "Industrial Control Systems" oder "Internet-of-Things"-Geräte, Schwachstellen aufwiesen, über die vernetzte Systeme permanent angegriffen würden, soll das BSI mittels nicht-invasiver "Portscans" und eigenständiger sogenannter "Sinkholes" solchen Sicherheitsrisiken entgegenwirken. Ferner soll das BSI sogenannte "aktive Honeypots" einsetzen dürfen, mit denen das Verhalten eines Anwenders simuliert wird, um dadurch Angriffsmuster und -verhalten zu erkennen. Abgerundet wird der Kampf gegen Botnetze durch eine Anordnungsbefugnis des BSI gegenüber den Telekommunikationsprovidern. Diese sollen im Falle von Störungen den Datenverkehr einschränken oder umleiten oder selbst Softwareupdates auf den betroffenen Geräten durchführen können. Diese Befugnisse, die einen Zugriff auf Endnutzergeräte ermöglichen, wecken nicht nur bei Netzaktivisten die Sorge vor Grundrechtsverletzungen.

Ebenfalls gestärkt wird die Rolle des BSI als Informationssammelstelle. Es soll künftig als Meldestelle Informationen (zum Beispiel zu Sicherheitslücken oder Schadprogrammen) entgegennehmen. Whistleblower sollen dabei anonym bleiben können, wenn deren Interessen das allgemeine Interesse an der Übermittlung personenbezogener Daten überwiegen.

Ausweitung der IT-Sicherheitspflichten

Künftig sollen noch mehr Unternehmen in den Pflichtenkreis des BSIG fallen. Dazu gehören zum einen die Hersteller von IT-Produkten. Sofern deren Produkte für die Funktionsfähigkeit von wichtigen Infrastrukturen relevant sind, müssen sie künftig erhebliche Störungen der "Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit" ihrer IT-Produkte dem BSI unverzüglich melden. Das BSI erhält zudem die Aufgabe, sicherheitstechnische Anforderungen für IT-Produkte zu entwickeln und zu veröffentlichen.

Darüber hinaus erfasst der Gesetzentwurf nicht nur – wie bislang – die Betreiber kritischer Infrastrukturen, etwa aus den Sektoren Energie, Telekommunikation, Finanzwesen oder Gesundheit. Vielmehr sollen zum Beispiel auch Unternehmen aus den Bereichen Kultur und Medien bestimmte Sicherheitspflichten erfüllen, um etwa (automatisch generierte) "Fake News" zu unterbinden.

Verbesserung des Verbraucherschutzes

Eines der Ziele des IT SiG 2.0 besteht darin, den Verbraucherschutz zu stärken. Das Gesetz soll damit dem Umstand Rechnung tragen, dass Fragen der IT-Sicherheit durch die Digitalisierung alltäglicher Situationen für Verbraucher immer bedeutsamer werden. Insofern sieht der Entwurf neben der Möglichkeit zur Warnung der Öffentlichkeit vor Sicherheitslücken in IT-Produkten vor, dass ein (freiwilliges) IT-Sicherheitskennzeichen für noch zu bestimmende Produktkategorien eingeführt wird. Darüber hinaus soll das BSI digitale Identitäten besser schützen und entsprechende Authentifizierungsverfahren weiterentwickeln.

Anforderungen an Hersteller von "KRITIS- Kernkomponenten"

Die neuen Regelungen zu "Kernkomponenten für kritische Infrastrukturen" (KRITIS-Kernkomponenten) dürften vor allem auf die aktuelle Diskussion zum Ausbau des 5G-Netzes zurückgehen. Bereits das Eckpunktepapier der Bundesnetzagentur vom 7. März 2019 (Eckpunkte zusätzlicher Sicherheitsanforderungen für Telekommunikationsnetze und -dienste) hat verdeutlicht, dass die deutschen Behörden nicht auf einen Ausschluss einzelner – insbesondere chinesischer – Anbieter, sondern auf deren strenge Überprüfung setzen.

Dementsprechend sollen die Betreiber kritischer Infrastrukturen die benötigten KRITIS-Kernkomponenten in Zukunft nur noch von solchen Herstellern beziehen dürfen, die dem Betreiber gegenüber eine Vertrauenswürdigkeitserklärung abgeben. Damit scheint dem Gesetzgeber ein arbeitsteiliger Prozess vorzuschweben: Die Vertrauenswürdigkeit muss sich grundsätzlich der jeweilige Betreiber kritischer Infrastrukturen vom Hersteller bescheinigen lassen. Gleichzeitig soll die Erklärung aber auch Voraussetzung dafür sein, dass die Zertifizierungsstelle die jeweiligen Komponenten überhaupt zertifiziert und damit ihren Einsatz bei dem Ausbau der Infrastruktur, namentlich dem 5G-Netz, erlaubt.

Fazit und Ausblick

Der Entwurf aus dem Hause Seehofer richtet den Fokus auf den Schutz vor schadhaften IT-Produkten sowie von Informationstechnik. Letzteres betrifft neben der Informationstechnik des Bundes und derjenigen von Betreibern kritischer Infrastrukturen in Zukunft auch die Informationstechnik von Betreibern sogenannter "Infrastrukturen im besonderen öffentlichen Interesse" (also Unternehmen im Rüstungs- Chemie-, Medien- oder Automobilsektor).

Der umfassende Reformversuch des IT-Sicherheitsrechts bietet Anlass für intensive Diskussionen, insbesondere in Hinblick auf eine Neujustierung des Spannungsfeldes aus Sicherheit und Freiheit im digitalen Raum. In der Ressortabstimmung hakt es derzeit allerdings an anderer Stelle. Bundesjustizministerin Katharina Barley (SPD) hat verlauten lassen, dass die im Referentenentwurf vorgesehen Änderungen des Strafrechts nicht in das Ressort des BMI, sondern in das Justizressort fielen, weshalb der Entwurf entsprechend abzuändern sei. Es bleibt damit abzuwarten, ob es tatsächlich noch vor der Sommerpause zu einer Verabschiedung des IT SiG 2.0 kommen wird und welchen Inhalt dieses Gesetz dann ggf. aufweist.

Dr. Thomas Voland, LL.M.

ist Rechtsanwalt und Partner bei Clifford Chance Deutschland LLP. (Foto: Clifford Chance)

Dr. Philipp Büsch

ist Rechtsanwalt und Senior Associate bei Clifford Chance Deutschland LLP