Das IT-Sicherheitsgesetz 2.0 soll nun in der Form eines inzwischen vierten Referentenentwurfs des Bundesinnenministeriums endlich kommen. Der am 16.12.2020 vom Kabinett beschlossene[1] Entwurf vom 09.12.2020 unterscheidet sich in einigen Punkten maßgeblich von demjenigen, der nur kurz zuvor Anfang Dezember veröffentlicht wurde.[2]
Weitere Befugnisse für das BSI, neue Pflichten für Unternehmen
Ein vom BSI näher auszugestaltendes „IT-Sicherheitskennzeichen“ soll insbesondere Verbraucherinnen und Verbrauchern helfen, Produkte hinsichtlich ihrer Sicherheitseigenschaften, aber auch in Bezug auf die potenzielle Nutzungsdauer mit Blick auf künftige (Sicherheits-) Updates besser beurteilen zu können.[3] Während die Idee zwar grundsätzlich befürwortet wird, sehen Kritiker den „deutschen Alleingang“ skeptisch; ein europäisches Vorgehen sei sinnvoller. Zudem sei die Freiwilligkeit des Siegels problematisch; es bleibe den Herstellern überlassen, ob sie die Anforderungen erfüllen wollen oder nicht. Hier gebe es noch deutlichen Verbesserungsbedarf.[4]
Die Pflichten für Betreiber Kritischer Infrastrukturen zur Vermeidung von Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit der Systeme werden dahingehend erweitert, dass künftig auch Systeme zur Angriffserkennung implementiert werden müssen (§ 8a Abs. 1a BSIG-E – Art. 1 Nr. 12 lit. b) IT-SiG 2.0-E). Neu ist auch, dass viele der Pflichten, denen KRITIS-Betreiber unterliegen, auf weite Teile der Wirtschaft ausgedehnt werden. Als „Unternehmen im besonderen öffentlichen Interesse“ unterliegen künftig verschiedene Unternehmen unter anderem erweiterten Meldepflichten sowie der Pflicht, Systeme zur Angriffserkennung einzusetzen. Davon sind unter anderem beispielsweise Unternehmen der Rüstungsindustrie oder Betriebe, die wegen ihrer hohen Wertschöpfung eine besondere volkswirtschaftliche Bedeutung haben, betroffen.[5]
Das BSI darf von KRITIS-Betreibern sowie von Unternehmen im besonderen öffentlichen Intersse Auskunft über die nach §§ 95 und 111 TKG erhobenen Daten verlangen, „sofern im Einzelfall Tatsachen den Schluss auf eine wenigstens ihrer Art nach konkretisierte und zeitlich absehbare ziel- und zweckgerichtete Beeinträchtigung der Sicherheit oder Funktionsfähigkeit informationstechnischer Systeme […]“ zulassen und die Daten für die Aufgabenerfüllung des BSI erforderlich sind (§ 5c Abs. 1 BSIG-E – Art. 1 Nr. 7 IT-SiG 2.0-E). Im Entwurf selbst wird dabei mehrfach darauf hingewiesen, dass noch weiterer Anpassungsbedarf mit Blick auf die Bestandsdatenauskunft II-Entscheidung des BVerfG[6] besteht.
Unter anderem die Kontroverse rund um die Beteiligung Huaweis am 5G-Ausbau sorgte für erhebliche Verzögerungen. Der „finale“ Entwurf enthält im Kern nach wie vor ein „Lex Huawei“, wenn auch die Hürde für einen Ausschluss einzelner Ausrüster hoch angesetzt ist.[7] § 9b BSIG-E (Art. 1 Nr. 19 IT-SiG 2.0-E) legt zunächst fest, dass vor dem Einsatz kritischer Komponenten – die in § 2 Abs. 13 BSIG-E näher definiert werden, vgl. Art. 1 Nr. 1 lit. f) IT-SiG 2.0-E) – sowohl das Bundesinnenministerium zu informieren ist als auch eine Garantieerklärung des Herstellers gegenüber dem Betreiber der Kritischen Infrastruktur zu erfolgen hat, die dessen Vertrauenswürdigkeit auch hinsichtlich seiner gesamten Lieferkette umfasst. Das Innenministerium kann den Einsatz bestimmter kritischer Komponenten untersagen, wenn ein Hersteller sich als nicht vertrauenswürdig erwiesen hat.[8]
Zudem soll das BSI künftig die Befugnis erhalten, Systeme des Bundes, Kritischer Infrastrukturen und von Unternehmen im besonderen öffentlichen Interesse nach bekannten Sicherheitslücken zu scannen – die Befürchtung ist, das BSI könnte zu einer „Hackerbehörde“ werden.[9] Um beispielsweise Botnetze aufzuspüren und zu stoppen soll das BSI sogar auch andere Unternehmen wie etwa die Telekom zu aktiven Detektionsmaßnahmen anhalten dürfen.[10] Protokolldaten und personenbeziehbare Nutzerinformationen wie IP-Adressen, die bei der Kommunikation mit Bundesbehörden anfallen, dürfen vom BSI gespeichert und zur Gefahrenabwehr genutzt werden (§ 5a BSIG-E – Art. 1 Nr. 5 IT-SiG 2.0-E). Dabei wurden einige Anforderungen abgeschwächt oder gar gestrichen.[11]
An Kritik wird nicht gespart
Hinsichtlich verschiedener Regelungen bestehen durchaus verfassungsrechtliche Bedenken. So ist bei einigen der geplanten Änderungen zweifelhaft, ob diese mit dem Bestimmtheitsgebot aus Art. 20 Abs. 3 GG vereinbar sind.[12] Weiterhin bestehen Befürchtungen in Bezug auf Interessenskonflikte des BSI als Verbraucherschützer im Verhältnis zu anderen Aufgabenbereichen wie etwa der Unterstützung bei der Strafverfolgung.[13]
Neben den inhaltlichen Kritikpunkten wurde von zahlreichen Seiten – völlig zu Recht – die Frist zur Stellungnahme moniert. Nur wenige Tage wurden Interessensverbänden zur Durchsicht und Kommentierung des dritten Entwurfs eingeräumt, die Frist endete am 10. Dezember um 14:00 Uhr.[14] Infolge des am 9. Dezember veröffentlichten Entwurfs blieben letztlich nur Stunden, obwohl dieser – nunmehr 108 Seiten starke – Entwurf im Vergleich zur dritten Version einige Änderungen erfahren hatte, die zudem nicht kenntlich gemacht wurden.[15] Vielleicht jedoch auch gerade deswegen: Die AG KRITIS, ein unabhängiger Interessensverband, mutmaßt, dass es dem BMI „eigentlich nur [um] ein Durchwinken“ ging und bezeichnet das kurzfristige Vorgehen als „der ministerielle Mittelfinger ins Gesicht der Zivilgesellschaft“.[16] Der Umstand, dass etwa am 9. Dezember darüber hinaus ein bis zum 11. Dezember zu kommentierender Referentenentwurf zum Telekommunikationsmodernisierungsgesetz veröffentlicht wurde, der ebenfalls Regelungen mit Bezug zur IT-Sicherheit enthält,[17] bestätigt den Eindruck, dass die Beteiligung der Wirtschafts- und Interessensverbände lediglich pro forma erfolgt und die gewünschten Regelungen möglichst widerstandslos durchgeboxt werden sollen.
Auch ist eine Evaluierung der Wirksamkeit der Maßnahmen nach 24 bzw. 48 Monaten vorgesehen (Art. 6 IT-SiG-2.0-E). Angesichts der Tatsache, dass schon die im IT-SiG 1.0 vorgesehene Evaluierung nicht durchgeführt wurde, was auch die AG KRITIS als „Gesetzesanpassungen mit Bauchgefühl“ beanstandet[18], bestehen jedoch berechtigte Zweifel daran, ob die neuen Regelungen tatsächlich jemals auf ihre Wirksamkeit überprüft werden – oder ob die Befugnisse und Pflichten in einem „IT-Sicherheitsgesetz 3.0“ ohne fundierte Erkenntnisse zu deren Notwendigkeit und Effektivität schlicht erneut angepasst und ausgeweitet werden. Nicht nur in Anbetracht der Zweifel an der Verfassungsgemäßheit einiger Regelungen und der Bedeutung der geregelten Themen für die Gesellschaft bleibt zu hoffen, dass zumindest zum IT-SiG 2.0 eine Evaluierung stattfindet und deren Ergebnisse auch tatsächlich im weiteren Verlauf berücksichtigt werden.
[1] Vgl. Besserer Schutz vor Cyber-Angriffen, Pressemitteilung der Bundesregierung vom 15.12.2020.
[2] Siehe den Abgleich des Entwurfs vom 09.12.2020 mit demjenigen vom 01.12.2020, Hessel, via Twitter, 09.12.2020; Volltexte der bisherigen Entwürfe: Vierter Referentenentwurf vom 09.12.2020; Dritter Entwurf vom 19.11.2020 (veröffentlicht am 02.12.2020); Zweiter Entwurf vom 07.05.2020; Erster Entwurf vom 27.03.2019.
[3] Hegemann, Wenn sich die Telekom in Ihren Rechner hacken soll, Zeit Online, 15.12.2020, dort auch zum Folgenden.
[4] So auch die Verbraucherzentrale Bundesverband e.V., IT-Sicherheit im Verbraucheralltag stärken. Stellungnahme des vzbv zum Entwurf eines Zweiten Gesetzes zur Erhöhung der Sicherheit informationstechnischer Systeme (Zweites IT-Sicherheitsgesetz – IT-SiG 2.0), 08.12.2020, S. 5ff.
[5] Vgl. auch Besserer Schutz vor Cyber-Angriffen, Pressemitteilung der Bundesregierung vom 15.12.2020.
[6] BVerfG, Beschl. v. 27.05.2020 – 1 BvR 1873/13.
[7] Vgl. Krempl, IT-Sicherheitsgesetz 2.0: „Mittelfinger ins Gesicht der Zivilgesellschaft“, Heise Online, 10.12.2020.
[8] Vgl. Art. 1 Nr. 19 IT-SiG 2.0-E, insbesondere § 9b Abs. 2, Abs. 3, Abs. 6 und Abs. 7 BSIG-E.
[9] Vgl. Hegemann, Wenn sich die Telekom in Ihren Rechner hacken soll, Zeit Online, 15.12.2020; vgl. auch zum Entwurf vom Mai 2020 Meister, Seehofer will BSI zur Hackerbehörde ausbauen, Netzpolitik.org, 12.05.2020 sowie zum ersten Entwurf Meister/Biselli, Wir veröffentlichen den Entwurf, der das BSI zur Hackerbehörde machen soll, Netzpolitik.org, 03.04.2020.
[10] Vgl. Hegemann, Wenn sich die Telekom in Ihren Rechner hacken soll, Zeit Online, 15.12.2020.
[11] Vgl. Krempl, IT-Sicherheitsgesetz 2.0: „Mittelfinger ins Gesicht der Zivilgesellschaft“, Heise Online, 10.12.2020, dort auch zum Folgenden.
[12] Anschaulich Otto, Stellungnahme zum Entwurf eines Zweiten Gesetzes zur Erhöhung der Sicherheit informationstechnischer Systeme (Zweites IT-Sicherheitsgesetz – IT-SiG 2.0), 09.12.2020.
[13] Vgl. Verbraucherzentrale Bundesverband e.V., IT-Sicherheit im Verbraucheralltag stärken. Stellungnahme des vzbv zum Entwurf eines Zweiten Gesetzes zur Erhöhung der Sicherheit informationstechnischer Systeme (Zweites IT-Sicherheitsgesetz – IT-SiG 2.0), 08.12.2020, S. 7f.
[14] Vgl. das Schreiben des BMI bzgl. der Beteiligung von Zentral- und Gesamtverbänden sowie von Fachkreisen (CI1-17002/4#6) vom 09.12.2020.
[15] Vgl. 46halbe, Innenministerium sabotiert sachkundige Diskussion zum IT-Sicherheitsgesetz 2.0, CCC.de, 09.12.2020.
[16] Krempl, IT-Sicherheitsgesetz 2.0: „Mittelfinger ins Gesicht der Zivilgesellschaft“, Heise Online, 10.12.2020.
[17] Referentenentwurf des Bundesministeriums für Wirtschaft und Energie und des Bundesministeriums für Verkehr und digitale Infrastruktur: Entwurf eines Gesetzes zur Umsetzung der Richtlinie (EU) 2018/1972 des Europäischen Parlaments und des Rates vom 11. Dezember 2018 über den europäischen Kodex für die elektronische Kommunikation (Neufassung) und zur Modernisierung des Telekommunikationsrechts (Telekommunikationsmodernisierungsgesetz), 09.12.2020; Vgl. Kipker, 9. Dezember 2020: Kurzfristig 4. Referentenentwurf für das IT-SiG 2.0 veröffentlicht, Intrapol.org, 09.12.2020.
[18] Vgl. AG Kritis, Stellungnahme der AG KRITIS zum 3. Entwurf des IT-SiG 2.0, 03.12.2020, S. 3.
Sämtliche Links wurden zuletzt am 16.12.2020 abgerufen.
