Anfang 2019 wurde ein lang erwarteter Referentenentwurf für ein zweites Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz 2.0) öffentlich bekannt.[1] Ein vor kurzem veröffentlichter zweiter Entwurf des IT-Sicherheitsgesetz 2.0 [2] hält an vielen Vorhaben des alten Entwurfs fest. Gleichzeitig finden sich verschiedene Neuerungen in dem Entwurf. Die wohl bedeutendste Veränderung besteht im neuen § 9b BSIG-E der eine Möglichkeit zur Untersagung des Einsatzes kritischer Komponenten nicht vertrauenswürdiger Hersteller in kritischen Infrastrukturen (KRITIS) vorsieht. Die Norm ist das mutmaßliche Produkt eines Kompromisses über die Beteiligung ausländischer Unternehmen, insbesondere des chinesischen Telekommunikationsausrüsters Huawei, am Ausbau des 5G Netzes in Deutschland.[3] Dieser Beitrag dient zur Darstellung der wesentlichen Inhalte der Neuregelung, ihrer Bedeutung im Rahmen des IT-Sicherheitsgesetzes 2.0 und möglichen Anwendungsproblemen in der Praxis.
1. Die Neuregelung des § 9b BSIG-E
§ 9b BSIG-E gliedert sich in sechs Absätze und kann als Auffangtatbestand zur ursprünglich vorgesehenen Regelung zur Vertrauenswürdigkeitserklärung für KRITIS-Kernkomponenten (§ 8a Abs. 6 RefE a.F.) gesehen werden.[4] Die Norm reguliert in einem detaillierten Verfahren den Einsatz kritischer Komponente von möglicherweise nicht vertrauenswürdigen Herstellern in kritischen Infrastrukturen.
Der Einsatz einer kritischen Komponente[5] für die auf Grund einer spezialgesetzlichen Regelung eine Zertifizierungspflicht besteht, ist gem. § 9b Abs. 1 BSIG-E durch den Betreiber einer kritischen Infrastruktur dem Bundesministerium des Inneren (BMI) anzuzeigen. Die betroffenen Komponenten werden gem. § 2 Abs. 13 BSIG-E in einem Katalog des Bundesamtes für Sicherheit in der Informationstechnik (BSI) aufgeführt werden.
Kritische Komponenten dürfen ausweißlich § 9b Abs. 2 BSIG-E nur von solchen Herstellern verwendet werden, von denen eine Garantieerklärung bezüglich der gesamten Lieferkette vorliegt. Das BMI soll die Mindestanforderungen an eine solche Garantieerklärung in einer Allgemeinverfügung festlegen, wobei aus dieser insbesondere hervorgehen soll, wie der Hersteller hinreichend sicherstellen kann, dass die kritische Komponente über keine technischen Eigenschaften verfügt, die geeignet sind, missbräuchlich auf die Sicherheit, Integrität, Verfügbarkeit oder Funktionsfähigkeit der Kritischen Infrastruktur (etwa durch Sabotage, Spionage oder Terrorismus) einwirken zu können.
Das BMI soll gem. § 9b Abs. 3 BSIG-E ermächtigt werden, den Einsatz der Kritischen Komponente im Hinblick auf die Vertrauenswürdigkeit des Herstellers zu überprüfen, und den Einsatz zu untersagen, wenn der Hersteller der kritischen Komponente nicht vertrauenswürdig ist. § 9b Abs. 4 BSIG-E enthält einen Katalog von Voraussetzungen unter denen ein Hersteller als nicht vertrauenswürdig gilt. Insbesondere soll dies der Fall sein, wenn die kritische Komponente über technische Eigenschaften verfügt, die geeignet sind, missbräuchlich auf die Sicherheit, Integrität, Verfügbarkeit oder Funktionsfähigkeit der Kritischen Infrastruktur einwirken zu können. Von diesem Vorwurf kann sich der Hersteller entlasten, wenn es ihm gelingt nachzuweisen, dass er die technische Eigenschaft nicht implementiert hat. Im Falle einer Untersagung nach § 9b Abs. 3 BSIG-E kann das BMI darüber hinaus gem. § 9b Abs. 5 BSIG-E den angezeigten Einsatz weiterer kritischer Komponenten desselben Typs und desselben Herstellers untersagen und die Nutzung im Einsatz befindlicher kritischer Komponenten desselben Typs und desselben Herstellers innerhalb einer verhältnismäßigen Frist untersagen. Als ultima ratio bleibt, im Falle wiederholter Verstöße des Herstellers gegen die Garantieerklärung, nach § 9b Abs. 6 BSIG-E die Möglichkeit den Einsatz aller kritischen Komponenten des Herstellers zu untersagen.
2. Einordnung der Neuregelung
Hintergrund der Regelung ist ausweislich der Gesetzesbegründung die Einsicht, das weder eine Komponentenzertifizierung noch eine Überprüfung von Sicherheitskonzepten eine hinreichende Sicherheit der eingesetzten Komponenten gewährleisten können.[6] Letztendlich ginge es darum die Vertrauenswürdigkeit der Hersteller zu gewährleisten, was durch das angestrebte Verfahren in § 9b BSIG-E ermöglicht werde.[7] Ein gesondertes Verfahren wäre überdies notwendig, da aufgrund des europäischen Cybersecurity Acts (CSA) [8] kritische Komponenten, die in anderen Mitgliedstaaten eine Sicherheitszertifizierung erhalten haben, grundsätzlich die Vorgaben einer nationalen gesetzlichen Zertifizierungspflicht erfüllen würden.[9] Im BMI wird offen befürchtet, dass nichtvertrauenswürdige Hersteller unter dem CSA Zertifikate in anderen Mitgliedstaaten der EU erhalten, die ohne weiteres in Deutschland anzuerkennen wären.[10] Hieraus ergäbe sich die Notwendigkeit die Prüfung der technischen Sicherheitsanforderungen von der Bewertung der Vertrauenswürdigkeit der Hersteller zu trennen.
Maßstäbe die die praktische Einordnung eines Herstellers als nicht vertrauenswürdig erleichtern würden, sind in der Gesetzesbegründung bedauerlicherweise knappgehalten. So könnten denkbare Verstöße gegen die Vertrauenswürdigkeitserklärung (Grund zur Einordnung als nicht vertrauenswürdig nach § 9b Abs. 4 Nr. 1 BSIG-E) beispielsweise in der missbräuchlichen Weitergabe von Daten an Dritte oder im Einsatz von nicht vertrauenswürdigem Personal liegen.[11] Bemerkenswert ist, dass das scharfe Schwert des Verbots des Einsatzes aller kritischer Komponenten eines bestimmten Herstellers nach § 9b Abs. 6 BSIG-E nicht allein dadurch begründet werden kann, dass der Hersteller kritische Komponenten mit technischen Eigenschaften liefert, die zu missbräuchlichen Verhalten ausgenutzt werden können. Doch liegt gerade in solchem Verhalten das größte Risiko für die IT-Sicherheitsinfrastruktur. Denn Möglichkeiten, mit denen die Funktionsfähigkeit der kritischen Komponenten gestört werden kann, stellen eine unmittelbare Bedrohung für die Stabilität von KRITIS dar.
3. Mögliche Anwendungsprobleme in der Praxis
Aus dem politischen Streit um die Risiken durch chinesische Hardware in der Mobilfunkinfrastruktur ist ein Kompromiss geworden, der Möglichkeiten für weitreichende Beschränkungen eröffnet. Das Risiko kritische Komponenten von potenziell nicht vertrauenswürdigen Herstellern zu beziehen, liegt bei den Betreibern kritischer Infrastruktur. Soweit diese nicht das Damoklesschwert einer Nutzungsuntersagung nach § 9b Abs. 5 Nr. 2 BSIG-E in kauf nehmen wollen, kann nicht zum Einsatz kritischer Komponenten von Herstellern an deren Vertrauenswürdigkeit nur ansatzweise Zweifel bestehen, geraten werden. Die praktische Bedeutung des § 9b BSIG-E dürfte maßgeblich davon abhängen, welche Komponenten in den Katalog kritischer Komponenten aufgenommen werden. [12]
Unabhängig hiervon bestehen zumindest Zweifel an der Vereinbarkeit der Vorschrift mit höherrangigem Europarecht. Während die Gesetzesschöpfer diese ohne weiteres bejahen,[13] erscheint die Vereinbarkeit mit der unionsrechtlichen Warenverkehrsfreiheit (Art. 28 ff. AEUV) zumindest begründungsbedürftig. Denn die Notwendigkeit einer Garantieerklärung vor dem Einsatz kritischer Komponenten könnte eine, einer Einfuhrbeschränkung ähnliche verbotene Maßnahme gleicher Wirkung i.S.v. Art. 34 AEUV darstellen. Eine solche stellt nach der etablierten Rechtsprechung des EuGH „jede Handelsregelung der Mitgliedstaaten, die geeignet ist, den innergemeinschaftlichen Handel unmittelbar oder mittelbar, tatsächlich oder potentiell zu behindern“, dar.[14] Das Hersteller kritischer Komponenten künftig eine den ganzen Herstellungsprozess umfassende Garantieerklärung abgegeben müssen, kann den unionsweiten Vertrieb mit kritischen Komponenten zumindest mittelbar behindern. Zwar sind Maßnahmen gleicher Wirkung aus Gründen der öffentlichen Sicherheit nach Art. 36 AEUV rechtfertigbar. Ob dies im konkreten Fall für eine unionsrechtliche Vereinbarkeit jedoch ausreicht, könnte unter dem Gesichtspunkt in Zweifel gezogen werden, dass der EuGH sich auch beim Vorliegen legitimer Ziele nach Art. 36 AEUV eine Überprüfung der Maßnahmen auf ihre Verhältnismäßigkeit vorbehält.[15] Das in § 9b BSIG-E anvisierte Verfahren wird sich an einer solchen Verhältnismäßigkeitsprüfung messen lassen müssen. Sollte die Regelung wie beabsichtigt in Kraft treten, ist daher möglicherweise noch nicht das letzte Wort über ihre Wirksamkeit gesprochen.
4. Fazit
Der Charakter des § 9b BSIG-E als Produkt eines politischen Kompromisses hat dazu geführt, dass die praktische Anwendung stark von der ministeriellen Handhabung der verliehenen Befugnisse abhängen wird. Damit ist die Verantwortung für die politische Frage über die Beteiligung ausländischer Unternehmen am Ausbau der kritischen Infrastruktur vom Gesetzgeber auf die zuständigen Behörden verschoben worden. Mit der Norm ist ein prinzipiell ausgeglichenes Verfahren zur Überprüfung der Vertrauenswürdigkeit von Herstellern entstanden, das sowohl repressive als auch präventive Schritte ermöglicht. Unbefriedigend ist die mangelnde Rechtssicherheit für Betreiber, die das Risiko einer Nutzungsuntersagung tragen müssen. Die bestehenden europarechtlichen Zweifel könnten am besten durch ein europaweit koordiniertes Vorgehen zur Einbeziehung von kritischen Komponenten von nicht vertrauenswürdigen Herstellern, zerstreut werden.
[1] Vgl. Lorenz, Das IT-Sicherheitsgesetz 2.0 – Gewährleistung der Cyber- und Informationssicherheit als Schlüsselthema, BayWidI Blog v. 24. September 2019.
[2] RefE zum IT-Sig. 2.0 im Volltext (PDF), zuletzt abgerufen am: 24.05.2020.
[3] Dazu: Dalg, „Das soll die Superbehörde BSI können“, in: Tagesspiegel Background v. 12.05.2020.
[4] Kipker, MMR-Aktuell 2020, 429348.
[5] Vgl. zur Legaldefinition § 2 Abs. 13 BSIG-E.
[6] RefE zum IT-SiG 2.0, S. 58.
[7] RefE zum IT-SiG 2.0, S. 59.
[8] Verordnung (EU) 2019/881 des Europäischen Parlaments und des Rates vom 17. April 2019 über die ENISA (Agentur der Europäischen Union für Cybersicherheit) und über die Zertifizierung der Cybersicherheit von Informations- und Kommunikationstechnik.
[9] Vgl. zum Zertifizierungsrahmen für die Cybersicherheit, Art. 46 ff. CSA.
[10] RefE zum IT-Sig. 2.0, S. 59.
[11] RefE zum IT-Sig. 2.0, S. 60.
[12] Vgl. hierzu den bisherigen Katalog von Sicherheitsanforderungen nach § 109 Abs. 6 TKG des BSI, zuletzt abgerufen am: 22.05.2020.
[13] Vgl. RefE zum IT-SiG 2.0, S. 35.
[14] EuGH, Urt. v. 11. 7. 1974, Rs. 8/74 (Dassonville), Slg. 1974, 837 Rn. 5.
[15] Vgl. Haltern, in: Frankfurter Kommentar EUV/GRC/AEUV, AEUV Art. 36, Rn. 69 f..
