IT-Sicherheitsgesetz 2.0

Ein stärkeres BSI, ein eigenes Siegel für IT-Sicherheit und „KRITIS light“

Nach einem langwierigen Prozess wurde am 23.04.2021 das Zweite Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz 2.0 – IT-SiG 2.0) vom Bundestag beschlossen[1] und etwa einen Monat später auch vom Bundesrat gebilligt.[2]

Der Gesetzgebungsprozess wird – schon seit der 2015 in Kraft getretenen Version 1.0[3] – von heftiger Kritik begleitet. Das IT-SiG 1.0 hatte insbesondere erweiterte IT-Sicherheitsanforderungen für Kritische Infrastrukturen – also solche, die von besonderer Bedeutung für das Funktionieren des Gemeinwesens sind, weil durch ihren Ausfall oder ihre Beeinträchtigung erhebliche Versorgungsengpässe oder Gefährdungen für die öffentliche Sicherheit eintreten würden – sowie bestimmte Befugnisse für das Bundesamt für Sicherheit in der Informationstechnik (BSI) zum Gegenstand.[4]

Die Regelungen des IT-SiG 2.0 gehen nun in vielen Punkten noch weiter. Neben diversen neuen Begriffsdefinitionen und einem – deutlich – erhöhten Bußgeldrahmen (siehe § 14 Abs. 5 BSIG) zielt das IT-SiG 2.0 insbesondere auf die Stärkung der Rolle des BSI ab.

Neue Aufgaben und Befugnisse für das BSI

Ergänzend zum bisherigen Status fungiert das BSI künftig auch als allgemeine Meldestelle für die Sicherheit in der Informationstechnik. Mit § 4b BSIG wurde dabei eine Rechtsgrundlage auch für die Übermittlung von Meldungen sicherheitsrelevanter Informationen durch Dritte aus der Wirtschaft und durch Einzelpersonen geschaffen, ohne jedoch gleichzeitig eine Meldepflicht zu statuieren.[5] § 8 Abs. 4 BSIG legt fest, dass das BSI bei der Planung und Umsetzung von wesentlichen Digitalisierungsvorhaben des Bundes frühzeitig zu beteiligen ist. Das BSI wird darüber hinaus gemäß § 3 Abs. 1 Satz 2 Nr. 5a i.V.m. § 9a BSIG als Cybersicherheitszertifizierungsbehörde i.S.d. EU-Cybersecurity-Act (VO (EU) 2019/881) benannt.

§ 4a BSIG enthält verschiedene Befugnisse zur Kontrolle der Kommunikationstechnik des Bundes mit Ausnahme von im Ausland befindlichen Systemen des Auswärtigen Amtes sowie von Systemen der Bundeswehr und des Militärischen Abschirmdienstes.[6] Eine Anpassung gab es auch bei der Befugnis, behördeninterne Protokollierungsdaten zu verarbeiten, um laufende Angriffe erkennen und analysieren zu können und vergangene Vorfälle zu rekonstruieren, § 5a BSIG.

Aus §§ 7a-7d BSIG ergeben sich weitreichende Untersuchungs-, Kontroll- und Anordnungsrechte des BSI. Unter anderem darf das BSI gegenüber Diensteanbietern die Installation von Patches bzw. die Löschung von Schadsoftware anordnen (§ 7c Abs. 1 Satz 1 Nr. 2) sowie mittels Portscans (§ 7b Abs. 1 Satz 1 BSIG) sowohl bei KRITIS-Betreibern als auch bei Unternehmen im besonderen öffentlichen Interesse aktiv in infizierte Systeme eingreifen. Begründet wird dies im Entwurf unter anderem mit der Abwehr von Gefahren durch Botnetze.[7] Auch das Recht, gemäß § 5c BSIG von Anbietern von Telekommunikationsdiensten Auskunft über Bestandsdaten zu verlangen, ist einer der aus verfassungsrechtlicher Sicht besonders heiklen Punkte. § 8b Abs. 3 BSIG führt eine Registrierungspflicht für KRITIS-Betreiber ein, wobei die Registrierung bei Nichterfüllung dieser Pflicht durch den Betreiber selbst auch unmittelbar durch das BSI vorgenommen werden kann.

 „Unternehmen im besonderen öffentlichen Interesse“ – KRITIS light?

Durch die Einführung einer neuen Sonderkategorie unterhalb der KRITIS-Schwelle werden viele Pflichten, denen KRITIS-Betreiber unterliegen, auf zahlreiche weitere Unternehmen ausgedehnt werden.

Als „Unternehmen im besonderen öffentlichen Interesse“ i.S.d. § 2 Abs. 14 BSIG gelten Unternehmen, die keine Kritischen Infrastrukturen nach Abs. 10 betreiben und entweder bestimmte Güter nach § 60 Satz 1 Nr. 1 und Nr. 3 AWV herstellen oder entwickeln, die nach ihrer inländischen Wertschöpfung zu den größten Unternehmen in Deutschland gehören bzw. von erheblicher volkswirtschaftlicher Bedeutung sind oder die Betreiber eines Betriebsbereichs der oberen Klasse im Sinne der Störfall-VO oder diesen gleichgestellt sind.

Gemäß § 8f BSIG sind solche Unternehmen nach einer Übergangsfrist verpflichtet, angemessene technische und organisatorische Maßnahmen zu ergreifen, um möglichen Cyberangriffen und unter anderem durch den Einsatz von Systemen zur Angriffserkennung wirksam zu begegnen und etwaige Schäden zu reduzieren.

Zudem sind sie verpflichtet, dem BSI regelmäßig eine Selbsterklärung zur IT-Sicherheit vorzulegen, aus der etwa hervorgehen muss, welche Zertifizierungen oder Audits in diesem Bereich durchgeführt wurden und wie ein angemessenes Schutzniveau für die jeweils besonders schützenswerten IT-Systeme, Komponenten und Prozesse sichergestellt wird, und im Zuge dessen eine Registrierung vorzunehmen sowie eine Kontaktstelle zu benennen (§ 8f Abs. 1, 5 BSIG).

§ 8f Abs. 7 und 8 BSIG bestimmen eine erweiterte Meldepflicht bezüglich Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer IT-Systeme, Komponenten oder Prozesse, die zu einer erheblichen Beeinträchtigung der Erbringung ihrer Wertschöpfung geführt haben oder – sofern die Störungen erheblich sind – führen können.

Ein weiterer vielbeachteter Aspekt – im Lichte des 5G-Ausbaus auch „Huawei-Klausel“ benannt – betrifft die Anzeigepflicht der KRITIS-Betreiber für Kritische Komponenten i.S.v. § 2 Abs. 13 BSIG, welche eine Garantieerklärung hinsichtlich der Vertrauenswürdigkeit des Herstellers inklusive dessen gesamter Lieferkette umfasst, sowie die mögliche Untersagung von Komponenten (insbesondere) wegen mangelnder Vertrauenswürdigkeit eines Ausrüsters (siehe § 9b Abs. 2, 4, 6, 7 BSIG).

IT-Sicherheitskennzeichen soll Verbraucherschutz fördern

Ein neues IT-Sicherheitskennzeichen soll dazu beitragen, die Sicherheit von IT-Produkten und -Dienstleistungen verständlich, transparent und einheitlich darzustellen und Verbraucherinnen und Verbrauchern so die Auswahl unter Cybersicherheitsgesichtspunkten erleichtern. Dabei soll das BSI insbesondere seine Aufgabe, den Verbraucherschutz und die Verbraucherinformation insbesondere durch Beratung und Warnung von Verbrauchern in IT-Sicherheitsfragen erfüllen (§ 3 Abs. 1 Nr. 14a BSIG) und auf eine stärkere Umsetzung des Prinzips „Security by Design“ durch Hersteller hinwirken. Während das freiwillige IT-Sicherheitskennzeichen durchaus eine Entscheidungshilfe in puncto Sicherheitseigenschaften, aber auch in Bezug auf die potenzielle Nutzungsdauer mit Blick auf künftige (Sicherheits-)Updates darstellen soll, trifft es gemäß § 9c Abs. 1 Satz 2 BSIG explizit keine Aussage über die den Datenschutz betreffenden Eigenschaften eines Produkts.

Das Etikett des IT-Sicherheitskennzeichens, das mit einem Verweis auf eine Internetseite des BSI versehen ist, welche weitere Informationen sowie die Herstellererklärung enthält, darf auf dem jeweiligen Produkt (oder dessen Verpackung) angebracht bzw. elektronisch veröffentlicht werden, sofern das BSI die Freigabe erteilt hat. Diese ist vorgesehen, sofern ein Produkt unter eine der per Allgemeinverfügung festzulegenden Kategorien fällt und die Herstellererklärung plausibel und durch die beigefügten Unterlagen ausreichend belegt ist (§ 9c Abs. 5 Nr. 1 und 2 BSIG). Bezüglich der genauen Ausgestaltung enthält § 10 Abs. 3 BSIG eine Verordnungsermächtigung.

An Kritik wird nicht gespart

Während Bundesinnenminister Seehofer einen „guten Tag für die Cybersicherheit in Deutschland“ feiert, lassen Kritiker kaum ein gutes Haar an dem Gesetzespaket.[8]

Der Bundesrat hatte in seinem Beschluss nochmals deutlich beanstandet, dass der Bund die Länder nicht stark genug eingebunden habe.[9] Insbesondere eine Rechtsgrundlage für die bislang fehlende Unterrichtungspflicht für schwere Cybersicherheitsvorfälle gegenüber den nach Landesrecht zuständigen Stellen sei dringend (nachträglich) zu schaffen, um zeitnahe Maßnahmen zur Gefahrenabwehr zu ermöglichen.[10]

Weiterhin wurde unter anderem das Verhalten des federführenden Bundesinnenministeriums beim Gesetzgebungsverfahren moniert: Die AG KRITIS bezeichnete die Beteiligungsfrist für die finale Fassung als „Schlag ins Gesicht der Zivilgesellschaft“, das BMI habe lediglich ein „Durchwinken“ des Entwurfs bezweckt.[11] Auch die fehlende Evaluierung des IT-SiG 1.0 wird beanstandet. Beim IT-SiG 2.0 seien „Gesetzesanpassungen mit Bauchgefühl“ vorgenommen worden.[12] Überdies wurde Unverständnis darüber geäußert, dass keine ausreichende inhaltliche Abstimmung hinsichtlich der parallelen Überarbeitung der NIS-Richtlinie (RL (EU) 2016/1148 über Maßnahmen zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz- und Informationssystemen in der Union) stattgefunden habe.[13]

Dass das BSI zur „Hackerbehörde“ hochgestuft wird und weitreichende Befugnisse zum Eingriff in fremde IT-Systeme erhält, stößt auf heftige Kritik, wenn auch verschiedene in früheren Entwürfen geplante Änderungen des StGB und der StPO – u.a. eine Pflicht zur Passwort-Herausgabe sowie die Schaffung neuer Straftatbestände – in der letztendlich beschlossenen Fassung gestrichen wurden.[14]

Die vorgesehene Definition des Stands der Technik durch das BSI wird zudem skeptisch gesehen, da dieser „keine deklaratorische Eigenschaft“, sondern vielmehr ein sich „aus den jeweiligen branchenüblichen Gepflogenheiten“ ergebender Zustand sei.[15] Insgesamt ergebe sich auch aus den zu unpräzisen Definitionen beispielsweise der Begriffe „Unternehmen im besonderen öffentlichen Interesse“ oder „Kritische Komponenten“ eine erhebliche Rechtsunsicherheit.[16] Insbesondere mit Blick auf die Schaffung der Sonderkategorie der Unternehmen im besonderen öffentlichen Interesse, die in dieser Form in Europa einzigartig ist, können überdies negative wettbewerbsrechtliche Implikationen nicht ausgeschlossen werden.[17]

IT-Sicherheit ist unabdingbar – wie auch ein gesundes Mittelmaß

Klar ist: Auf die neuen Gefährdungslagen, die durch die zunehmende Digitalisierung sowohl für private und öffentliche Stellen und besonders Kritische Infrastrukturen und Unternehmen, die mit besonders wertvollen Informationen umgehen, muss schnell und konsequent reagiert werden.[18] Dieses 2017 formulierte Ziel hat nichts an Aktualität eingebüßt. Dass es nicht in jedem Fall sinnvoll ist, sich auf selbst auferlegte Standards oder „gesunden Menschenverstand“ zu verlassen, lässt sich durch zahlreiche unerfreuliche Beispiele sowohl aus öffentlichen als auch aus privaten Einrichtungen belegen. Der nötige finanzielle und personelle Aufwand wird gescheut. Maximen wie „Warum ändern, wenn es doch noch funktioniert?“ oder „Es ist ja bisher auch nichts passiert!“ führen unter anderem dazu, dass veraltete, angreifbare Hard- und Software in Betrieb bleiben.[19]

Ein gewisses Maß an legislativem Druck ist daher eine schlichte Notwendigkeit, besonders, wenn es um sensible Bereiche wie Kritische Infrastrukturen oder andere Unternehmen im besonderen öffentlichen Interesse geht. Effektive behördliche Kontrollmaßnahmen sind hierzu grundsätzlich unabdingbar. Doch das beständige Streben nach mehr Sicherheit ist ein zweischneidiges Schwert und es ist wichtig, die korrekte Dosis zu finden. Ohne eine eingehende, ehrliche Auswertung der bestehenden Maßnahmen und Regelungen vorzunehmen und weitere Schritte sorgfältig abzuwägen kann tatsächlich nur von „Gesetzgebung nach Bauchgefühl“ gesprochen werden. Dass die Evaluation zum IT-Sicherheitsgesetz 1.0 gewissermaßen unter den Tisch gekehrt wurde, gefährdet nicht nur die Wirksamkeit neuer Ansätze, sondern auch deren Akzeptanz: Die individuelle und kollektive Freiheit wird mehr und mehr in wesentlichen Kernpunkten angetastet. Schlimmstenfalls ist am Ende nicht nur sie verloren, sondern auch die – vorübergehende – Sicherheit, in deren Namen sie aufgegeben wird.[20]

Priska Katharina Büttel

Dieser Beitrag erschien erstmals im BayWiDI-Magazin 2/2021. Die vollständige Ausgabe finden Sie hier.


[1] In der vom Innenausschuss geänderten Fassung (BT-Drs. 19/28844).

[2] BR-Drs. 324/21; BGBl. 2021 I, 1122.

[3] BGBl. 2015 I, 1324.

[4] Vgl. ausführlich Heckmann, in: Heckmann/Paschke, jurisPK-Internetrecht, 7. Aufl. 2021, Kap. 5 Rn. 324 ff; Stroscher, ZD-Aktuell 2021, 05098.

[5] Vgl. die Begründung im Referentenentwurf des Bundesinnenministeriums, S. 64.

[6] Vgl. auch Stroscher, ZD-Aktuell 2021, 05098.

[7] Vgl. den Referentenentwurf des Bundesinnenministeriums, S. 75.

[8] Vgl. Krempl, Bundesrat lässt IT-Sicherheitsgesetz 2.0 zähneknirschend passieren, Heise Online, 08.05.2021.

[9] BR-Drs. 324/21, S. 1.

[10] BR-Drs. 324/21, S. 2.

[11] Dieser Einschätzung schlossen sich zahlreiche Interessensverbände an, vgl. Stroscher, ZD-Aktuell 2021, 05098 (m.w.N.).

[12] Vgl. AG KRITIS, Stellungnahme der AG KRITIS zum 3. Entwurf des IT-SiG 2.0, 03.12.2020, S. 3.

[13] Vgl. Stroscher, ZD-Aktuell 2021, 05098.

[14] Vgl. Meister, Seehofer will BSI zur Hackerbehörde ausbauen, Netzpolitik.de, 12.05.2020.

[15] BDI, Stellungnahme vom 07.12.2020, S. 20 sowie ZVEI, Stellungnahme vom Dezember 2020, S.9; BvD, Stellungnahme vom 08.12.2020, S. 6; Vgl. u.a. BDEW, Stellungnahme vom 10.12.2020, S. 5.

[16] Vgl. z.B. BvD, Stellungnahme vom 08.12.2020, S. 5, 8; Bitkom, Stellungnahme vom 10.12.2020, S. 5; BDI, Stellungnahme vom 07.12.2020, S. 6, 13 ff.

[17] Vgl. Stroscher, ZD-Aktuell 2021, 05098.

[18] Vgl. Bundesamt für Sicherheit in der Informationstechnik (BSI), Schutz Kritischer Infrastrukturen durch IT-Sicherheitsgesetz und UP KRITIS, März 2017, S. 9.

[19] So zum Beispiel bei Banken: Osman, Banken melden fast 500 IT-Pannen in zwei Jahren, Handelsblatt.de, 11.09.2019; siehe bspw. auch Kroker et al., Veraltete IT: Die Geißel deutscher Unternehmen, WiWo.de 24.07.2015, sowie Bechtel, Veraltete Open-Source-Komponenten sind Sicherheitsrisiko, Heise Online, 14.04.2021.

[20] Frei nach Benjamin Franklin, Pennsylvania Assembly: Reply to the Governor, Printed in Votes and Proceedings of the House of Representatives, 1755-1756 (Philadelphia, 1756), pp. 19-21.

Sämtliche Links wurden zuletzt am 07.06.2021 abgerufen.