Aktuelle Debatte zur IT-Sicherheit, insb. zum IT-Sicherheitsgesetz

1. Bundesverband der deutschen Industrie (BDI)

a) KPMG-Studie

Eine vom BDI in Auftrag gegebene KPMG-Studie1KPMG-Studie (http://bdi.eu/media/presse/publikationen/KPMG_IT-Sicherheit_in_Deutschland.pdf, abgerufen am 26.07.2016 2016). kam zu dem Ergebnis, dass der erste Referentenentwurf des IT-Sicherheitsgesetzes vom 12. März 2013 noch viele Fragen offen ließ, und weiterer Handlungsbedarf bestand.

aa) Bürokratiekosten

Konkret wurden unter anderem die geschätzten Bürokratiekosten für die Meldepflicht in Höhe von 1,1 Milliarden Euro pro Jahr moniert.2KPMG-Studie, S. 34 (http://bdi.eu/media/presse/publikationen/KPMG_IT-Sicherheit_in_Deutschland.pdf, abgerufen am 26.07.2016 2016). Fraglich ist jedoch, wie stichhaltig solche Rechenbeispiele sind. Die Bundesregierung errechnet demgegenüber nämlich, ausgehend von 2.000 Betreibern Kritischer Infrastrukturen, sieben meldepflichtigen Vorfällen pro Betreiber/Jahr und anfallenden Kosten von 660,- Euro/Meldung, einen jährlichen Erfüllungsaufwand von nur 9,24 Millionen Euro.3BT-Drs. 18/4096, S. 16. Klar dürfte jedenfalls sein, dass es IT-Sicherheit es niemals zum Nulltarif geben wird.

bb) Reputationsschäden

Auch wurde auf drohende Reputationsschäden für die Unternehmen hingewiesen, sollten diese nicht sorgfältig mit den angefallenen Meldedaten umgehen.4KPMG-Studie, S. 39 (http://bdi.eu/media/presse/publikationen/KPMG_IT-Sicherheit_in_Deutschland.pdf, abgerufen am 26.07.2016). Daher wurde eine pseudonymisierte Meldepflicht via Treuhänder angeregt.5KPMG-Studie, S. 39 (http://bdi.eu/media/presse/publikationen/KPMG_IT-Sicherheit_in_Deutschland.pdf, abgerufen am 26.07.2016). Der Gesetzgeber hat sich dieser Kritik zumindest teilweise angenommen. Nach § 8b Abs. 4 S. 3 BSIG muss die Meldung zu einem IT-Sicherheitsvorfall nur dann den Namen des Betreibers enthalten, wenn dieser Vorfall zu einem Ausfall oder einer Beeinträchtigung der Kritischen Infrastruktur geführt hat.

cc) Fehlende Präzisierung

Ein weiterer zentraler Kritikpunkt innerhalb der KPMG-Studie war die mangelnde Präzisierung der Vorschriften des Entwurfs. Auf Basis des Gesetzesentwurfs ließe sich kaum abschätzen, welches Unternehmen in welchem Umfang Vorfälle melden muss. Insbesondere wurde in diesem Zusammenhang die sektorale Einteilung der meldepflichtigen Unternehmen kritisiert; an ihre Stelle müsse eine transparente und eindeutige Definition der Kritischen Infrastruktur treten.6KPMG-Studie, S. 4 (http://bdi.eu/media/presse/publikationen/KPMG_IT-Sicherheit_in_Deutschland.pdf, abgerufen am 26.07.2016). Geklärt werden müsse ferner der genaue Meldeweg, die Qualität, Detailtiefe und Frist der Meldungen.7KPMG-Studie, S. 4 (http://bdi.eu/media/presse/publikationen/KPMG_IT-Sicherheit_in_Deutschland.pdf, abgerufen am 26.07.2016).

Die kritisierte sektorale Einteilung wurde in § 2 Abs. 10 BSIG beibehalten. Ob es sich bei einem Unternehmen um eine Kritische Infrastruktur handelt, hängt daher maßgeblich von der im Gesetz genannten Rechtsverordnung (BSI-KritisV) ab. Deren erster Teil ist am 03.05.2016 in Kraft getreten. Er enthält die Schwellenwerte für die Sektoren Energie, Informationstechnik und Telekommunikation, sowie Wasser und Ernährung. Per Änderungsverordnung sollen bis Anfang 2017 auch die Anlagen in den verbliebenen Sektoren identifizierbar werden. Bislang liegt der Regelschwellenwert nach der BSI-KritisV bei 500.000 betroffenen Bürgern.

Transparente und eindeutige Kriterien sind daher zwar durchaus vorhanden, wenn auch nicht in erster Linie im Gesetz selbst, sondern in der BSI-KritisV angelegt. Ob dies mit Art. 80 GG vereinbar ist, wird in der Literatur durchaus kritisch gesehen.8Vgl. Unterpunkt 9. Hinsichtlich der Ausgestaltung der Meldepflicht ist den Kritikern zuzugestehen, dass insbesondere § 8b Abs. 4 BSIG einige unbestimmte Rechtsbegriffe enthält („erheblich“, „unverzüglich“). Dafür wurde der Wortlaut von § 8b BSIG an einigen Stellen im Zuge des Gesetzgebungsverfahrens deutlich vereinfacht. So ist das BSI nach § 8b Abs. 1 BSIG nicht mehr „die zentrale Meldestelle für Betreiber Kritischer Infrastrukturen in Angelegenheiten der Sicherheit der informationstechnischen Systeme, Komponenten oder Prozesse nach § 8a Absatz 1 Satz 1“9Vgl. erster Entwurf vom 05.03.2013 ...continue sondern nur noch schlicht „die zentrale Meldestelle für Betreiber Kritischer Infrastrukturen in Angelegenheiten der Sicherheit in der Informationstechnik“. Die Betreiber sollen nach § 8b Abs. 3 BSIG auch keine „Warn- und Alarmierungskontakte“10Vgl. erster Entwurf vom 05.03.2013 ...continue mehr benennen, sondern lediglich „eine Kontaktstelle“. Auch der im ersten Entwurf enthaltene Absatz 5 wurde nicht ins BSIG aufgenommen.

Die KPMG-Studie monierte zudem unnötige Doppelregulierungen nach dem ersten Entwurf. So würden etwa Unternehmen aus der IKT-Branche verpflichtet, IT-Sicherheitsvorfälle sowohl an die BNetzA als auch an das BSI zu melden, obwohl diese ohnehin die Meldungen untereinander weiterreichen.11KPMG-Studie, S. 41 (http://bdi.eu/media/presse/publikationen/KPMG_IT-Sicherheit_in_Deutschland.pdf, abgerufen am 26.07.2016). Diesen Kritikpunkt hat der Gesetzgeber mit dem neuen § 8c Abs. 3 Nr. 1 BSIG behoben. Diese Vorschrift nimmt die IKT-Unternehmen, die ohnehin der Regelung von § 109 Abs. 5 TKG unterfallen, vom Anwendungsbereich des § 8b Abs. 3-5 BSIG aus.

dd) Nutzbarmachung für andere Unternehmen

Die KPMG-Studie forderte zudem, die durch das BSI aggregierten und ausgewerteten Daten aus den Meldungen für andere Unternehmen in stärkerem Maße fruchtbar zu machen.12 KPMG-Studie, S. 40 (http://bdi.eu/media/presse/publikationen/KPMG_IT-Sicherheit_in_Deutschland.pdf, abgerufen am 26.07.2016). Denn das Potential der bereits vorhandenen Daten könne nicht genutzt werden, wenn nur jedes Halbjahr oder in noch größeren Zeitabständen ein Bericht veröffentlicht werde.13KPMG-Studie, S. 40 (http://bdi.eu/media/presse/publikationen/KPMG_IT-Sicherheit_in_Deutschland.pdf, abgerufen am 26.07.2016).

Umgekehrt formulierte die KPMG-Studie die Forderung, die Speicherung und Aufbereitung der Daten möglichst transparent darzustellen und ihrer Verbreitung enge Grenzen zu setzen.14KPMG-Studie, S. 41 (http://bdi.eu/media/presse/publikationen/KPMG_IT-Sicherheit_in_Deutschland.pdf, abgerufen am 26.07. 2016).  Dies sollte der hohen Sensibilität der Firmendaten Rechnung tragen, und die Akzeptanz der Meldepflicht bei den Betreibern erhöhen.

Das IT-Sicherheitsgesetz versucht beiden Erwartungshaltungen gerecht zu werden. § 8d BSIG gewährt Zugang zu den amtlichen Informationen, jedoch nur, solange nicht schutzwürdige Interessen des betroffenen Betreibers entgegenstehen. Auch die Erkenntnisse, die das BSI aus den Untersuchungen nach § 7a BSIG gewinnt, werden nur nach einer strengen Erforderlichkeitsprüfung weitergegeben. Außerdem wird gegenüber dem ersten Entwurf  in § 7a Abs. 2 S. 3 BSIG dem betroffenen Hersteller Gelegenheit zur Stellungnahme gegeben. Der Beschluss des Bundestages und der erste Entwurf differieren jedoch nicht in dem Punkt, dass nach § 13 BSIG für das BSI nur ein Bericht pro Jahr obligatorisch ist. Der Wortlaut von § 13 BSIG („mindestens“) lässt jedoch weitere Berichte zu.

ee) Mindestsicherheitsstandards international ausrichten

Das KPMG-Gutachten begrüßte die Einführung branchenspezifischer IT-Mindeststandards, wie sie bereits der § 8a Abs. 2 BSIG des ersten Entwurfs vorsah.15KPMG-Studie, S. 41 (http://bdi.eu/media/presse/publikationen/KPMG_IT-Sicherheit_in_Deutschland.pdf, abgerufen am 26.07.2016). Zugleich mahnte das Gutachten, bei der Entwicklung und behördenseitigen Anerkennung dieser Standards die internationale Geschäftstätigkeit der Unternehmen mit zu berücksichtigen.16KPMG-Studie, S. 42 (http://bdi.eu/media/presse/publikationen/KPMG_IT-Sicherheit_in_Deutschland.pdf, abgerufen am 26.07.2016).

Aus dem gleichen Grund sollten sich auch die in § 8a Abs. 3 BSIG vorgesehen Audits an internationalen Standards orientieren.17KPMG-Studie, S. 42 (http://bdi.eu/media/presse/publikationen/KPMG_IT-Sicherheit_in_Deutschland.pdf, abgerufen am 26.07.2016). Die Meldung der Auditberichte an das BSI wird daher kritisch gesehen.18KPMG-Studie, S. 42 (http://bdi.eu/media/presse/publikationen/KPMG_IT-Sicherheit_in_Deutschland.pdf, abgerufen am 26.07.2016).

b) Digitale Agenda der deutschen Industrie

Der BDI hat daneben eine eigene digitale Agenda der deutschen Industrie veröffentlicht.19Digitale Agenda der deutschen Industrie, S. 38 (http://bdi.eu/media/presse/publikationen/information-und-telekommunikation/Digitale-Agenda.pdf, ...continue Diese widmet sich auch dem Thema  IT-Sicherheit. Die Agenda ergänzt die Studie um einige aus Sicht des BDI wünschenswerte, netzpolitische Punkte.

Das BDI mahnt dabei die Kompatibilität des IT-Sicherheitsgesetzes mit der NIS-Richtlinie (NIS-RL) an. Nach Art. 2 NIS-RL hat sich der Richtliniengeber auf den Harmonisierungsgrad der Mindestharmonisierung festgelegt. D. h., der Bundesrepublik steht es grundsätzlich frei, über die Regelungen der NIS-Richtlinie hinausgehende, striktere Regelungen zur IT-Sicherheit im deutschen Recht einzuführen.20Ausführlich Micklitz/Rott, in: Dauses, EU-Wirtschaftsrecht, 39. EL Februar 2016, Rn. 41 ff. Dies hat der nationale Gesetzgeber etwa mit der alle zwei Jahre stattfindenden Überprüfung der Einhaltung der Mindestsicherheitsstandards getan. Allerdings fehlt im IT-Sicherheitsgesetz im Gegensatz zur NIS-Richtlinie beispielsweise eine Regelung zur internationalen Kooperation. Das IT-Sicherheitsgesetz sieht lediglich vor, dass das BSI als internationaler Ansprechpartner fungieren soll.21Vgl. BT-Drs. 18/4096, S. 24. Hierauf lässt sich dann auch die Kritik an der fehlenden internationalen/europäischen Zusammenarbeit beziehen. So sollten nach Ansicht des BDI EU-weite technische Prüf-, Zertifizierungs- und Zulassungsverfahren vorangetrieben werden, wobei auf die Zuverlässigkeit und die Vertrauenswürdigkeit der verantwortlichen Stellen zu achten ist. Das BDI moniert zudem, dass nach dem IT-Sicherheitsgesetz die staatlichen Institutionen zu wenig verpflichtet würden. Dass auch hier wieder vor dem Hintergrund der NIS-Richtlinie tatsächlich Nachbesserungsbedarf besteht, zeigt ein Blick in deren Erwägungsgrund 45. Danach sind auch die öffentlichen Verwaltungen Regelungsadressat als „Betreiber wesentlicher Dienste“.

 

2. Verband der Internetwirtschaft e.V. (eco)

Der Verband der Internetwirtschaft e. V. (eco) lehnt die weitere Belastung von IKT-Unternehmen im Zuge des IT-Sicherheitsgesetzes nach wie vor ab.22https://www.eco.de/2015/pressemeldungen/it-sicherheitsgesetz-rechtsverordnung-muss-schwerpunkt-auf-nicht-regulierte-branchen-setzen.html (abgerufen ...continue

Positiv gesehen wird hingegen die in Art. 10 IT-Sicherheitsgesetz eingeführte Evaluierung der Verpflichtungen für Betreiber Kritischer Infrastrukturen sowie die enge Zweckbindung der Untersuchungsergebnisse des BSI.23https://www.eco.de/2015/pressemeldungen/it-sicherheitsgesetz-rechtsverordnung-muss-schwerpunkt-auf-nicht-regulierte-branchen-setzen.html (abgerufen ...continue

Hinsichtlich der aktuellen Diskussion um die Erstellung der Mindeststandards fordert eco, die vielfältigen Geschäftsmodelle und Dienstleistungen im IKT-Bereich zu berücksichtigen und nach Möglichkeit „Unter-Branchen“-Standards zu definieren.24https://www.eco.de/2015/news/security/eco-kg-recht-regulierung-it-sicherheitsgesetz-auf-dem-pruefstand.html (abgerufen am 26.07.2016). Generell sei gerade im IKT-Bereich sehr schwierig festzulegen, was ein „Standard“ oder der „Stand der Technik“ sei.25https://www.eco.de/2015/news/security/eco-kg-recht-regulierung-it-sicherheitsgesetz-auf-dem-pruefstand.html (abgerufen am 26 .07.2016).

 

3. Gesellschaft der Informatik e. V. (GI)

In einer Mitteilung des Gesellschaft der Informatik e.V. (GI) vom Juli 2015 begrüßte der GI generell den Vorstoß der Bundesregierung, sich den Gefahren von Angriffen über das Internet zu widmen.26Informatik-Spektrum, 2015, 443 f. Der damalige Zustand wurde als „desolat“ verurteilt, was insbesondere die Angriffe auf staatliche Einrichtungen deutlich machen würden.27Informatik-Spektrum, 2015, 443. Cyberattacken kämen aber insbesondere auch der Wirtschaft teuer zu stehen; der jährliche Schaden durch Wirtschaftsspionage und Sabotage läge bei einem mittleren zweistelligen Milliardenbetrag.28Informatik-Spektrum, 2015, 443. Vor diesem Hintergrund fordert der GI die Anstrengungen gegen Angriffe aus dem Internet zu intensivieren. Die aus dem IT-Sicherheitsgesetz folgenden Mindeststandards müssten daher generell – also nicht nur für Kritische Infrastrukturen – verpflichtend werden.29Informatik-Spektrum, 2015, 443, 444. Über den Regelungsbereich des IT-Sicherheitsgesetzes hinaus fordert der GI dazu auf, darüber nachzudenken, wie im Verteidigungsfall auf die in der Wirtschaft beschäftigten IT-Fachkräfte zurückgegriffen werden könne.30Informatik-Spektrum, 2015, 443, 444. Zudem müssten die rechtlichen und wirtschaftlichen Rahmenbedingungen für die Entwicklung von sicherheitsrelevanter Soft- und Hardware verbessert werden.31https://www.gi.de/aktuelles/meldungen/detailansicht/article/safer-internet-day-ein-it-sicherheitsgesetz-sollte-das-internet-auch-sicherer-machen.html ...continue Hierbei könnten beispielsweise Open-Source-Lizenzen eine größere Rolle übernehmen.32https://www.gi.de/aktuelles/meldungen/detailansicht/article/safer-internet-day-ein-it-sicherheitsgesetz-sollte-das-internet-auch-sicherer-machen.html ...continue

War das IT-Sicherheitsgesetz des GI insofern noch nicht weitreichend genug, gibt es von Seiten des GI auch Kritik in die umgekehrte Richtung. Am IT-Sicherheitsgesetzes-Entwurf monierte der GI die inzwischen realisierten Änderungen in §§ 100 Abs. 1, 109 Abs. 2 TKG. Hier wurde nämlich die Einführung einer Vorratsdatenspeicherung durch die Hintertür vermutet.33https://www.gi.de/aktuelles/meldungen/detailansicht/article/safer-internet-day-ein-it-sicherheitsgesetz-sollte-das-internet-auch-sicherer-machen.html ...continue Zudem sei das Auskunftsverlangen nach § 8d Abs. 1 BSIG zu intransparent.34https://www.gi.de/aktuelles/meldungen/detailansicht/article/safer-internet-day-ein-it-sicherheitsgesetz-sollte-das-internet-auch-sicherer-machen.html ...continue

 

4. Konferenz der Datenschutzbeauftragten des Bundes und der Länder (DSK)

Kritisch hat auch die 89. DSK vom 18./19.03.2015 den damals vorliegenden zweiten Entwurf zum IT-Sicherheitsgesetz betrachtet. Da sich die endgültige vom Bundestag am 12.06.2015 verabschiedete Fassung des IT-Sicherheitsgesetzes – gerade im Bereich Datenschutz – kaum von dem durch die Datenschutzbeauftragten begutachteten Entwurf unterscheidet, besitzt deren Kritik nach wie vor Relevanz. Die Datenschutzbeauftragten forderten, die Eingriffe in das Recht auf informationelle Selbstbestimmung der Betroffenen auf das nötige Minimum zu reduzieren.35https://datenschutz-berlin.de/attachments/1099/IT-Sicherheitsgesetz_Entschlie__ung.pdf?1426767113 (abgerufen am 26..07.2016). Es fehlten wichtige Bestimmungen, wer zu welchem Zweck personenbezogene Daten erheben dürfe.36https://datenschutz-berlin.de/attachments/1099/IT-Sicherheitsgesetz_Entschlie__ung.pdf?1426767113 (abgerufen am 26..07.2016). Maßnahmen zum Schutz der Betroffenenrechte würden häufig nicht geregelt.37https://datenschutz-berlin.de/attachments/1099/IT-Sicherheitsgesetz_Entschlie__ung.pdf?1426767113 (abgerufen am 26.07.2016). Ebenfalls wird moniert, dass die Informationssicherheit allein im Direktionsbereich des Bundesministeriums des Innern verbliebe, während die Datenschutzbehörden nicht involviert würden.38https://datenschutz-berlin.de/attachments/1099/IT-Sicherheitsgesetz_Entschlie__ung.pdf?1426767113 (abgerufen am 26.07.2016).

 

5. Cyber-Sicherheitsrat Deutschland e.V.

Probleme mit dem IT-Sicherheitsgesetz hat auch der Cyber-Sicherheitsrat Deutschland e.V.: Anstelle von Sicherheit würden lediglich Bürokratie und finanzielle Aufwendungen steigen.39http://www.cybersicherheitsrat.de/data/CSRD-e.V.-Pressemitteilung-Angriff-auf-den-Deutschen-Bundestag-11.06.2015.pdf (abgerufen am 26.07.2016). Der Cyber-Sicherheitsrat Deutschland e.V. empfahl daher, das Gesetz regelmäßig zu evaluieren und zügig die hierdurch aufgedeckten gesetzgeberischen Mängel zu beseitigen.40http://www.cybersicherheitsrat.de/data/CSRD-e.V.-Pressemitteilung-Angriff-auf-den-Deutschen-Bundestag-11.06.2015.pdf (abgerufen am 26.07.2016). Dieser Empfehlung ist der Gesetzgeber mit Art. 10 IT-Sicherheitsgesetz (bezüglich der §§ 2 Abs. 10, 8a-d, 10 BSIG) bereits nachgekommen.

Bei der Evaluierung, schlägt der Cyber-Sicherheitsrat Deutschland e. V. vor, sollte berücksichtigt werden, ob die Aufklärungsquote bei „Cyber-Delikten“ gestiegen ist, und ob die Regelungen zu einer nachhaltigen Verbesserung der IT-Sicherheit beitragen konnten.41http://www.cybersicherheitsrat.de/data/CSRD-e.V.-Pressemitteilung-Angriff-auf-den-Deutschen-Bundestag-11.06.2015.pdf (abgerufen am 26.07.2016).

 

6. Bundesverband Informationswirtschaft, Telekommunikation und neue Medien e. V. (Bitkom)

Auch der Bitkom nahm zum (Entwurf des) IT-Sicherheitsgesetz(es) Stellung.

a) Änderungen im BSIG

Das Vorhaben, die IT-Sicherheit durch die Einführung von Mindeststandards zu erhöhen, wurde ausdrücklich begrüßt.42Stellungnahme, S. 2 ...continue Bemängelt wurde hingegen das Fehlen der BSI-KritisV, deren erster Teil inzwischen am 03.05.2016 in Kraft getreten ist. Der Bitkom äußerte zudem gegen die Verordnungsermächtigung verfassungsrechtliche Bedenken. Es fehle an der Bestimmtheit, der Normklarheit und der Begrenzung der Ermächtigung.43Stellungnahme, S. 5 ...continue Stattdessen hätten laut dem Bitkom bereits im Gesetz selbst die konkreten Parameter der Begriffsdefinition von Kritischer Infrastruktur hinterlegt werden müssen.44Stellungnahme, S. 4 f. ...continue Dem Bitkom fehlt bei der Definition von Kritischer Infrastruktur durch das IT-Sicherheitsgesetz zudem die geographische Reichweite.45Stellungnahme, S. 5 ...continue Hierdurch ginge den Unternehmen nötige Planungssicherheit verloren.46Stellungnahme, S. 5 ...continue Generell berücksichtige der Gesetzgeber nicht hinreichend den Erfüllungsaufwand für die Unternehmen, welcher mit dem Gesetz einhergeht.47Stellungnahme, S. 2 ...continue

Über den Regelungsbereich des (bisherigen) IT-Sicherheitsgesetzes hinaus fordert der Bitkom zudem die einzelnen IT-sicherheitsrechtlichen Regelungen besser aufeinander abzustimmen. Der Bitkom wünscht sich u. a. eine Vereinheitlichung der Störungsbegriffe nach TMG, TKG und BSIG.48Stellungnahme, S. 11 ...continue Des Weiteren solle das Verhältnis der Meldepflichten nach § 7 Abs. 1 S. 1 Nr. 1 lit. c BSIG zu derjenigen nach § 42a BDSG geklärt werden.49Stellungnahme, S. 6 ...continue Wie viele der vorgenannten Kritiken bemängelt auch die Stellungnahme der Bitkom schließlich die unzureichende Abstimmung des IT-Sicherheitsgesetzes mit dem Entwurf der NIS-Richtlinie.50Stellungnahme, S. 4 ...continue Hier hat sich zwar im Laufe des Gesetzgebungsprozesses einiges getan (etwa die Umsetzung der Sanktionspflicht nach Art. 17 NIS-Richtlinien-Entwurf in § 14 BSIG, zu der sich der Gesetzgeber erst in letzter Minute durchringen konnte). Allerdings gibt es nach wie vor Anpassungsbedarf (siehe oben).

In höchstem Maße kritisch sah der Bitkom die in § 7a BSIG enthaltene BSI-Testkompetenz. Zum Zeitpunkt der Bitkom-Stellungnahme (datiert auf den 12.11.2014) lag noch nicht der Kabinettsbeschluss (17.12.2014) bzw. der Beschluss des Bundestages (12.06.2015) zum IT-Sicherheitsgesetz vor. D. h., die Bitkom-Stellungnahme berücksichtigt nicht, dass in Bezug auf die Einbeziehung Dritter die Einschränkung „soweit berechtigte Interessen des Herstellers […] dem nicht entgegenstehen“ in § 7a BSIG eingepflegt wurde. Ebensowenig berücksichtigt die Bitkom-Stellungnahme, dass das beschlossene IT-Sicherheitsgesetz in § 7a Abs. 2 BSIG ausdrücklich eine Erforderlichkeitsprüfung vorschreibt., Die Frage der Bitkom, ob nicht ein neues IT-Sicherheitsrisiko dadurch entstünde, dass die Testergebnisse und Prüfaudits an einem Ort (BSI) abgespeichert werden, konnte der Gesetzgeber bislang noch nicht beantworten51Stellungnahme, S. 6 ...continue Schließlich verlangt der Bitkom nach weiteren Ausnahmen etwa für Geschäfts- und Betriebsgeheimnisse.52Stellungnahme, S. 7 ...continue

Probleme sah der Bitkom auch bei der Meldepflicht nach § 8b BSIG: Der Entwurf verpflichte praktisch dazu, jegliche Störung zu melden.53Stellungnahme, S. 8 ...continue Diese Kritik muss sich das beschlossene IT-Sicherheitsgesetz – zumindest in dieser Schärfe – nicht mehr gefallen lassen. Das Gesetz verlangt (nur) noch die Meldung von „erheblichen“ Störungen. Laut der Gesetzesbegründung fehlt es an der Erheblichkeit, wenn es sich um tagtäglich vorkommende Ereignisse handelt, welche mit Hilfe der nach § 8a Abs. 1 BSIG ohnehin verpflichtenden technischen und organisatorischen Maßnahmen behoben werden können.54BT-Drs. 18/4096, S. 28. Der Gesetzgeber dachte dabei u. a. an Spam oder Schadsoftware, welche standardmäßig vom Anti-Virenprogramm abgefangen wird.55BT-Drs. 18/4096, S. 28. Da es sich bei dem Begriff „erheblich“ um einen unbestimmten Rechtsbegriff handelt, werden die letzten Worte bei der Auslegung allerdings die Gerichte haben. Der Bitkom wünschte sich zudem die Möglichkeit einer anonymisierten Meldung.56 Stellungnahme, S. 9 ...continue Diesem Wunsch ist der Gesetzgeber in § 8b Abs. 4 S. 3 BSIG nachgekommen. Nicht realisiert und zu diskutieren wäre der Vorschlag des Bitkom, die Informationen zur Analyse der Mängel beim jeweiligen Betreiber zu belassen.57Stellungnahme, S. 8 ...continue Darüber hinaus kritisiert er die zu geringe Ausstattung des BSI mit Personal, Geld und Know-how.58 Stellungnahme, S. 3 ...continue

b) Änderungen im TMG

In Bezug auf die Änderungen im TMG vertrat der Bitkom die Ansicht, dass der Adressatenkreis in § 13 Abs. 7 TMG zu weit gefasst ist.59Stellungnahme, S. 10 ...continue Diese Kritik müsste der Bitkom nach dem Beschluss des IT-Sicherheitsgesetzes im Bundestag sogar noch heftiger vertreten, da inzwischen ausnahmslos alle geschäftsmäßigen Telemediendiensteanbieter erfasst sind.

Der Bitkom lehnt auch die in § 13 Abs. 7 TMG den Telemediendiensteanbietern auferlegten Pflichten ab. Schließlich könnten Letztere keine absolute Sicherheit garantieren.60Stellungnahme, S. 10 ...continue Dieser Kritik ist jedoch entgegenzuhalten, dass das Gesetz die bezeichneten Pflichten unter den Vorbehalt des technisch Möglichen und wirtschaftlich Zumutbaren stellt. Diese Pflichten stehen also unter einer Art Verhältnismäßigkeitsvorbehalt.61Terhaag, IT-Sicherheitsgesetz, Artikel 4 – TMG, § 13, Praxiskommentar, S. 86. Im Anschluss wirft der Bitkom die Frage auf, ob in § 13 Abs. 7 TMG ein Schutzgesetz nach § 823 Abs. 2 BGB zu sehen sei, und macht so auf die ungeklärte Frage der zivilrechtlichen Haftung aufmerksam.62Stellungnahme, S. 10 ...continue Auch die neu eingeführte Bußgeldandrohung für die Verletzung von § 13 Abs. 7 TMG wird seitens des Bitkom als unverhältnismäßig kritisiert.63Stellungnahme, S. 11 ...continue

c) Änderungen im TKG

Als effiziente und effektive Gefahrenabwehr lobt der Bitkom die Anpassung von § 100 TKG durch das IT-Sicherheitsgesetz.64Stellungnahme, S. 11 ...continue § 100 TKG erlaubt es dem Diensteanbieter, Bestandsdaten und Verkehrsdaten der Teilnehmer und Nutzer zur Störungsbeseitigung zu erheben und zu verwenden, mit anderen Worten zu speichern und zu verarbeiten, soweit dies erforderlich ist. Nicht geregelt ist allerdings die Speicherdauer. Hier hatte sich der Bitkom – zumindest in der Gesetzesbegründung – eine Konkretisierung gewünscht.65Stellungnahme, S. 11 ...continue Der Gesetzgeber ist hier untätig geblieben, sodass fraglos Rechtsunsicherheit besteht. Als grobe Anhaltspunkte mögen den Diensteanbietern die in der Rechtsprechung entwickelten Grundsätze zu Speicherzeiträumen dienen. Der BGH hatte bspw. die Speicherung einer IP-Adresse zur Behebung einer Störung über § 100 Abs. 1 TKG a. F. für die Dauer von sieben Tagen (noch) für zulässig erachtet, gleichzeitig aber auch noch einmal klargestellt, dass die Speicherdauer nicht das zur Erreichung der Zwecke der Norm notwendige Maß überschreiten dürfe.66BGH, v. 3.7.2014 – III ZR 391/13, NJW 2014, 2500, 2503.

Auf Ablehnung stößt schließlich die Absenkung der Meldeschwelle in § 109 Abs. 5 TKG.67Stellungnahme, S. 12 ...continue Probleme hat der Bitkom dabei unter anderem mit § 109 Abs. 5 S. 2 TKG, wonach auch solche Störungen gemeldet werden müssen, die zu einer Einschränkung der Verfügbarkeit der über die Telekommunikationsnetze erbrachten Dienste führen können.68Stellungnahme, S. 12 f. ...continue Schließlich könnten derartige Störungen schon aufgrund von Wartungsarbeiten eintreten.69Stellungnahme, S. 12 ...continue Als unverhältnismäßig empfindet der Bitkom die Tatsache, dass auch Störungen gemeldet werden müssen, die sich nicht verwirklicht haben („führen können“).70Stellungnahme, S. 12 ...continue Letztlich will der Bitkom zur Formulierung „von denen der Netzbetreiber Kenntnis erlangt“ aus dem Entwurf von August 2014 zurück.71Stellungnahme, S. 12 ...continue Dadurch erhofft er sich mehr Handlungssicherheit für die betroffenen TK-Unternehmen.72Stellungnahme, S. 12 ...continue Generell erwartet der Bitkom durch § 109 Abs. 5 TKG n. F. einen hohen administrativen Aufwand sowohl für die betroffenen Unternehmen als auch für die BNetzA und das BSI.73Stellungnahme, S. 13 ...continue

 

7. Chaos Computer Club e. V. (CCC)

Der CCC kritisiert in seinen Stellungnahmen das IT-Sicherheitsgesetz scharf.

Der Zwang zur Zusammenarbeit mit dem BSI, so mutmaßt der CCC, wurde eingeführt, da das BSI zuvor gerade nicht der erste Ansprechpartner von Unternehmen war, wenn es Probleme mit der IT-Sicherheit gab.74Stellungnahme zum IT-Sicherheitsgesetz, S. 12 (http://linus-neumann.de/wp-content/uploads/2015/04/ITSG_Stellungnahme_CCC_Linus_Neumann.pdf, abgerufen ...continue Dies sei zum einem dem Umstand geschuldet, dass das BSI nicht unbedingt in dem Ruf stünde, besonders kompetente und zeitnahe Unterstützung zu leisten.75Stellungnahme zum IT-Sicherheitsgesetz, S. 12 (http://linus-neumann.de/wp-content/uploads/2015/04/ITSG_Stellungnahme_CCC_Linus_Neumann.pdf, abgerufen ...continue Zum anderen läge es daran, dass das BSI dem Bundesministerium des Inneren unterstellt ist, und daher angenommen werde, dass es zur Schaffung von innerer Sicherheit gezielt auf eine Schwächung von Endgeräten und Kommunikationsinfrastrukturen hinarbeitet.76Stellungnahme zum IT-Sicherheitsgesetz, S. 12 (http://linus-neumann.de/wp-content/uploads/2015/04/ITSG_Stellungnahme_CCC_Linus_Neumann.pdf, abgerufen ...continue

Nach Ansicht des Vereins wurden zudem zu wenig Maßnahmen zum Schutz von Endnutzern und Privatanwendern getroffen.77Stellungnahme zum IT-Sicherheitsgesetz, S. 4 (http://linus-neumann.de/wp-content/uploads/2015/04/ITSG_Stellungnahme_CCC_Linus_Neumann.pdf, abgerufen ...continue Vor allem aber hätte die „Schwachstelle Mensch“ stärker in Angriff genommen werden müssen.78Stellungnahme zum IT-Sicherheitsgesetz, S. 6 (http://linus-neumann.de/wp-content/uploads/2015/04/ITSG_Stellungnahme_CCC_Linus_Neumann.pdf, abgerufen ...continue Gefahren gingen häufiger von Social Engineering als von unzureichenden technischen Schutzmaßnahmen aus.79Stellungnahme zum IT-Sicherheitsgesetz, S. 6 (http://linus-neumann.de/wp-content/uploads/2015/04/ITSG_Stellungnahme_CCC_Linus_Neumann.pdf, abgerufen ...continue Notwendig seien daher etwa Weiter- und Fortbildungen, um den Anwendern spezifische Gefahren bewusst zu machen.80Stellungnahme zum IT-Sicherheitsgesetz, S. 6 (http://linus-neumann.de/wp-content/uploads/2015/04/ITSG_Stellungnahme_CCC_Linus_Neumann.pdf, abgerufen ...continue Der CCC denkt auch an ein Verfahren, das das Melden von Sicherheitslücken finanziell entlohnt (sog. Bug Bounties).81Stellungnahme zum IT-Sicherheitsgesetz, S. 7 (http://linus-neumann.de/wp-content/uploads/2015/04/ITSG_Stellungnahme_CCC_Linus_Neumann.pdf, abgerufen ...continue

Wie auch andere Kritiker bemängelt der CCC das Fehlen von eindeutigen Haftungsregeln82Stellungnahme zum IT-Sicherheitsgesetz, S. 7 (http://linus-neumann.de/wp-content/uploads/2015/04/ITSG_Stellungnahme_CCC_Linus_Neumann.pdf, abgerufen ...continue und den Anstieg der Bürokratie.83Stellungnahme zum IT-Sicherheitsgesetz, S. 9 (http://linus-neumann.de/wp-content/uploads/2015/04/ITSG_Stellungnahme_CCC_Linus_Neumann.pdf, abgerufen ...continue Statt der Festlegung auf den im IT-Sicherheitsgesetz gleich an mehreren Stellen (§§ 8a Abs. 1 S. 2 BSIG, 13 Abs. 7 S. 2 TMG, 109 Abs. 2 S. 3 TKG) verankerten „Stand der Technik“ wäre es nach Ansicht des CCC zudem besser gewesen, gleich starke Sicherheitsstandards für verbindlich zu erklären.84Stellungnahme zum IT-Sicherheitsgesetz, S. 10 (http://linus-neumann.de/wp-content/uploads/2015/04/ITSG_Stellungnahme_CCC_Linus_Neumann.pdf, abgerufen ...continue Auch den vom Gesetzgeber verfolgten kooperativen Ansatz bei der Erarbeitung der Mindeststandards lehnt der CCC ab: Die Selbstregulierung der Branchen führe lediglich dazu, dass bestehende Minimalstandards für verbindlich erklärt würden.85Stellungnahme zum IT-Sicherheitsgesetz, S. 10 (http://linus-neumann.de/wp-content/uploads/2015/04/ITSG_Stellungnahme_CCC_Linus_Neumann.pdf, abgerufen ...continue IT-Sicherheit würde so jedenfalls nicht erreicht.86Stellungnahme zum IT-Sicherheitsgesetz, S. 10 (http://linus-neumann.de/wp-content/uploads/2015/04/ITSG_Stellungnahme_CCC_Linus_Neumann.pdf, abgerufen ...continue

 

8. Bundesverband IT-Sicherheit e. V. (TeleTrusT)

Der TeleTrusT begrüßt zwar, dass das IT-Sicherheitsgesetz nicht nur die Betreiber Kritischer Infrastrukturen verpflichtet, sondern auch nicht-kritische Systeme wie Telemedienangebote, bemängelt aber die konkrete Umsetzung.87Handreichung zum „Stand der Technik“ im Sinne des IT-Sicherheitsgesetzes (ITSiG), S. 3 ...continue Als problematisch empfindet der TeleTrusT, dass das TMG offen lässt, nach welchen Maßstäben technische und organisatorische Vorkehrungen zu treffen sind, und in welchem Verhältnis diese zu den Vorgaben nach der Anlage zu § 9 S. 1 BDSG stehen.88Handreichung zum „Stand der Technik“ im Sinne des IT-Sicherheitsgesetzes (ITSiG), S. 3 ...continue

In der Literatur wird § 13 Abs. 7 TMG jedenfalls als eine Konkretisierung der Maßnahmen zur Datensicherheit nach der Anlage zu § 9 S. 1 BDSG gesehen.89Gitter/Meißner/Spauschus, DuD 2016, 7, 11. Telemediendiensteanbieter müssten daher umfassend für alle Schutzvorkehrungen auf den Stand der Technik abstellen.90Gitter/Meißner/Spauschus, DuD 2016, 7, 11. Schließlich ginge der Schutzzweck von § 13 Abs. 7 TMG über denjenigen personenbezogener Daten hinaus, und beziehe sich auch auf den Schutz sonstiger vertraulicher Daten und den der informationstechnischen Systeme.91 Gitter/Meißner/Spauschus, DuD 2016, 7, 11.

 

9. Juristische Literatur

a) Prof. Dr. Dirk Heckmann

Für Prof. Dr. Dirk Heckmann ist IT-Sicherheit gleich Lebenssicherheit.92Heckmann, MMR 2015, 289, 290. Vor diesem Hintergrund kommt ihm das IT-Sicherheitsgesetz zu spät und leistet angesichts der erheblichen Bedrohungslage zu wenig.93Heckmann, MMR 2015, 289, 290. Er lobt zwar beispielsweise die in § 8a Abs. 1 BSIG hinzugekommene Verpflichtung der Betreiber Kritischer Infrastrukturen zu besonderen technischen und organisatorischen Vorkehrungen auf dem Gebiet der IT-Sicherheit,94Heckmann, MMR 2015, 289. sieht aber weiteren Regelungsbedarf und auch handwerkliche Fehler in dem, was bislang durch den Gesetzgeber geleistet wurde. Zusätzlichen Regelungsbedarf sieht Prof. Dr. Dirk Heckmann unter anderem bei der Verantwortungsteilung, bei der Schaffung klarer Haftungs- und Verantwortungsregeln, oder bei „eingebauter“ IT-Sicherheit („Security by Design“).95Heckmann, FAZ, 06.10.2015, S. P2. Als verfassungsrechtlich durchaus bedenklich stuft Prof. Dr. Dirk Heckmann die Konkretisierung des Begriffs der Kritischen Infrastrukturen nach § 2 Abs. 10 BSIG durch den Verordnungsgeber ein.96Heckmann, MMR 2015, 289, 290. Immerhin gehe es hier um nicht weniger als um die Frage nach der Eröffnung des Anwendungsbereiches der Norm.97Heckmann, MMR 2015, 289, 290. Schließlich träfen nur den Normadressaten die Melde- und sonstigen Pflichten nach dem IT-Sicherheitsgesetz.98Heckmann, MMR 2015, 289, 290. Prof. Dr. Dirk Heckmann begründet seine Kritik mit dem Bestimmtheitsgrundsatz, wonach der Normadressat nicht raten müssen soll, ob ein Gesetz für ihn gelte.99Heckmann, MMR 2015, 289, 290.

b) Prof. Dr. Gerrit Hornung

Professor Dr. Gerrit Hornung sieht im IT-Sicherheitsgesetz ebenfalls einen Schritt in die richtige Richtung, würde sich aber Verbesserungen im Bereich des Informationsflusses wünschen.100Hornung, NJW 2015, 3334, 3340. Dabei denkt er etwa an eine proaktive Informationspflicht des BSI.101Hornung, NJW 2015, 3334, 3338.

c) Prof. Dr. Rainer W. Gerling

Prof. Dr. Rainer W. Gerling begrüßt die Verpflichtung von Unternehmen, Mindeststandards einzuhalten.102Gerling, RDV 2015, 167, 170. Richtig sei es auch, diese nicht konkret in Gesetzen oder der Verordnung zu umreißen, damit schneller auf Änderungen der Bedrohungslage reagiert werden könne.103Gerling, RDV 2015, 167, 170. Probleme hat allerdings auch Gerling bspw. mit dem unbestimmten Begriff der „erheblichen Störung“.104Gerling, RDV 2015, 167, 170. Zudem dürfte die Umsetzungsfrist zu kurz bemessen sein, und ein Preisanstieg sei wohl auch nicht zu vermeiden.105Gerling, RDV 2015, 167, 170. Negativ fällt Prof. Dr. Rainer W. Gerling auf, dass viele Bundesbehörden von den Sicherheitsvorgaben ausgenommen sind, und die Bundesbehörden sogar komplett von der Meldepflicht ausgenommen werden.106Gerling, RDV 2015, 167, 170.

d) Andreas Könen

Der Vizepräsident des BSI, Andreas Könen, hat den Eindruck, dass das IT-Sicherheitsgesetz das IT-Sicherheitsniveau in den Kritischen Infrastrukturen anheben wird.107Könen, DuD 2016, 12, 16. Über das Gesetz hinaus gäbe es jedoch noch gesetzgeberischen Handlungsbedarf im Bereich „IT-Security by Design“.108Könen, DuD 2016, 12, 16. Nur so sei Deutschland für die nächsten Herausforderungen in der Digitalisierung wie z.B. Industrie 4.0 oder autonomes Fahren gewappnet.109Könen, DuD 2016, 12, 16.

e) Dr. Michael Rath/Christian Kuss, LL.M./Simone Bach, LL.M.

Dr. Michael Rath, Christian Kuss, LL.M. und Simone Bach, LL.M. machen auf die Ausstrahlungswirkung der IT-Mindeststandards auf Zuliefererbetriebe und Unternehmen außerhalb der kritischen Sektoren aufmerksam. Diese Mindestmaßnahmen könnten sich zu einem generellen De-facto-Standard weiterentwickeln.110Rath/Kuss/Bach, K&R 2015, 437, 440. Hieran schließen sich Haftungsfragen an, wenn ein nicht-kritisches Unternehmen keine vergleichbaren Schutzmaßnahmen ergriffen hat.111Rath/Kuss/Bach, K&R 2015, 437, 440.

f) Dr. Philipp Roos

Für Dr. Philipp Roos fällt das Fazit zum IT-Sicherheitsgesetz eher positiv aus: Es könne einen wesentlichen Beitrag zu mehr Cybersicherheit leisten, vorausgesetzt die Kooperation zwischen dem BSI und den Betreibern Kritischer Infrastrukturen funktioniere wie erwartet.112Roos, MMR 2015, 636, 645. Die vielfach kritisierte Unbestimmtheit der Regelungen sei seiner Meinung nach auch der Komplexität der Materie geschuldet.113Roos, MMR 2015, 636, 645.

g) Prof. Dr. Alexander Roßnagel

Für Prof. Dr. Alexander Roßnagel ist das IT-Sicherheitsgesetz ein wichtiger Schritt in die richtige Richtung, allerdings hätte auch er mehr erwartet.114Roßnagel, DVBl. 2015, 1206, 1212. Ihm fehlen unter anderem Regelungen im Bereich Produktsicherheit, zu Nachbesserungspflichten von IT-Suppliern oder  Anreize für Privatanwender, selbst Maßnahmen für mehr IT-Sicherheit zu ergreifen.115Roßnagel, DVBl. 2015, 1206, 1212. Generell rückt er den Privatanwender stärker in den Fokus und fordert unter dem Schlagwort „Bürger-Helpdesk“ für ihn mehr Beratung und Unterstützung durch die staatlichen Institutionen.116Roßnagel, DVBl. 2015, 1206, 1212.

Referenzen   [ + ]

1. KPMG-Studie (http://bdi.eu/media/presse/publikationen/KPMG_IT-Sicherheit_in_Deutschland.pdf, abgerufen am 26.07.2016 2016).
2. KPMG-Studie, S. 34 (http://bdi.eu/media/presse/publikationen/KPMG_IT-Sicherheit_in_Deutschland.pdf, abgerufen am 26.07.2016 2016).
3. BT-Drs. 18/4096, S. 16.
4. KPMG-Studie, S. 39 (http://bdi.eu/media/presse/publikationen/KPMG_IT-Sicherheit_in_Deutschland.pdf, abgerufen am 26.07.2016).
5. KPMG-Studie, S. 39 (http://bdi.eu/media/presse/publikationen/KPMG_IT-Sicherheit_in_Deutschland.pdf, abgerufen am 26.07.2016).
6. KPMG-Studie, S. 4 (http://bdi.eu/media/presse/publikationen/KPMG_IT-Sicherheit_in_Deutschland.pdf, abgerufen am 26.07.2016).
7. KPMG-Studie, S. 4 (http://bdi.eu/media/presse/publikationen/KPMG_IT-Sicherheit_in_Deutschland.pdf, abgerufen am 26.07.2016).
8. Vgl. Unterpunkt 9.
9. Vgl. erster Entwurf vom 05.03.2013 (http://www.bmi.bund.de/SharedDocs/Downloads/DE/Gesetzestexte/Entwuerfe/Entwurf_it-sicherheitsgesetz.pdf?__blob=publicationFile, abgerufen am 26.07.2016).
10. Vgl. erster Entwurf vom 05.03.2013 (http://www.bmi.bund.de/SharedDocs/Downloads/DE/Gesetzestexte/Entwuerfe/Entwurf_it-sicherheitsgesetz.pdf?__blob=publicationFile, abgerufen am 26.07.2016).
11. KPMG-Studie, S. 41 (http://bdi.eu/media/presse/publikationen/KPMG_IT-Sicherheit_in_Deutschland.pdf, abgerufen am 26.07.2016).
12. KPMG-Studie, S. 40 (http://bdi.eu/media/presse/publikationen/KPMG_IT-Sicherheit_in_Deutschland.pdf, abgerufen am 26.07.2016).
13. KPMG-Studie, S. 40 (http://bdi.eu/media/presse/publikationen/KPMG_IT-Sicherheit_in_Deutschland.pdf, abgerufen am 26.07.2016).
14. KPMG-Studie, S. 41 (http://bdi.eu/media/presse/publikationen/KPMG_IT-Sicherheit_in_Deutschland.pdf, abgerufen am 26.07. 2016).
15. KPMG-Studie, S. 41 (http://bdi.eu/media/presse/publikationen/KPMG_IT-Sicherheit_in_Deutschland.pdf, abgerufen am 26.07.2016).
16. KPMG-Studie, S. 42 (http://bdi.eu/media/presse/publikationen/KPMG_IT-Sicherheit_in_Deutschland.pdf, abgerufen am 26.07.2016).
17. KPMG-Studie, S. 42 (http://bdi.eu/media/presse/publikationen/KPMG_IT-Sicherheit_in_Deutschland.pdf, abgerufen am 26.07.2016).
18. KPMG-Studie, S. 42 (http://bdi.eu/media/presse/publikationen/KPMG_IT-Sicherheit_in_Deutschland.pdf, abgerufen am 26.07.2016).
19. Digitale Agenda der deutschen Industrie, S. 38 (http://bdi.eu/media/presse/publikationen/information-und-telekommunikation/Digitale-Agenda.pdf, abgerufen am 26.07. 2016).
20. Ausführlich Micklitz/Rott, in: Dauses, EU-Wirtschaftsrecht, 39. EL Februar 2016, Rn. 41 ff.
21. Vgl. BT-Drs. 18/4096, S. 24.
22. https://www.eco.de/2015/pressemeldungen/it-sicherheitsgesetz-rechtsverordnung-muss-schwerpunkt-auf-nicht-regulierte-branchen-setzen.html (abgerufen am 26.07.2016).
23. https://www.eco.de/2015/pressemeldungen/it-sicherheitsgesetz-rechtsverordnung-muss-schwerpunkt-auf-nicht-regulierte-branchen-setzen.html (abgerufen am 26.07.2016).
24. https://www.eco.de/2015/news/security/eco-kg-recht-regulierung-it-sicherheitsgesetz-auf-dem-pruefstand.html (abgerufen am 26.07.2016).
25. https://www.eco.de/2015/news/security/eco-kg-recht-regulierung-it-sicherheitsgesetz-auf-dem-pruefstand.html (abgerufen am 26 .07.2016).
26. Informatik-Spektrum, 2015, 443 f.
27. Informatik-Spektrum, 2015, 443.
28. Informatik-Spektrum, 2015, 443.
29. Informatik-Spektrum, 2015, 443, 444.
30. Informatik-Spektrum, 2015, 443, 444.
31. https://www.gi.de/aktuelles/meldungen/detailansicht/article/safer-internet-day-ein-it-sicherheitsgesetz-sollte-das-internet-auch-sicherer-machen.html (abgerufen am 26..07.2016).
32. https://www.gi.de/aktuelles/meldungen/detailansicht/article/safer-internet-day-ein-it-sicherheitsgesetz-sollte-das-internet-auch-sicherer-machen.html (abgerufen am 26.07.2016).
33. https://www.gi.de/aktuelles/meldungen/detailansicht/article/safer-internet-day-ein-it-sicherheitsgesetz-sollte-das-internet-auch-sicherer-machen.html (abgerufen am 26.07.2016).
34. https://www.gi.de/aktuelles/meldungen/detailansicht/article/safer-internet-day-ein-it-sicherheitsgesetz-sollte-das-internet-auch-sicherer-machen.html (abgerufen am 26.07.2016).
35. https://datenschutz-berlin.de/attachments/1099/IT-Sicherheitsgesetz_Entschlie__ung.pdf?1426767113 (abgerufen am 26..07.2016).
36. https://datenschutz-berlin.de/attachments/1099/IT-Sicherheitsgesetz_Entschlie__ung.pdf?1426767113 (abgerufen am 26..07.2016).
37. https://datenschutz-berlin.de/attachments/1099/IT-Sicherheitsgesetz_Entschlie__ung.pdf?1426767113 (abgerufen am 26.07.2016).
38. https://datenschutz-berlin.de/attachments/1099/IT-Sicherheitsgesetz_Entschlie__ung.pdf?1426767113 (abgerufen am 26.07.2016).
39. http://www.cybersicherheitsrat.de/data/CSRD-e.V.-Pressemitteilung-Angriff-auf-den-Deutschen-Bundestag-11.06.2015.pdf (abgerufen am 26.07.2016).
40. http://www.cybersicherheitsrat.de/data/CSRD-e.V.-Pressemitteilung-Angriff-auf-den-Deutschen-Bundestag-11.06.2015.pdf (abgerufen am 26.07.2016).
41. http://www.cybersicherheitsrat.de/data/CSRD-e.V.-Pressemitteilung-Angriff-auf-den-Deutschen-Bundestag-11.06.2015.pdf (abgerufen am 26.07.2016).
42. Stellungnahme, S. 2 (https://www.bitkom.org/Publikationen/2014/Positionen/Entwurf-des-Gesetzes-zur-Erhoehung-der-Sicherheit-informationstechnischer-Systeme-IT-Sicherheitsgesetz/Stellungnahme_BITKOM_ITSIG_final.pdf, abgerufen am 26.07.2016).
43. Stellungnahme, S. 5 (https://www.bitkom.org/Publikationen/2014/Positionen/Entwurf-des-Gesetzes-zur-Erhoehung-der-Sicherheit-informationstechnischer-Systeme-IT-Sicherheitsgesetz/Stellungnahme_BITKOM_ITSIG_final.pdf, abgerufen am 26..07.2016).
44. Stellungnahme, S. 4 f. (https://www.bitkom.org/Publikationen/2014/Positionen/Entwurf-des-Gesetzes-zur-Erhoehung-der-Sicherheit-informationstechnischer-Systeme-IT-Sicherheitsgesetz/Stellungnahme_BITKOM_ITSIG_final.pdf, abgerufen am 26.07.2016).
45. Stellungnahme, S. 5 (https://www.bitkom.org/Publikationen/2014/Positionen/Entwurf-des-Gesetzes-zur-Erhoehung-der-Sicherheit-informationstechnischer-Systeme-IT-Sicherheitsgesetz/Stellungnahme_BITKOM_ITSIG_final.pdf, abgerufen am 26.07.2016).
46. Stellungnahme, S. 5 (https://www.bitkom.org/Publikationen/2014/Positionen/Entwurf-des-Gesetzes-zur-Erhoehung-der-Sicherheit-informationstechnischer-Systeme-IT-Sicherheitsgesetz/Stellungnahme_BITKOM_ITSIG_final.pdf, abgerufen am 26.07.2016
47. Stellungnahme, S. 2 (https://www.bitkom.org/Publikationen/2014/Positionen/Entwurf-des-Gesetzes-zur-Erhoehung-der-Sicherheit-informationstechnischer-Systeme-IT-Sicherheitsgesetz/Stellungnahme_BITKOM_ITSIG_final.pdf, abgerufen am 26.07.2016).
48. Stellungnahme, S. 11 (https://www.bitkom.org/Publikationen/2014/Positionen/Entwurf-des-Gesetzes-zur-Erhoehung-der-Sicherheit-informationstechnischer-Systeme-IT-Sicherheitsgesetz/Stellungnahme_BITKOM_ITSIG_final.pdf, abgerufen am 26.07.2016).
49. Stellungnahme, S. 6 (https://www.bitkom.org/Publikationen/2014/Positionen/Entwurf-des-Gesetzes-zur-Erhoehung-der-Sicherheit-informationstechnischer-Systeme-IT-Sicherheitsgesetz/Stellungnahme_BITKOM_ITSIG_final.pdf, abgerufen am 26.07.2016).
50. Stellungnahme, S. 4 (https://www.bitkom.org/Publikationen/2014/Positionen/Entwurf-des-Gesetzes-zur-Erhoehung-der-Sicherheit-informationstechnischer-Systeme-IT-Sicherheitsgesetz/Stellungnahme_BITKOM_ITSIG_final.pdf, abgerufen am 26.07.2016).
51. Stellungnahme, S. 6 (https://www.bitkom.org/Publikationen/2014/Positionen/Entwurf-des-Gesetzes-zur-Erhoehung-der-Sicherheit-informationstechnischer-Systeme-IT-Sicherheitsgesetz/Stellungnahme_BITKOM_ITSIG_final.pdf, abgerufen am 26.07.2016).
52. Stellungnahme, S. 7 (https://www.bitkom.org/Publikationen/2014/Positionen/Entwurf-des-Gesetzes-zur-Erhoehung-der-Sicherheit-informationstechnischer-Systeme-IT-Sicherheitsgesetz/Stellungnahme_BITKOM_ITSIG_final.pdf, abgerufen am 26.07.2016).
53. Stellungnahme, S. 8 (https://www.bitkom.org/Publikationen/2014/Positionen/Entwurf-des-Gesetzes-zur-Erhoehung-der-Sicherheit-informationstechnischer-Systeme-IT-Sicherheitsgesetz/Stellungnahme_BITKOM_ITSIG_final.pdf, abgerufen am 26.07.2016).
54. BT-Drs. 18/4096, S. 28.
55. BT-Drs. 18/4096, S. 28.
56. Stellungnahme, S. 9 (https://www.bitkom.org/Publikationen/2014/Positionen/Entwurf-des-Gesetzes-zur-Erhoehung-der-Sicherheit-informationstechnischer-Systeme-IT-Sicherheitsgesetz/Stellungnahme_BITKOM_ITSIG_final.pdf, abgerufen am 26.07.2016).
57. Stellungnahme, S. 8 (https://www.bitkom.org/Publikationen/2014/Positionen/Entwurf-des-Gesetzes-zur-Erhoehung-der-Sicherheit-informationstechnischer-Systeme-IT-Sicherheitsgesetz/Stellungnahme_BITKOM_ITSIG_final.pdf, abgerufen am 26.07.2016).
58. Stellungnahme, S. 3 (https://www.bitkom.org/Publikationen/2014/Positionen/Entwurf-des-Gesetzes-zur-Erhoehung-der-Sicherheit-informationstechnischer-Systeme-IT-Sicherheitsgesetz/Stellungnahme_BITKOM_ITSIG_final.pdf, abgerufen am 26.07.2016).
59. Stellungnahme, S. 10 (https://www.bitkom.org/Publikationen/2014/Positionen/Entwurf-des-Gesetzes-zur-Erhoehung-der-Sicherheit-informationstechnischer-Systeme-IT-Sicherheitsgesetz/Stellungnahme_BITKOM_ITSIG_final.pdf, abgerufen am 26.07.2016).
60. Stellungnahme, S. 10 (https://www.bitkom.org/Publikationen/2014/Positionen/Entwurf-des-Gesetzes-zur-Erhoehung-der-Sicherheit-informationstechnischer-Systeme-IT-Sicherheitsgesetz/Stellungnahme_BITKOM_ITSIG_final.pdf, abgerufen am 26.07.2016).
61. Terhaag, IT-Sicherheitsgesetz, Artikel 4 – TMG, § 13, Praxiskommentar, S. 86.
62. Stellungnahme, S. 10 (https://www.bitkom.org/Publikationen/2014/Positionen/Entwurf-des-Gesetzes-zur-Erhoehung-der-Sicherheit-informationstechnischer-Systeme-IT-Sicherheitsgesetz/Stellungnahme_BITKOM_ITSIG_final.pdf; abgerufen am 26.07.2016).
63. Stellungnahme, S. 11 (https://www.bitkom.org/Publikationen/2014/Positionen/Entwurf-des-Gesetzes-zur-Erhoehung-der-Sicherheit-informationstechnischer-Systeme-IT-Sicherheitsgesetz/Stellungnahme_BITKOM_ITSIG_final.pdf, abgerufen am 26.07.2016).
64. Stellungnahme, S. 11 (https://www.bitkom.org/Publikationen/2014/Positionen/Entwurf-des-Gesetzes-zur-Erhoehung-der-Sicherheit-informationstechnischer-Systeme-IT-Sicherheitsgesetz/Stellungnahme_BITKOM_ITSIG_final.pdf, abgerufen am 26.07.2016).
65. Stellungnahme, S. 11 (https://www.bitkom.org/Publikationen/2014/Positionen/Entwurf-des-Gesetzes-zur-Erhoehung-der-Sicherheit-informationstechnischer-Systeme-IT-Sicherheitsgesetz/Stellungnahme_BITKOM_ITSIG_final.pdf, abgerufen am 26.07.2016).
66. BGH, v. 3.7.2014 – III ZR 391/13, NJW 2014, 2500, 2503.
67. Stellungnahme, S. 12 (https://www.bitkom.org/Publikationen/2014/Positionen/Entwurf-des-Gesetzes-zur-Erhoehung-der-Sicherheit-informationstechnischer-Systeme-IT-Sicherheitsgesetz/Stellungnahme_BITKOM_ITSIG_final.pdf, abgerufen am 26.07.2016).
68. Stellungnahme, S. 12 f. (https://www.bitkom.org/Publikationen/2014/Positionen/Entwurf-des-Gesetzes-zur-Erhoehung-der-Sicherheit-informationstechnischer-Systeme-IT-Sicherheitsgesetz/Stellungnahme-BITKOM-ITSIG-final.pdf, abgerufen am 26.07.2016).
69. Stellungnahme, S. 12 (https://www.bitkom.org/Publikationen/2014/Positionen/Entwurf-des-Gesetzes-zur-Erhoehung-der-Sicherheit-informationstechnischer-Systeme-IT-Sicherheitsgesetz/Stellungnahme-BITKOM-ITSIG-final.pdf, abgerufen am 26.07.2016).
70. Stellungnahme, S. 12 (https://www.bitkom.org/Publikationen/2014/Positionen/Entwurf-des-Gesetzes-zur-Erhoehung-der-Sicherheit-informationstechnischer-Systeme-IT-Sicherheitsgesetz/Stellungnahme-BITKOM-ITSIG-final.pdf, abgerufen am 26.07.2016).
71. Stellungnahme, S. 12 (https://www.bitkom.org/Publikationen/2014/Positionen/Entwurf-des-Gesetzes-zur-Erhoehung-der-Sicherheit-informationstechnischer-Systeme-IT-Sicherheitsgesetz/Stellungnahme-BITKOM-ITSIG-final.pdf, abgerufen am 26.07.2016).
72. Stellungnahme, S. 12 (https://www.bitkom.org/Publikationen/2014/Positionen/Entwurf-des-Gesetzes-zur-Erhoehung-der-Sicherheit-informationstechnischer-Systeme-IT-Sicherheitsgesetz/Stellungnahme-BITKOM-ITSIG-final.pdf, abgerufen am 26.07.2016).
73. Stellungnahme, S. 13 (https://www.bitkom.org/Publikationen/2014/Positionen/Entwurf-des-Gesetzes-zur-Erhoehung-der-Sicherheit-informationstechnischer-Systeme-IT-Sicherheitsgesetz/Stellungnahme-BITKOM-ITSIG-final.pdf, abgerufen am 26.07.2016).
74. Stellungnahme zum IT-Sicherheitsgesetz, S. 12 (http://linus-neumann.de/wp-content/uploads/2015/04/ITSG_Stellungnahme_CCC_Linus_Neumann.pdf, abgerufen am 26.07.2016).
75. Stellungnahme zum IT-Sicherheitsgesetz, S. 12 (http://linus-neumann.de/wp-content/uploads/2015/04/ITSG_Stellungnahme_CCC_Linus_Neumann.pdf, abgerufen am 26.07.2016).
76. Stellungnahme zum IT-Sicherheitsgesetz, S. 12 (http://linus-neumann.de/wp-content/uploads/2015/04/ITSG_Stellungnahme_CCC_Linus_Neumann.pdf, abgerufen am 26.07.2016).
77. Stellungnahme zum IT-Sicherheitsgesetz, S. 4 (http://linus-neumann.de/wp-content/uploads/2015/04/ITSG_Stellungnahme_CCC_Linus_Neumann.pdf, abgerufen am 26.07.2016).
78. Stellungnahme zum IT-Sicherheitsgesetz, S. 6 (http://linus-neumann.de/wp-content/uploads/2015/04/ITSG_Stellungnahme_CCC_Linus_Neumann.pdf, abgerufen am 26.07.2016).
79. Stellungnahme zum IT-Sicherheitsgesetz, S. 6 (http://linus-neumann.de/wp-content/uploads/2015/04/ITSG_Stellungnahme_CCC_Linus_Neumann.pdf, abgerufen am 26.07.2016).
80. Stellungnahme zum IT-Sicherheitsgesetz, S. 6 (http://linus-neumann.de/wp-content/uploads/2015/04/ITSG_Stellungnahme_CCC_Linus_Neumann.pdf, abgerufen am 26.07.2016).
81. Stellungnahme zum IT-Sicherheitsgesetz, S. 7 (http://linus-neumann.de/wp-content/uploads/2015/04/ITSG_Stellungnahme_CCC_Linus_Neumann.pdf, abgerufen am 26.07.2016).
82. Stellungnahme zum IT-Sicherheitsgesetz, S. 7 (http://linus-neumann.de/wp-content/uploads/2015/04/ITSG_Stellungnahme_CCC_Linus_Neumann.pdf, abgerufen am 26.07.2016).
83. Stellungnahme zum IT-Sicherheitsgesetz, S. 9 (http://linus-neumann.de/wp-content/uploads/2015/04/ITSG_Stellungnahme_CCC_Linus_Neumann.pdf, abgerufen am 26.07.2016).
84. Stellungnahme zum IT-Sicherheitsgesetz, S. 10 (http://linus-neumann.de/wp-content/uploads/2015/04/ITSG_Stellungnahme_CCC_Linus_Neumann.pdf, abgerufen am 26.07.2016).
85. Stellungnahme zum IT-Sicherheitsgesetz, S. 10 (http://linus-neumann.de/wp-content/uploads/2015/04/ITSG_Stellungnahme_CCC_Linus_Neumann.pdf, abgerufen am 26.07.2016).
86. Stellungnahme zum IT-Sicherheitsgesetz, S. 10 (http://linus-neumann.de/wp-content/uploads/2015/04/ITSG_Stellungnahme_CCC_Linus_Neumann.pdf, abgerufen am 26.07.2016).
87. Handreichung zum „Stand der Technik“ im Sinne des IT-Sicherheitsgesetzes (ITSiG), S. 3 (https://www.all-about-security.de/fileadmin/micropages/Fachartikel_25/TeleTrusT-Handreichung_Stand_der_Technik.pdf, abgerufen am 26.07.2016).
88. Handreichung zum „Stand der Technik“ im Sinne des IT-Sicherheitsgesetzes (ITSiG), S. 3 (https://www.all-about-security.de/fileadmin/micropages/Fachartikel_25/TeleTrusT-Handreichung_Stand_der_Technik.pdf, abgerufen am 26.07.2016).
89. Gitter/Meißner/Spauschus, DuD 2016, 7, 11.
90. Gitter/Meißner/Spauschus, DuD 2016, 7, 11.
91. Gitter/Meißner/Spauschus, DuD 2016, 7, 11.
92. Heckmann, MMR 2015, 289, 290.
93. Heckmann, MMR 2015, 289, 290.
94. Heckmann, MMR 2015, 289.
95. Heckmann, FAZ, 06.10.2015, S. P2.
96. Heckmann, MMR 2015, 289, 290.
97. Heckmann, MMR 2015, 289, 290.
98. Heckmann, MMR 2015, 289, 290.
99. Heckmann, MMR 2015, 289, 290.
100. Hornung, NJW 2015, 3334, 3340.
101. Hornung, NJW 2015, 3334, 3338.
102. Gerling, RDV 2015, 167, 170.
103. Gerling, RDV 2015, 167, 170.
104. Gerling, RDV 2015, 167, 170.
105. Gerling, RDV 2015, 167, 170.
106. Gerling, RDV 2015, 167, 170.
107. Könen, DuD 2016, 12, 16.
108. Könen, DuD 2016, 12, 16.
109. Könen, DuD 2016, 12, 16.
110. Rath/Kuss/Bach, K&R 2015, 437, 440.
111. Rath/Kuss/Bach, K&R 2015, 437, 440.
112. Roos, MMR 2015, 636, 645.
113. Roos, MMR 2015, 636, 645.
114. Roßnagel, DVBl. 2015, 1206, 1212.
115. Roßnagel, DVBl. 2015, 1206, 1212.
116. Roßnagel, DVBl. 2015, 1206, 1212.