31.01.2017

2. Korb IT-Sicherheitsgesetz: Bundesregierung legt NIS-Umsetzungsgesetz vor

Portrait von Martin Schallbruch
Martin Schallbruch ESMT Berlin, Director of the Digital Society Institute

Die im Sommer 2016 in Kraft getretene NIS-Richtlinie der EU (vgl. Witt / Freudenberg, NIS-Richtlinie, CR 2016, 657-663) verlangt eine Umsetzung im deutschen Recht und damit Änderungen im IT-Sicherheitsrecht. Am 25. Januar 2017 wurde der entsprechende Regierungsentwurf eines Gesetzes zur Umsetzung der Richtlinie (EU) 2016/1148 des Europäischen Parlaments und des Rates vom 6. Juli 2016 über Maßnahmen zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz- und Informationssystemen in der Union vom Bundeskabinett beschlossen und geht jetzt in das parlamentarische Verfahren.

Die Gesetzgebung zu dem 2015 verabschiedeten IT-Sicherheitsgesetz hatte sich bereits an dem laufenden europäischen Gesetzgebungsverfahren orientiert, um die jetzt nötigen Änderungen im deutschen Recht gering zu halten. Dies spiegelt sich auch im vorgelegten Gesetzentwurf wider. Zusätzlich nutzt die Bundesregierung die Gelegenheit, die Rechtsgrundlagen des Bundesamtes für Sicherheit in der Informationstechnik (BSI) auch unabhängig vom europarechtlichen Umsetzungsbedarf auszuweiten. Im Einzelnen:

Kritische Infrastrukturen:  kleine Modifikationen

Kernanliegen der NIS-Richtlinie und auch des deutschen IT-Sicherheitsgesetzes sind der Schutz kritischer Infrastrukturen vor Cyberangriffen. Hier soll das System des IT-Sicherheitsgesetzes durch den aktuellen Regierungsentwurf weitgehend erhalten bleiben.

Auch wenn die europäische Definition kritischer Infrastrukturen etwas enger ist und Sektoren wie Versicherungen, Abwasser oder Logistik nicht erfasst, bleibt die Bundesregierung bei dem breiteren deutschen Ansatz. Dies ist im Hinblick auf andere große Wirtschaftsräume (wie die USA) sinnvoll und wegen der nur mindestharmonisierenden Regelungen des EU-Rechts rechtlich möglich.

Neue Befugnisse für das BSI

Änderungen im IT-Sicherheitsrecht für kritische Infrastrukturen betreffen vor allem die Nachweis- und Meldepflichten gegenüber dem BSI und die Rechte des BSI. Hier verlangt das europäische Recht eine Verschärfung:

  • Betreiber von KRITIS müssen nun auch Ergebnisse der regelmäßigen Audits an das BSI übermitteln (§ 8a Abs. 3 BSI-G-E)
  • Das BSI darf in Umsetzung der europarechtlichen Vorgaben zukünftig auch bei Betreibern vor Ort überprüfen, ob sie die Vorgaben zum Schutz der IT einhalten (§ 8a Abs. 4 BSI-G-E).
  • Die Meldung von Sicherheitsvorfällen durch KRITIS-Betreiber an das BSI wird zweigeteilt. Bislang sind erhebliche Störungen der IT durch Angriffe zu melden, sofern die kritische Infrastruktur hierdurch ausfällt oder ausfallen könnte. Zukünftig gibt es zwei Fallgestaltungen, die stärker auf die Bedeutung eines Vorfalls auf die Infrastruktur und weniger auf die Schwere der IT-Störung abheben  (§ 8b Abs. 4 BSI-G-E):
    1. Im Fall eines tatsächlichen Ausfalls (bzw. einer erheblichen Beeinträchtigung) der Infrastruktur muss jede dafür verantwortliche IT-Störung gemeldet werden.
    2. Erhebliche Störungen der IT sind auch dann zu melden, wenn durch sie ein Ausfall (oder eine erhebliche Beeinträchtigung) droht.
  • Die deutschen Behörden leiten zukünftig solche Meldungen auch an Behörden anderer europäischer Staaten weiter, sofern sie durch Störungen in Deutschland betroffen sind (§ 8b Abs. 2 BSI-G-E).

Digitale Dienste:  Unübersichtlichkeit fortgeschrieben

Mit Ausnahme einer knappen Regelung im § 13 Abs. 7 TMG (dazu Gerlach, "Sicherheitsanforderungen für Telemediendienste", CR 2015, 581-589) hatte sich das deutsche IT-Sicherheitsgesetz bei digitalen Diensten zurückgehalten. Der aktuelle Gesetzentwurf der Bundesregierung setzt diese Linie fort und schreibt die bestehende Unübersichtlichkeit der IT-Sicherheitsanforderungen für digitale Dienste (vgl. Schallbruch, "NIS-Richtlinie verabschiedet: schwierige Umsetzung für digitale Dienste",CRonline Blog v. 15.7.2016) einfach nur fort.

  • Vorgaben der NIS-Richtlinie Die NIS-Richtlinie sieht für eine kleine Gruppe digitaler Dienste - Online-Marktplätze, Online-Suchmaschinen und Cloud-Dienste - eine Vollharmonisierung der IT-Sicherheitsanforderungen durch europäisches Recht vor. Die EU-Kommission erhält die Möglichkeit, mit Hilfe von Durchführungsrechtsakten den einzubeziehenden Unternehmenskreis, die zu ergreifenden Sicherheitsmaßnahmen sowie die Meldepflichten zu konkretisieren. Diese Durchführungsrechtsakte liegen noch nicht vor.
  • Ansatz der Bundesregierung Mit ihrem Gesetzentwurf übernimmt die Bundesregierung die europäischen Regelungen zu digitalen Diensten in der NIS-Richtlinie nahezu 1:1 in das deutsche Recht: neuer § 8c BSI-G-E. Offenbar traut die Bundesregierung den Durchführungsrechtsakten aus Brüssel nicht ganz und behält sich vor, Vorgaben für Unternehmen auf dem Verordnungswege zu ergänzen. Warum anders als bei kritischen Infrastrukturen bei einer solchen Verordnung des Bundesministeriums des Innern (BMI) auf eine Kooperation mit den betroffenen Branchen verzichtet wird, erschließt sich allerdings nicht.
  • Resultierendes Dickicht an Sicherheitspflichten Mit diesen schlanken Regelungen wird europäisches Recht zwar formal umgesetzt, Rechtssicherheit für die betroffenen Anbieter der digitalen Dienste wird indes nicht erreicht. Würde der Regierungsentwurf so verabschiedet, hätten Anbieter digitaler Dienste im Hinblick auf IT-Sicherheitsmaßnahmen die Regelungen der NIS-Richtlinie/des BSI-Gesetzes, der EU-Durchführungsrechtsakte sowie ggf. einer BMI-Verordnung zu beachten. Daneben wären auch weiterhin IT-Sicherheitsvorgaben des Telemediengesetzes und des Datenschutzrechts umzusetzen. Für jede Materie gibt es andere Aufsichtsbehörden, im IT-Sicherheits- und Datenschutzrecht zudem überschneidende Meldepflichten. Die dringend notwendige inhaltliche Systematisierung der IT-Sicherheits-Pflichten für digitale Dienste wird mit dem vorliegenden Entwurf nicht in Angriff genommen (vgl. Schallbruch, "NIS-Richtlinie und digitale Dienste", CR 2016, 663-670).
  • Ausnahme öffentliche Verwaltung Die einzige materielle Regelung zu den digitalen Diensten im Regierungsentwurf ist die Festlegung einer Ausnahme für die öffentliche Verwaltung von den Sicherheitsauflagen und Meldepflichten des IT-Sicherheitsrechts. Die NIS-Richtlinie überlässt es zwar grundsätzlich den Mitgliedsstaaten, "Maßnahmen zum Schutz grundlegender staatlicher Funktionen" selbst zu treffen. Die Bundesregierung dehnt diese - insbesondere zum Schutz der nationalen Sicherheit gedachte - Ausnahme erheblich aus und entzieht die Nutzung von Cloud-Angeboten durch die öffentliche Verwaltung vollständig dem IT-Sicherheitsgesetz. Nachdem schon im Bereich der kritischen Infrastrukturen die staatlichen Behörden selbst ausgenommen sind, werden nunmehr auch Cloud-Dienste (und mit etwas anderer Begründung Suchmaschinen) des Staates dem IT-Sicherheitsrecht entzogen. Während für eine immer größere Zahl von Unternehmen Sicherheitsauflagen und Meldepflichten eingeführt werden, gibt es solche gesetzlichen Verpflichtungen für die Behörden nur sehr rudimentär. Hier ist zu hoffen, dass diese Regelungen im parlamentarischen Verfahren noch eine Änderung erfahren.

Mobile Incident Response Teams - operative Befugnisse für BSI

Die Bundesregierung nutzt das NIS-Umsetzungsgesetz, um eine zentrale politische Ankündigung der neuen Cybersicherheitsstrategie rechtlich abzusichern: die Mobile Incident Response Teams des BSI. Erstmals erhält das BSI operative Befugnisse zur Cyberabwehr.

  • Ziel: Mit dem neu eingefügten § 5a des BSI-Gesetzes soll die Behörde mit eigenen Kräften bei der Wiederherstellung der Sicherheit oder Funktionsfähigkeit informationstechnischer Systeme mitwirken können. Das BSI kann auf Anforderung bei Betreibern Kritischer Infrastrukturen und bei Bundesbehörden, in Einzelfällen auch bei sonstigen Stellen, vor Ort Hilfestellung leisten.
  • Umfang: Dieses mobile "Eingreifen" des BSI ist begrenzt auf besonders herausgehobene Fälle. Wann ein solcher Fall vorliegt, steht weitgehend im Ermessen des BSI. Anknüpfungspunkt kann die besondere technische Qualität des Angriffs ebenso sein wie das öffentliche Interesse an der Funktionsfähigkeit des betroffenen Systems.

Das BSI soll zukünftig zwar grundsätzlich selbst tätig werden können. Weder soll aber ein Anspruch für betroffene Unternehmen und Behörden entstehen, noch eine nennenswerte Verdrängung kommerzieller Incident-Response- und Forensik-Anbieter erfolgen.

Angesichts tausender Cyberangriffe pro Tag ist der Ansatz des Regierungsentwurfs klug, dem BSI die Möglichkeit zu geben, abhängig von Art und Wirkung des Angriffs selbst tätig zu werden oder auch nicht. Etwas konterkariert wird dieser Gedanke eines BSI-Einsatzes bei bedeutenden Fällen durch die - im Gesetz nicht enthaltene - Formulierung in der Gesetzesbegründung, das BSI werde nur dann tätig, wenn die betroffene Stelle nicht mit eigenen Mitteln in der Lage sei, die Vorfälle zu bewältigen. Es muss geradezu im Interesse des BSI sein, bei besonders bedeutenden Vorfällen in an sich gut aufgestellten Einrichtungen hinzugezogen zu werden!

Befugnisse des BSI

Welche Mittel das BSI vor Ort einsetzt, ist im Regierungsentwurf nur sehr abstrakt definiert. Unterschieden wird zwischen:

  • ersten Maßnahmen zur Schadensbegrenzung und Sicherstellung des Notbetriebs und
  • weitergehenden Maßnahmen wie forensische Untersuchung und Ursachenbeseitigung.

Ausdrückliche Befugnisse für den Vor-Ort-Einsatz des BSI finden sich nur in zweierlei Hinsicht:

  • Datenerhebung und -verarbeitung:   BSI darf bei seinem Einsatz vor Ort in dem erforderlichen Umfang personenbezogene Daten erheben und verarbeiten, auch soweit sie dem Fernmeldegeheimnis unterliegen, und diese Daten unter bestimmten Voraussetzungen auch an Polizeien und Nachrichtendienste weitergeben.
  • Einbindung der IT-Hersteller:  BSI darf Hersteller informationstechnischer Systeme in die Pflicht nehmen, an der Wiederherstellung nach einem Angriff mitzuwirken.

Dieser erste Ansatz der Beschreibung operativer BSI-Befugnisse im vorliegenden Entwurf ist klug angelegt, bedarf aber einer weiteren Ausarbeitung im Gesetzgebungsprozess, denn:

Die eigentlichen Befugnisse des BSI sind zu schwammig formuliert.

Das in der Begründung genannte Beispiel des Blockierens von Netzwerkverbindungen ist sicherlich nicht vom Gesetzeswortlaut gedeckt.

Auch der Umgang mit persönlichen Daten aus Unternehmen ist nicht normenklar geregelt. Der schlichte Verweis auf die Vorschriften für die Bundesverwaltung in § 5 Abs. 5 und 6 BSI-G wird der Bedeutung der Datenweitergabe nicht gerecht - insbesondere soweit diese Daten dem Fernmeldegeheimnis unterliegen.

Fazit

Neben den genannten drei großen Bereichen enthält der zweite Korb des IT-Sicherheitsgesetzes eine Reihe weiterer Ergänzungen der Befugnisse des BSI. Mit dem Entwurf wird das BSI zu einer noch stärker operativen Behörde ausgebaut.

Die neuen Aufgaben sind im Kern gut konzipiert und geeignet, die Schlüsselstellung des BSI für die Cybersicherheit in Deutschland weiter zu verfestigen. Schwächen zeigt der Entwurf an den Rändern der Befugnisse:

  • die pauschale Ausnahme der öffentlichen Verwaltung von Vorgaben des IT-Sicherheitsrechts,
  • das ungeklärte Verhältnis des IT-Sicherheitsrechts zum Telemedienrecht (und Datenschutzrecht) sowie
  • das schwammige Verhältnis des BSI zu den sonstigen Sicherheitsbehörden bei der Untersuchung von Cyberangriffen.

Verzichtet hat die Bundesregierung einmal mehr darauf, Regelungen zur verschärften Haftung für IT-Sicherheitsmängel in den Entwurf aufzunehmen (vgl. Spindler, "IT-Sicherheitsgesetz und zivilrechtliche Haftung", CR 2016, 297-312). Es ist überfällig, das IT-Sicherheitsrecht auch in den Kern des Problems vordringen zu lassen: die schlechte Qualität von Software.

Zurück