14.05.2017

IT-Sicherheit: Bundestag verabschiedet NIS-Umsetzungsgesetz

Portrait von Martin Schallbruch
Martin Schallbruch ESMT Berlin, Director of the Digital Society Institute

Der Deutsche Bundestag hat in seiner Sitzung am 27. April 2017 das Gesetz zur Umsetzung der sogenannten NIS-Richtlinie der EU beschlossen. Der Bundesrat hat am 12. Mai 2017 beschlossen, keinen Antrag auf Anrufung des Vermittlungsausschusses zu stellen. Damit kann das Gesetz, der zweite Korb des IT-Sicherheitsgesetzes, voraussichtlich im Juni in Kraft treten. Das Gesetz setzt einerseits das europäische IT-Sicherheitsrecht durch geringe Modifikationen des bestehenden deutschen Rechts um. Es erweitert andererseits die Befugnisse des BSI im Hinblick auf die geplanten Mobile Incident Response Teams und gibt den Telekommunikations-Providern neue Möglichkeiten an die Hand, Cyberangriffen vorzubeugen und sie abzuwehren.

IT-Sicherheit digitaler Dienste: Zersplitterung fortgeschrieben

Bundestag und Bundesrat ließen die Regelungen des Entwurfs der Bundesregierung weitgehend unverändert passieren (zur Besprechung des Regierungsentwurfs vgl. Schallbruch, 2. Korb IT-Sicherheitsgesetz, CRonline Blog v. 31.1.2017). Anregungen des Bundesrates wurden vom Bundestag nicht aufgegriffen. So wurde die vom Bundesrat zu Recht aufgeworfene Frage nach der unklaren Abgrenzung im Bereich der digitalen Dienste von Bundesregierung und Bundestag als unerheblich angesehen. Im Bereich der digitalen Dienste gibt es bei der IT-Sicherheit zukünftig ein Nebeneinander der Regelungen im neuen § 8c BSI-Gesetz - Aufsicht durch das BSI - und den durch den 1. Korb des IT-Sicherheitsgesetzes eingeführten Regelungen in § 13 Abs. 7 TMG - Aufsicht durch Datenschutzbeauftragte bzw. Landesmedienbehörden (dazu Schallbruch, "NIS-Richtlinie und digitale Dienste", CR 2016, 663-670).

In Ihrer Gegenäußerung zur Stellungnahme des Bundesrats bringt die Bundesregierung hierfür die wenig überzeugende Begründung, § 8c BSI-Gesetz diene allein dem Schutz der Verfügbarkeit, § 13 Abs. 7 TMG hingegen dem Schutz der Vertraulichkeit und Integrität digitaler Dienste. Das widerspricht einerseits der ausdrücklichen Definition von Sicherheit in der Informationstechnik im BSI-Gesetz, die auch die Vertraulichkeit und Integrität umfasst (§ 2 Ab 2. BSI-G). Es widerspricht andererseits der Regelung in § 13 Abs. 7 TMG. Wenn Verfügbarkeit hier als Schutzzweck nicht gemeint wäre, liefe § 13 Abs. 7 Nr. 2b TMG ins Leere (vgl. hierzu Gerlach, "Sicherheitsanforderungen für Telemediendienste", CR 2015, 581-589, 585).

Für die Anbieter bestimmter digitaler Dienste (Online-Suchmaschinen, Online-Marktplätze, Cloud-Dienste) entsteht so eine Situation, in der sie für die gleichen Webserver und die dort laufende Software zwei verschiedene Sicherheitsvorkehrungen aus BSI-G und TMG beachten und drei verschiedene Aufsichtsbehörden zufrieden stellen müssen.

Cyberabwehr durch TK-Provider: neue Instrumente

Über den Regierungsentwurf hinaus ergänzte die große Koalition im Bundestag Regelungen im Telekommunikationsgesetz, die es den Telekommunikationsanbietern in ihrer Rolle als Zugangsprovider erleichtern sollen, Cyberangriffe zu erkennen und abzuwehren.

Hintergrund der Diskussion im Parlament war ein Vorfall bei der Deutschen Telekom im November 2016: Über 900.000 Router von Endkunden des Unternehmens waren Ziel eines Angriffs. Der Versuch der Angreifer, die Geräte durch Ausnutzen einer Schwachstelle in der Router-Software zum Teil eines Botnetzes zu machen, scheiterte zwar. Er führte aber dazu, dass sich die betroffenen Nutzer nicht mehr mit dem Internet verbinden konnten. In der Folge dieses Angriffs und der damit zusammenhängenden Mirai-Botnetze wurde von Seiten der Provider gegenüber der Politik nachdrücklich vertreten, dass gefährliche Botnetze aus IoT-Geräten nur durch erweiterte gesetzliche Befugnisse der Provider zur Cyberabwehr erfolgreich bekämpft werden können.

Schlüsselrolle der Provider

Die Provider sind in der Tat in einer Schlüsselrolle für die Bekämpfung von Cyberangriffen durch Botnetze. Über ihre Systeme läuft die Kommunikation zwischen Steuerrechnern und Bots, über ihre Systeme erfolgen auch die Angriffe. Ein frühzeitiges Erkennen einer Botnetz-Kommunikation kann schon den Aufbau des Netzes verhindern, später dann die "Wucht" des Angriffs abmildern. Die Botnetz-Kommunikation erfolgreich zu erkennen und zu stören erfordert jedoch eine Analyse der Kommunikation, ggf. auch ein Umlenken oder Sperren von Kommunikationsbeziehungen. Hierfür sind rechtliche Grundlagen erforderlich, die die mit Beeinträchtigungen des Fernmeldegeheimnisses und der Kommunikationsfreiheit des Nutzers verbundenen Maßnahmen rechtfertigen. Die häufig anzutreffende Aufnahme solcher "Befugnisse" zur Analyse und Sperrung von Internetverkehren nur in die AGB der Anbieter ist im Hinblick auf die Schwere der Maßnahmen keine taugliche Rechtsgrundlage für erweiterte Cyberabwehr durch Provider.

Dieser Frage haben sich die Koalitionsfraktionen im Deutschen Bundestag angenommen und einen Änderungsantrag zum NIS-Umsetzungsgesetz formuliert und beschlossen, der §§ 100, 109a TKG ändert, um drei neue Befugnisse für die TK-Unternehmen zu schaffen:

  1. Deep Packet Inspection Light,
  2. Sinkholing und
  3. Netzsperren.

 

1. Deep Packet Inspection Light:  Gut gemeint, schlecht geregelt

Zunächst einmal werden die Möglichkeiten der Provider erweitert, Internetverkehre zu analysieren, um Angriffe zu erkennen. Über die Bestands- und Verkehrsdaten hinaus können Provider zukünftig auch Steuerdaten eines informationstechnischen Protokolls zur Datenübertragung auswerten. Leider verzichtet der Änderungsantrag darauf, diese Begrifflichkeit in § 3 TKG legal zu definieren, so dass die exakte Bedeutung dieser neuen Datenkategorie undefiniert bleibt.

a) "Steuerdaten" - eine wolkige Datenkategorie

In der Begründung des Änderungsantrages formuliert der Gesetzgeber technisch und rechtlich eher wolkig, welche Daten gemeint sind:

"Hierbei geht es um Teile der Protokolle, also um Steuerdaten eines informationstechnischen Protokolls zur Datenübertragung, die unabhängig vom Inhalt eines Kommunikationsvorgangs übertragen oder auf den am Kommunikationsvorgang beteiligten Servern gespeichert werden und zur Gewährleistung der Kommunikation zwischen Empfänger und Sender notwendig sind. Es handelt sich um Informationen, die sich aus den verschiedenen Layern des sogenannten OSI-Schichtenmodels der ITU ergeben, also um Informationen zu technischen Übertragungsprotokollen, nicht jedoch um Inhalte eines Kommunikationsvorganges, die damit übertragen werden. Sofern die Datenübertragung zugleich einen Telekommunikationsvorgang darstellt (z. B. das Senden einer E-Mail), sind die Steuerdaten eines informationstechnischen Protokolls zur Datenübertragung zugleich Verkehrsdaten."

Offenbar will die Regelung es zulassen, dass Provider bei Internetverkehren zukünftig nicht nur die sogenannten IP-Header auswerten, also Ziel- und Absenderadresse von IP-Verkehren, sondern auch die Header-Informationen der genutzten Dienste, etwa HTTP, FTP oder E-Mail. Dies ergibt sich aus der in § 100 Abs. 1 TKG (neu) versuchten Abgrenzung zu den Verkehrsdaten einerseits (= IP-Header) und den Kommunikationsinhalten andererseits (also etwa der Inhalt einer abgefragten Website oder der Inhalt einer E-Mail). Damit kann zukünftig beispielsweise auf Ebene von HTTP-Verkehren erkannt werden, dass der Abruf einer Schadsoftware von einer manipulierten Website bevorsteht.  Die Regelung zielt auf eine Analyse von Kommunikationsvorgängen auf 5. oder höherer Ebene des OSI-Schichtenmodells. IP-Header-Informationen, die schon nach geltender Rechtslage analysiert werden können, finden sich hingegen auf der 4. Ebene (ausführlich zu Deep Packet Inspection und OSI-Schichtenmodell Bedner, "Deep Packet Inspection - Technologie und rechtliche Initiativen", CR 2010, 339-345).

Die Befugnis zur Analyse der "Steuerdaten" wird mit hohen verfahrensmäßigen Hürden verbunden. Die Daten sind unverzüglich zu löschen, sobald sie nicht mehr erforderlich sind. Der betriebliche Datenschutzbeauftragte ist zu informieren, quartalsweise sind alle derartigen Maßnahmen an Bundesnetzagentur und BSI zu berichten. Zudem ist auch der Betroffene zu unterrichten, sofern er ermittelt werden kann.

b) Systematische Brüche

Mit der Regelung wird in § 100 Abs. 1 TKG erstmals eine Analyse von Inhalten eines Telekommunikationsdienstes erlaubt wird, sofern es sich bei diesen Inhalten um eine Art von "Datenübertragung" handelt. Damit schafft der Gesetzgeber eine Deep Packet Inspektion Light, die verschiedene systematische Brüche erzeugt, die hier nur (unvollständig) angetippt werden können:

  • Abgrenzung von Steuerdaten zu Kommunikationsinhalten: Kommunikationsinhalte sollen nach dem Willen des Gesetzgebers keinesfalls analysiert werden. Dies steht im Widerspruch zu dem Abstellen auf die Steuerdaten auf Protokollebene. Dienste auf höheren Schichten des OSI-Schichtenmodells enthalten in ihren Steuerdaten oft auch Kommunikationsinhalte. HTTP-Requests können beispielsweise komplexe Suchanfragen oder auch die Eingabe in Formulare enthalten, die aus Sicht des Dienstes Steuerdaten, aus Sicht des Betroffenen Kommunikationsinhalte sind.
  • Notwendigkeit der Steuerdaten für die Kommunikation: Steuerdaten sollen nur dann analysiert werden können, wenn sie für die Kommunikation zwischen Sender und Empfänger erforderlich sind. Die ineinander geschachtelten Telekommunikationsdienste (z.B. E-Mail-Transport innerhalb des IP-Verkehrs) haben jedoch unterschiedliche Sender und Empfänger. Auf Ebene der E-Mail-Kommunikation sind Menschen die Kommunikationspartner, auf Ebene des IP-Protokolls hingegen Mailserver. § 100 Abs. 1 TKG (neu) verklammert diese Ebenen; die einschränkende Bedingung für die Analyse der Steuerdaten läuft damit praktisch ins Leere.
  • Abgrenzung zu Telemediendiensten: Kommunikationsdienste auf höheren Ebenen des OSI-Schichtenmodells wie z.B. das Surfen im Web (http-Requests) sind Telemediendienste. § 15 TMG definiert Voraussetzungen für die Analyse von Nutzungsdaten eines Telemediendienst durch den Diensteanbieter. § 100 Abs. 1 TKG (neu) schafft nun eine weitere Nutzungsmöglichkeit für die gleichen Daten unter einem anderen Rechtsregime. Mindestens dann, wenn der Zugangsanbieter auch der Telemedienanbieter ist, etwa beim Zugriff auf den Cloudspeicher des eigenen DSL-Anbieters, kommen beide Regelungen in Konflikt.

Insgesamt scheint die neue Regelung mit heißer Nadel gestrickt. Letztlich geht es dem Gesetzgeber um die Analyse von Schadprogrammkommunikation innerhalb des Telekommunikationsdienstes, mithin um eine bestimmte Art Kommunikationsinhalte. Möglicherweise wäre es sinnvoller und klarer gewesen, diese Idee durch eine Änderung von § 100 Abs. 2 TKG umzusetzen, die schon bislang das Aufschalten auf Telekommunikation, also eine bestimmte Form von Inhaltsanalyse erlaubt. Die Einführung einer neuen und schwammig definierten Datenkategorie Steuerdaten im Telekommunikationsrecht, neben Kommunikationsinhalten, Bestandsdaten und Verkehrsdaten, war sicherlich keine gute Idee.

2. Sinkholing:  Absicherung der Praxis

Über die Analyse hinaus sollen die TK-Provider durch eine Ergänzung von § 109a TKG auch Handlungsmöglichkeiten gegen Cyberangriffe erhalten. Eine davon ist das sogenannte Sinkholing. Damit ist die Umleitung von Internetverkehren zu einem anderen als dem eigentlich vorgesehenen Server gemeint. Provider setzen dieses  Verfahren ein, indem sie etwa die von Botnetzen verwendeten Domainnamen im eigenen Netz auf spezielle Server umlenken. Damit kann die Kommunikation zwischen Bots und Command-and-Control-Server des Botnetzes gestoppt werden. Gleichzeitig kann der Provider durch Protokollierung der Anfragen an den umgeleiteten Server herausfinden, welche der eigenen Kunden von der entsprechenden Schadsoftware befallen sind, und die Kunden entsprechend informieren.

Diese gelebte Praxis wird in § 109a Abs. 4 TKG nun ausdrücklich erlaubt, sofern dies zur Information des Nutzers erforderlich ist.

3. Netzsperren:  scharfes Schwert für Provider

Haben Provider festgestellt, dass Kunden ihres eigenen Netzes von Schadsoftware befallen sind und Aktivitäten etwa im Rahmen eines Botnetzes entfalten, müssen sie die Kunden seit Verabschiedung des IT-Sicherheitsgesetzes 2015 warnen (§ 109a  Abs. 4 TKG). Doch allzu häufig werden diese Warnungen von den Kunden nicht beachtet. Gerade technisch unkundige Nutzer, die ihre Systeme nicht sorgfältig genug absichern, werden Opfer von Schadsoftware. Diese Nutzergruppe spricht auch auf die Warnungen der Provider, die heute schon regelmäßig erfolgen, eher schleppend bis gar nicht an.

Die neuen Absätze 5 und 6 des § 109a TKG geben den Providern für diese Fälle jetzt ein scharfes Schwert an die Hand: Sie können den Internetverkehr von Nutzern sperren oder filtern, soweit von deren Systemen eine Beeinträchtigung für sie selbst, den Provider oder andere Nutzer ausgeht. Die Voraussetzungen für diese schwerwiegende Maßnahme sind vergleichsweise gering: Zwar muss die Warnung nach § 109a Abs. 4 TKG erfolgt sein, eine Art Verzug des Nutzers ist jedoch keine Voraussetzung für das Abklemmen des Internetverkehrs. Es reicht aus, dass nicht "zu erwarten ist, dass der Nutzer die Störung selbst [..] unverzüglich beseitigt". Damit zielt das Gesetz ausweislich der Begründung beispielsweise auf IoT-Geräte, bei denen - zum Beispiel durch Analyse der Schadsoftware - erkennbar ist, dass der Nutzer gar nicht in der Lage sein kann, die Sicherheitlücke zu stopfen.

Unabhängig von einzelnen Nutzern darf der Provider in seinem Netz auch die Kommunikation zu Servern im Internet unterbinden, von denen eine Bedrohung ausgeht- § 109a Abs. 6 TKG (neu).  Hiermit sind Command-and-Control-Server zum Nachladen von Schadsoftware gemeint oder auch sogenannte Dropzones, Server, bei denen gestohlene Daten von den Schadprogrammen deponiert werden.

Keine Regelung für Haftung

In den parlamentarischen Beratungen des NIS-Umsetzungsgesetzes spielte auch die Frage höherer Sicherheitsanforderungen für die Hersteller von Hardware und Software eine große Rolle. Eine eigene Regelung zur Einführung verbindlicher IT-Sicherheitsanforderungen an mit dem Internet verbundene Systeme wird jedoch nicht geschaffen. Auch die vielfach erhobene Forderung nach Verschärfung der Haftung der Anbieter wird nicht aufgegriffen. Der Deutsche Bundestag spricht sich in dem angenommenen Änderungsantrag der Koalitionsfraktionen vielmehr dafür aus, dass die Europäische Kommission die Initiative ergreift, solche verbindlichen Anforderungen europarechtlich einzuführen, insbesondere für IoT-Geräte.

Nationales Gütesiegel für IT-Sicherheit

National verspricht sich das Parlament eine Verbesserung der Sicherheit von Geräten und Programmen durch die Einführung des in der Cybersicherheitsstrategie der Bundesregierung angekündigten Gütesiegels für IT-Sicherheit. Durch ein solches einheitliches Gütesiegel sollen Anwender erkennen können, welche Produkte hinreichend sicher ausgestaltet sind.

Fazit

Der zweite Korb des IT-Sicherheitsgesetzes hat es in sich. Im Laufe der Beratungen ist er über die Umsetzung der EU-NIS-Richtlinie deutlich hinausgewachsen:

  • Das BSI wird erstmals über die Bundesverwaltung hinaus mit operativen Befugnissen ausgestattet, Cyberangriffe auch im Bereich der Unternehmen zu bekämpfen.
  • Gleichzeitig werden die Provider mit erhebliche Möglichkeiten ausgestattet, Angriffe in ihren Netzen frühzeitig zu erkennen und abzuwehren.

Die Begründung des Gesetzes verschweigt, dass die neuen Analyse- und Abwehrmöglichkeiten für die Provider nicht nur zugelassen, sondern de facto angeordnet werden:

§ 109 Abs. 2 TKG (neu) verpflichtet die Provider zu technischen und sonstigen Vorkehrungen zur IT-Sicherheit ihrer Netze und zum Schutz der Nutzer. Im Lichte dieser Anforderung haben die Provider keinen Ermessensspielraum: sie werden die neuen Befugnisse zur Analyse, Umleitung und Sperrung von Kommunikation anwenden müssen. Damit verändert sich ihre Rolle, sie nehmen eine Art Polizeifunktion in ihren Netzen wahr. Öffentliche Telekommunikationsnetze werden zukünftig ähnlich streng überwacht und gefiltert, wie dies heute nur von Firmen- oder Behördennetzen bekannt ist.

Stärkung der Provider und Stärkung des BSI machen die Cyberabwehr in Deutschland schlagkräftiger. Unbefriedigend bleibt nach wie vor aber, dass alle Maßnahmen auf die Abwehr zielen. Die eigentliche Ursache für die wachsenden Cyberangriffe, also die schlechte Qualität und Sicherheitslücken der eingesetzten Geräte - gerade im IoT-Bereich - wird vom Gesetzgeber nicht angegangen. Die Einführung eines Gütesiegels ist zu begrüßen, wird aber noch viele Jahre auf sich warten lassen. Harte Auflagen für die Hersteller von Geräten werden auch vorher schon nötig sein.

Einen schalen Geschmack hinterlässt das NIS-Umsetzungsgesetz im Hinblick auf die systematische Entwicklung und Ausgestaltung des IT-Sicherheitsrechts im Zusammenspiel mit Telekommunikations-, Telemedien- und Datenschutzrecht. Die immer neue Einführung von unklaren Begrifflichkeiten ("Steuerdaten") und die unzureichende Abgrenzung verschiedenster Regelungen für die Sicherheit digitaler Dienste erschweren den Vollzug der Gesetze durch die betroffenen Unternehmen. Hier wird in der nächsten Wahlperiode des Bundestages ein grundlegende Reform erforderlich, die auch die kaum noch zu haltende Abgrenzung von Telekommunikation und Telemedien überwindet.

Zurück