IT-Sicherheitsgesetz 2.0 – Einigung innerhalb der Bundesregierung
„Den mit dem IT-Sicherheitsgesetz eingeführten Ordnungsrahmen werden wir in einem IT-Sicherheitsgesetz 2.0 weiterentwickeln und ausbauen.“
Diese im März 2018 im Koalitionsvertrag (Zeile 5868ff.) bekundete Absicht der großen Koalition setzt die Bundesregierung nun um. Das federführende Bundesinnenministerium (BMI) hat am 2. Dezember eine neue Entwurfsfassung für ein IT-Sicherheitsgesetz 2.0 veröffentlicht. Nach zahlreichen geleakten Vorentwürfen ist dies nun eine weitgehend zwischen den Ressorts abgestimmte Version, die am 16. Dezember 2020 vom Bundeskabinett beschlossen werden soll. Aktuell läuft eine auf nur wenige Tage geplante Beteiligung der relevanten Verbände (§ 47 Abs. 3 GGO).
[Aktualisierung vom 11. Dezember 2020]
Dieser Beitrag wurde am 5. Dezember veröffentlicht. Da BMI am 9. Dezember einen veränderten Entwurf in die Verbändebeteiligung gegeben hat, wurde der Beitrag am 11. Dezember aktualisiert und bezieht sich nun auf den Entwurfsstand 9. Dezember 2020.
Veränderungen zum vorigen Entwurf
Gegenüber dem im Mai 2020 geleakten Entwurf (dazu Schallbruch, "IT-Sicherheitsgesetz 2.0 – neuer Entwurf veröffentlicht", CRonline Blog v. 15.6.2020) gibt es eine Reihe von Veränderungen. In der Ressortabstimmung ist der Entwurf insgesamt stringenter, widerspruchsfreier und lesbarer geworden. Daneben gibt es eine Reihe von fachlichen und politischen Veränderungen, gerade bei öffentlich stark diskutierten Themen wie 5G/Huawei oder der Einbeziehung weiterer Bereiche der Wirtschaft.
Im Folgenden werden wichtige Veränderungen überblicksartig dargestellt. Nicht auf alle Veränderungen kann hier eingegangen werden, etwa die Befugnisse des BSI im Bereich der Bundesverwaltung oder die Befugnisse des BKA bei Datendiebstählen. Insbesondere die Befugnisse des BSI gegenüber Behörden des Bundes sind "in letzter Minute" gegenüber dem Vorentwurf deutlich reduziert worden, offenkundig, um das Einvernehmen mit den anderen Ministerien zu erreichen.
1. Kritische Infrastrukturen und weitere wichtige Unternehmen
KRITIS-Unternehmen: Die Verpflichtungen für kritische Infrastrukturen, die seit dem ersten IT-Sicherheitsgesetz von 2015 bestehen, wurden im Vergleich zum Vorentwurf nur geringfügig verändert. Die Unternehmen sollen nicht, wie geplant, berechtigt werden, Sicherheitsüberprüfungen des Personals vorzunehmen, und werden auch nicht an ein Krisenkommunikationssystem des BSI angeschlossen. Sie brauchen auch keine Listen der eingesetzten kritischen Komponenten an die Behörde zu liefern. Allerdings soll das BSI die Befugnis erhalten, bei einer „erheblichen Störung“ im Einvernehmen mit der zuständigen Aufsichtsbehörde die Herausgabe aller relevanten Unterlagen einschließlich personenbezogener Daten zu verlangen (§ 8b Abs. 4a BSIG-E), eine Art einfacher Untersuchungsbefugnis des BSI in den Unternehmen bei IT-Sicherheitsvorfällen.
Unternehmen im besonderen öffentlichen Interesse: Die Definition dieser mit dem ITSiG 2.0 neu regulierten Gruppe von Unternehmen wurde noch einmal überarbeitet. Rüstungs- und IT-Sicherheitsunternehmen sollen wie in den Vorentwürfen in diese Kategorie fallen. Neu ist die Einbeziehung von Unternehmen, die „nach ihrer inländischen Wertschöpfung zu den größten Unternehmen in Deutschland gehören“ (§ 2 Abs. 14 Satz 1 Nr. 2 BSIG-E). Sie sollen wegen ihrer volkswirtschaftlichen Bedeutung einbezogen werden, auch wenn sie keine KRITIS sind.
Die genaue Definition obliegt einer Rechtsverordnung, doch die Gesetzbegründung gibt die Richtung vor: dort wird auf das Verfahren verwiesen, das die Monopolkommission in ihrem Bericht nach § 44 Abs. 1 GWB (dem jährlichen Hauptgutachten) wählt, um die größten 100 deutschen Unternehmen zu bestimmen. Die Liste des letzten Hauptgutachtens vom Juli 2020 (S. 80ff.) verzeichnet drei Automobilunternehmen – VW, Daimler und BMW – an der Spitze und reicht bis zu der Vattenfall-Gruppe und dem Landmaschinenhersteller John Deere am Ende der 100er-Liste. Nach meiner Schätzung werden etwa 40 der 100 Unternehmen bereits kritische Dienstleistungen nach § 8a BSIG erbringen, mithin schon vom IT-Sicherheitsgesetz reguliert sein. Neu erfasst werden aber neben der Automobilwirtschaft vor allem große Chemieunternehmen, Konsumgüterhersteller, Bau- und Wohnungsunternehmen.
Verpflichtungen für Großunternehmen: Auf diese Unternehmen kommt eine gegenüber den KRITIS-Branchen modifizierte Verpflichtung zu (§ 8f BSIG-E). Das BMI spricht von einer „deutlich abgestuften“ Verpflichtung, weil zwar eine Meldepflicht für Vorfälle eingeführt wird, konkrete technisch-organisatorische Maßnahmen und regelmäßige Sicherheitsaudits jedoch nicht verlangt werden. Im Vorentwurf Mai 2020 war allein eine Vorlage eines IT-Sicherheitskonzepts beim BSI geplant gewesen. Nunmehr hat man dies modifiziert: die Großunternehmen müssen Zertifizierungen (soweit vorhanden), Ergebnisse von IT-Sicherheits-Audits und -Prüfungen (soweit vorhanden) sowie eine Selbsterklärung vorlegen, wie
„sichergestellt wird, dass die für das Unternehmen besonders schützenswerten IT-Systeme, Komponenten und Prozesse angemessen geschützt werden und ob dabei der Stand der Technik eingehalten wird“ (§ 8f Abs. 1 Satz 1 Nr. BSIG-E)
Das BSI prüft die Selbsterklärung und kann „Hinweise geben“, wenn die Maßnahmen nicht angemessen erscheinen. Was unter den besonders schützenswerten Systemen und Prozessen zu verstehen ist, definiert allerdings weder der Entwurf noch die Begründung. Die Rechtsverordnungsermächtigung in § 10 Abs. 5 BSIG-E erstreckt sich indes allein auf die Bestimmung der Unternehmen, bei denen das besondere öffentliche Interesse besteht, nicht auf Systeme und Prozesse (wenngleich die Begründung zu § 10 Abs. 5 insoweit unzutreffend auch von Anlagen und Systemen spricht).
Chemie und andere gefährliche Güter: Die dritte Gruppe von Unternehmen im besonderen öffentlichen Interesse sollte nach den Vorentwürfen die Chemieindustrie sein. Hier hat man im aktuellen Entwurf die Konzeption geändert und knüpft nun an die Störfallverordnung (12. BImSchV) an und dort an die Kategorie der „Betriebsbereiche der oberen Klasse“ (§ 2 Satz 1 Nr. 2 i.V.m. Anhang I der 12. BImSchV). Solche Unternehmen müssen ohnehin ein Störfallkonzept erstellen und Störfallmeldungen vornehmen. Die IT-sicherheitsrechtliche Verpflichtung ist somit eine Erweiterung des dortigen Risiko- und Notfallmanagements – ein kluger Gedanke des Gesetzentwurfs.
Nach der einschlägigen europäischen Datenbank eSPIRS-Datenbank gibt es in Deutschland derzeit ca. 1.200 entsprechende Unternehmen, die nunmehr unter das IT-Sicherheitsgesetz fallen würden, weil sie mit gefährlichen Gütern arbeiten, darunter nicht nur Chemieunternehmen, sondern auch Tanklager oder Sprengstoffhersteller.
2. Produktsicherheit und kritische Komponenten
Produktsicherheit und Produkthaftung: Nicht eingelöst wird mit dem Entwurf der im Koalitionsvertrag enthaltene Auftrag, die Herstellerinnen und Hersteller sowie Anbieterinnen und Anbieter von IT-Produkten, die neben den kritischen Infrastrukturen von besonderem nationalem Interesse sind, stärker in die Pflicht [zu] nehmen“ (Zeile 5874ff.) Allgemeine Regelungen zur Verantwortung und insbesondere Haftung der Hersteller informationstechnischer Produkte enthält der Entwurf weiterhin nicht. Hier schickt sich allerdings das Bundesjustizministerium (BMJV) an, im Zivilrecht einige Schritte zu mehr Herstellerverantwortung zu gehen. Das BMJV hat einen Referentenentwurf vorgelegt, nach dem in Umsetzung europäischen Rechts zumindest für Software und zumindest beim Vertrieb an Verbraucher in einem § 327f BGB (neu) eine Update-Verpflichtung für digitale Produkte eingeführt wird.
Materiell weitgehend unverändert enthält der Entwurf des IT-Sicherheitsgesetzes jedoch die Rechtsgrundlage für die Vergabe eines IT-Sicherheitskennzeichens für Produkte durch das BSI. Hier werden im neuen Entwurf jetzt ausdrücklich auch alle Arten digitaler Dienste einbezogen (jetzt § 9c BSIG-E).
Kritische Komponenten: Streitigster Punkt des gesamten Abstimmungsverfahrens innerhalb der Bundesregierung war erkennbar die Regelung für kritische Komponenten, also Hardware und Software, die von kritischen Infrastrukturbetreibern in relevanten Bereichen eingesetzt werden. Hier wird vor allem um die Nutzung von Produkten des chinesischen Herstellers Huawei in 5G-Mobilfunknetzen gestritten. Nach langer Diskussion hat sich die Regierung nun auf ein Verfahren verständigt.
Gegenüber dem Vorentwurf wurde das Verfahren weiter differenziert. Hersteller von 5G-Komponenten für sicherheitskritische Netzfunktionen müssen diese, erstens, zertifizieren lassen (§ 109 Abs. 2 Satz 4 TKG-E) und eine Garantieerklärung zur eigenen Vertrauenswürdigkeit abgeben (§ 9b Abs. 2 BSIG-E). Der Betreiber des Netzes muss dann, zweitens, jede geplante Komponente samt Vorlage der Vertrauenswürdigkeitserklärung beim BMI anzeigen. Binnen 30 Tagen kann der Einsatz vom BMI untersagt werden (§ 9b Abs. 3 BSIG-E), „wenn überwiegende öffentliche Interessen, insbesondere sicherheitspolitische Belange“ dem Einsatz entgegenstehen. Interessanterweise spielt bei dieser Entscheidung VOR dem Einsatz einer Komponente die Frage der Vertrauenswürdigkeit des Herstellers nach dem Gesetzestext keine ausdrückliche Rolle.
Bei systematischer Auslegung der Gesamtnorm, unter Berücksichtigung der Begründung und der Tatsache, dass die Entscheidung in die subjektiven Rechte des Herstellers eingreift, wird man gleichwohl nicht umhin kommen, eine Verbotsentscheidung mit in der Person des Herstellers liegenden Tatsachen zu begründen – was sonst als die Vertrauenswürdigkeit kommt hier in Frage? Vermutlich dient die alleinige Bezugnahme auf die öffentlichen Interessen dazu, dem BMI die Darlegung eines Verbots zu erleichtern. In der Folge sind die faktischen Untersagungsmöglichkeiten vor dem erstmaligen Einsatz der Komponenten etwas größer als bei bereits eingesetzte Komponenten, die eine ausdrückliche Feststellung eines Vertrauensverlustes erfordern.
Angesichts der unterschiedlichen Positionen zum Einsatz von Huawei in 5G-Netzen innerhalb der Regierung war die Frage besonders streitig, wie die Regierung bei unterschiedlichen Auffassungen entscheidet. Hier hat das eher Huawei-kritische Auswärtige Amt nun nachgegeben: Kommt innerhalb der 30 Tage keine einvernehmliche Entscheidung zur Untersagung des Einsatzes einer Komponente zu Stande (zum Beispiel wegen eines Streits in der Regierung), dann darf der Netzbetreiber die Komponente einsetzen.
Letztlich wird das aber nur eine vorläufige Rechtssicherheit sein, weil das BMI – wiederum im Einvernehmen mit anderen Ressorts wie dem Auswärtigen Amt – auch den laufenden Betrieb stoppen kann, wenn der Hersteller sich als nicht vertrauenswürdig erweist (§ 9b Abs. 4 BSIG-E). Die Voraussetzungen dafür sind denkbar niedrig, allein das Nicht-Beseitigen einer bekannt gewordenen Schwachstelle führt zum Verlust der Vertrauenswürdigkeit. Folgt man den Berichten des britischen Huawei Cyber Security Evaluation Oversight Board, scheint das verschleppte Schließen von Sicherheitslücken beispielsweise bei Huawei eher die Regel zu sein als eine Ausnahme.
Bedenkenswert ist, dass das komplizierte Verfahren der Prüfung kritischer Komponenten jetzt zwar nur für 5G diskutiert wird, im Gesetz aber für alle kritischen Infrastrukturen angelegt ist. Wenn durch sektorales Recht – wie für 5G durch das TKG – eine Zertifizierung einer kritischen Komponente angeordnet ist, kommt sofort das ganze System, der Garantieerklärungen, Anzeigepflichten und Untersagungsmöglichkeiten zum Tragen. Das wäre für Medizintechnik in Krankenhäusern ebenso denkbar wie für Teile von Energieanlagen oder Bahntechnik.
Universelle Standardisierungs- und Offenlegungskompetenz des BMI: In der allerletzten Fassung des Gesetzentwurfs (9.12.2020) ist vom BMI eine überraschende Verordnungsermächtigung in den Entwurf aufgenommen werden (§ 10 Abs. 6 BSIG-E). Mit ihr soll BMI ermächtigt werden, für alle informationstechnischen Systeme (also jedes digitale Gerät in Deutschland) Interoperabilität, Offenlegung von Schnittstellen, und Einhaltung etablierter Standards festlegen zu können. Der Sinn dieser Vorschrift ist unklar, eine Begründung gibt es nicht. Als Zweckbestimmung wird im Gesetzestext die Verbesserung von Verfügbarkeit, Integrität, Kontrolle und Authentizität von IT-Systemen gennant. Vor allem der Begriff der "Kontrolle" lässt aufhorchen, weil es sich hierbei um kein klassisches Schutzziel der IT-Sicherheit handelt.
3. BSI als Gefahrenabwehrbehörde
Das IT-Sicherheitsgesetz 2.0 schafft eine Reihe neuer Befugnisse, mit denen die Stellung des BSI als Gefahrenabwehrbehörde im digitalen Raum ausgebaut wird. Im aktuellen Entwurf gibt es im Vergleich zum Vorentwurf hier vor allem Präzisierungen und Konkretisierungen, im Einzelfall auch Erweiterungen der Befugnisse.
Untersuchung von IT-Produkten: Die erweiterte Befugnis zur Untersuchung von IT-Produkten vom Markt auf Sicherheitslücken ist weitgehend unterverändert geblieben. Allerdings hat BMI nunmehr ausdrücklich ausgeschlossen, dass Produktuntersuchungen zum Zwecke der Unterstützung von Polizeien und Nachrichtendiensten erfolgen (§ 7a Abs. 1 BSIG-E) und dass Erkenntnisse an diese weitergegeben werden dürfen (§ 7a Abs. 4 BSIG-E). Hier soll offenbar der öffentlich regelmäßig vertretenen Sorge entgegengewirkt werden, dass Polizeien und Nachrichtendienste vom BSI unterstützt werden, im Rahmen von Quellen-TKÜ oder Online-Durchsuchung in Systeme Betroffene einzudringen.
Portscans im Internet: Das BSI soll durch sogenannte Portscans ermitteln können, ob die Betreiber von Servern im Internet bekannt gewordene Sicherheitslücken geschlossen, also die Systeme gepatcht haben. Die Befugnis soll Sicherheitsrisiken wichtiger Server im Internet, etwa Shop-Systeme oder Industriesteueranlagen, frühzeitig erkennen und reduzieren helfen. Dazu fragt das BSI die Systeme und dort laufende digitale Dienste online ab – an der Reaktion kann man dann in manchen Fällen erkennen, ob relevante Softwareupdates gemacht wurden.
Die geplante Befugnis des BSI zur Untersuchung grundsätzlich aller über das Internet erreichbarer Systeme ist durch die Reduzierung auf Portscans deutlich präzisiert worden (§ 7b BSIG-E). Penetrationstests – wie sie nach dem Vorentwurf noch denkbar waren – sind jetzt nicht mehr möglich, die Regelungen zur Verwendung der Erkenntnisse enger gefasst. Im allerletzten Entwurf wurde auch die Erlaubnis für Portscans weiter eingeschränkt: Nunmehr sollen sie nur noch bei Systemen des Bundes, der Betreiber kritischer Infrastrukturen und der Unternehmen im besonderen öffentlichen Interesse möglich sein (§ 7b Abs. 1 Satz 1 BSIG-G). Dazu führt das BSI zukünftig eine "Weiße Liste" der IP-Adressbereiche dieser Einrichtungen, die beständig aktualisiert werden muss.
Stellt das BSI beim Portscan ein Sicherheitsrisiko fest, dann informiert es den Systembetreiber, hilfsweise auch den Internetprovider, über den das System mit dem Netz verbunden ist, damit die Sicherheitslücke geschlossen wird. Die Information soll gemäß dem aktuellen Gesetzentwurf allerdings nicht in jedem Fall erfolgen – „überwiegende Sicherheitsinteressen“ können dazu führen, dass das BSI sein Wissen für sich behält (§ 7b Abs. 3 Sätze 1 und 3 BSIG-E). In welchen Fällen das BSI den Betreiber eines ungeschützten Systems nicht informieren will, lassen Gesetzentwurf und Begründung allerdings offen.
Gefahrenabwehr-Anordnungen gegenüber Diensteanbietern: Wie schon im Vorentwurf des IT-Sicherheitsgesetzes 2.0 soll das BSI Befugnisse bekommen, Telekommunikations- und Telemedienanbieter anzuweisen, technische Gefahrenabwehrmaßnahmen zu ergreifen, eine Art „Aktive Cyberabwehr“-Maßnahmen. Diese Befugnisse hat man nun aus dem TKG und TMG ausgegliedert und im BSIG zusammengefasst (§§ 7c und 7d). Die §§ 7a bis 7d BSIG-E stellen somit eine Art umfassenden Katalog der Gefahrenabwehrbefugnisse des BSI dar.
Telekommunikationsanbieter mit mehr als 100.000 Kunden sollen erstens dazu verpflichtet werden können, Datenverkehre mit gefährlichen Servern umzuleiten oder zu blockieren, also etwa mit Command-and-Control-Servern, die Botnetze steuern (§ 7c Abs. 1 Satz 1 Nr. 1 BSIG-E). Die Anordnungsbefugnisse hierfür wurde enger gefasst. Nur bei konkreten und erheblichen Gefahren für wichtige Systeme oder für viele Internetnutzer/innen kann das BSI entsprechende Anordnungen treffen. Neu im aktuellen Entwurf ist die Befugnis des BSI, solche umgeleiteten Datenverkehre zu speichern und zu analysieren, um das Verhalten des Schadprogramms zu studieren.
Auch soll das BSI zweitens die Provider anweisen können, Systeme ihrer angeschlossenen Nutzer/innen durch Weiterleiten von „Bereinigungsbefehlen“ zu sichern, auf diese Art z.B. Schadsoftware auf den Endgeräten zu entfernen (§ 7c Abs. 1 Satz 1 Nr. 2 BSIG-E). Das ist ein besonders schwerwiegender und überaus riskanter technischer Eingriff aus dem BSI über die Provider hin zu vielen Tausend Endkunden. Hier muss laut dem aktuellen Entwurf nun auch der Bundesdatenschutzbeauftragte vorher zustimmen.
Gestrichen wurde die ursprünglich geplante Befugnis für das BSI, bei den Telekommunikationsanbietern IP-Adressen online abzufragen. Dies soll nunmehr zur Abwehr von Cyberangriffen nur noch im Einzelfall und unter höheren Voraussetzungen möglich sein (§ 5c BSIG-E).
Gegenüber Telemedienanbietern soll das BSI ausdrückliche Anordnungen treffen können (§ 7b BSIG-E), bei ihren Systemen konkrete Sicherheitsmaßnahmen zu ergreifen (zu denen sie nach § 13 Abs. 7 TMG ohnehin verpflichtet sind). Damit soll das Defizit beseitigt werden, dass oftmals noch Monate nach dem Bekanntwerden von Sicherheitslücken immer noch Server im Internet über eben jene Sicherheitslücken angreifbar sind und damit auch deren Kunden gefährdet werden. Diese Befugnis wurde aus dem Vorentwurf weitgehend unverändert übernommen.
Bewertung und offene Fragen
Die lange Beratung des Entwurfs innerhalb der Bundesregierung, zuletzt monatelang zu der Frage von 5G, hat dafür gesorgt, dass der aktuelle Entwurf deutliche Verbesserungen zu allen Vorentwürfen erfahren hat. Er entwickelt das IT-Sicherheitsrecht und das Instrumentarium des Staates zur Bewältigung der verschärften Cybersicherheitslage im Grundsatz sinnvoll weiter.
Statt jahrelanger Beratung innerhalb der Bundesregierung hätte dem Entwurf allerdings eine breitere Erörterung mit Wirtschaft, Zivilgesellschaft und Wissenschaft gut getan. Denn die Sichtweise des Entwurfs ist nahezu vollständig „vom Staat her gedacht“. Meine Kritik in CRonline am ersten Entwurfs, Pappa ante portas, bleibt leider aktuell. Der Blick auf das Problem der Cybersicherheit durch die eher technokratische Brille des Staates, insbesondere die Brille des BSI, führt zu vier systematischen Problemen:
1. Belastung für die Wirtschaft, wenig konkreter Mehrwert
Die Einbeziehung weiterer Bereiche der Wirtschaft wird vom Entwurf so dargestellt, als wenn damit keine nennenswerten Belastungen verbunden wären. Schon die Darstellung, dass die nunmehr zusätzlich verpflichteten größten Unternehmen Deutschlands tatsächlich einen geringeren Aufwand haben würden als KRITIS-Unternehmen, darf bezweifelt werden. KRITIS-Unternehmen müssen ihre Sicherheitskonzepte und die verpflichtende Auditierung auf definierte Dienstleistungen beziehen. Die anderen Großunternehmen müssen nach dem Wortlaut des Entwurfs alle besonders schützenswerten Systeme absichern und in einer Selbsterklärung alle Maßnahmen zusichern. Wer die IT-Struktur eines Großkonzerns nur ein wenig kennt, weiß, was für ein Aufwand damit verbunden ist.
Kosten: Die Abschätzung des Aufwandes für die Unternehmen in der Gesetzesbegründung kann insoweit nicht einmal ansatzweise nachvollzogen werden: Den Unternehmen im besonderen öffentlichen Interesse entstünden durch die Abgabe der Selbsterklärung Aufwände in Höhe von einmalig 15.886 € und jährlich 6.110 € (für alle Unternehmen!). Dass das eher ein Scherz als eine belastbare Schätzung ist, zeigt sich, wenn man den Aufwand des BSI gegenüberstellt: für die Aufnahme dieser neuen Unternehmen in die Regulierung soll dort angeblich ein Personalbedarf von 56 Planstellen entstehen (also über 5 Millionen Euro pro Jahr) – wofür braucht das Amt 56 Stellen, um Selbsterklärungen von Großkonzernen zu prüfen, die hierfür pro Unternehmen weniger als einen Personentag aufgewendet haben?
Nutzen? Dem enormen Aufwand für die Unternehmen steht wenig konkreter gesetzlich definierter Mehrwert für die Wirtschaft gegenüber. Das BSI hat ein sehr weitgehendes Ermessen, wann es welche Unternehmen informiert. Die allgemeine Verpflichtung zur Unterrichtung der Unternehmen wurde nicht erweitert, Unterrichtungen über Sicherheitsmängel aus Produktuntersuchungen oder sogar Portscans können vom BSI unter Umständen sogar zurückgehalten werden.
Verhältnis zu TOMs nach DSGVO? Weiterhin nicht geklärt wird durch den Entwurf das schwierige Verhältnis zwischen den IT-Sicherheitsauflagen aus dem IT-Sicherheitsgesetz und den Auflagen aus Art. 32 DSGVO. Beides steht unverbunden nebeneinander . Für die gleichen IT-Systeme müssen Unternehmen IT-Sicherheits-Compliance aus zwei verschiedenen Rechtsquellen beachten (dazu Winter, CR 2020, 576 ff., dessen Synopse der Meldepflichten nach BSIG und DSGVO praxisgerechte Ansätze für ein effizientes Meldesystem in einem Unternehmen bietet). Der aktuelle Entwurf ist hier sogar ein Rückschritt, weil in § 9c BSIG-E ausdrücklich festgehalten wird, dass ein IT-Sicherheitskennzeichen des BSI keinerlei Aussagen zum Datenschutz macht, also auch nicht zur Erfüllung der Pflichten aus Art. 32 DSGVO.
Übermaß staatlicher Eingriffe: Die in letzter Minute eingefügte Verordnungsermächtigung für BMI zur Festlegung von Standards und Verpflichtung zur Offenlegung von Schnittstellen würde eine umfassende Eingriffbefugnis des BMI in alle digitalen Systeme in Deutschland eröffnen. Abgesehen von der fraglichen Vereinbarkeit mit Europarecht (Binnenmarkt) und der ebenso fraglichen Vereinbarkeit eines solchen Eingriffs mit Art. 12, 14 GG erscheint diese Regelung auch im Hinblick auf die Innovationsförderung überschießend. Jedes staatlich Definition von Funktionalitäten und Schnittstellen eines IT-Systems sind eben auch ein Stück weit eine "Veränderungssperre" und behindern seine Weiterentwicklung - mit negativen Auswirkungen auf Innovations- und Wettbewerbsfähigkeit Deutschlands.
2. Sondergefahrenabwehrrecht für den digitalen Raum
Mit dem Gesetzentwurf erhält das BSI eine Reihe sinnvoller Kompetenzen zur aktiven Cyberabwehr. Gleichzeitig entwickelt sich das Amt zunehmend zu einer universellen Gefahrenabwehrbehörde für den digitalen Raum. Produkte untersuchen, Rechner im Internet scannen, Datenverkehre umleiten, Löschbefehle an Clients senden – damit verändert sich die Rolle des Amtes hin zu einer speziellen Polizeibehörde.
Legislative Kompetenz? Das wirft erstens die Frage nach dem Verhältnis von Bund und Ländern auf. Der Entwurf begründet die Gesetzgebungszuständigkeit des Bundes hier sehr dünn mit einer „gefahrenabwehrrechtlichen Annexkompetenz“ zum Recht der Wirtschaft. Spätestens mit allgemeinen Portscans, die bei weitem nicht nur Unternehmen betreffen werden, dürfte das kaum noch zu halten sein. Keine Frage, die Befugnisse für BSI sind sinnvoll und können kaum dezentral ausgeübt werden (siehe Brisch/Rexin, CR 2020, 693 ff., die Cyber-Threat-Plattformen unter BSI-Aufsicht als effektiveres Modell einer Cybersicherheits-Infrastruktur vorschlagen). Nur sollte man das dann auch klarstellen und – wie bei der Bekämpfung des internationalen Terrorismus (Art. 73 Abs. 1 Satz 1 Nr. 9a GG) – durch eine Grundgesetzänderung eine Gesetzgebungszuständigkeit des Bundes für die Gefahrenabwehr im Cyberraum schaffen.
Administrative Kompetenz? Zweitens wirft die Rollenänderung des BSI zunehmend die Frage auf, wann und zu welchem Zweck das BSI seine Gefahrenabwehrbefugnisse wahrnimmt und wer von den Erkenntnissen profitiert. Hier finden sich im aktuellen Entwurf Licht und Schatten. Dass an manchen Stellen des Entwurfs Sicherheitserkenntnisse vom BSI vor den Betroffenen zurückgehalten werden können, ohne dass hierfür Abwägungskriterien benannt werden, ist nicht vertretbar. Das BSI ist in erster Linie für die Bürgerinnen, Bürger und Unternehmen da – Gründe, hinter ihrem Rücken zu agieren, müssen ausdrücklich benannt werden.
Schwachstellen-Kompetenz: Positiv ist hingegen der Einstieg in eine Regulierung des Verhältnisses von BSI-Aufgaben und Aufgaben der Polizeien und Nachrichtendienste beim Umgang mit Schwachstellen und Sicherheitslücken. Hier enthält der Entwurf in den §§ 7a, 7b BSIG-E erste Beschränkungen, die verhindern, dass vom BSI gefundene Sicherheitslücken an Polizeien und Dienste weitergegeben werden – statt die Hersteller oder die Betroffenen zu unterrichten. Auch dürfen persönliche Daten von Hinweisgebern auf Sicherheitslücken vom BSI nunmehr nach § 4b Abs. 2 BSIG-E erst dann an andere Sicherheitsbehörden weitergeleitet werden, wenn vorher eine Abwägung mit den schutzwürdigen Interessen des Hinweisgebers erfolgt ist. Das ist allerdings noch sehr schwach ausgestaltet – dass man überhaupt auf die Idee kommt, die Daten einer Bürgerin oder eines Bürgers an die Polizei weiterzugeben, die dem BSI eine Schwachstelle in Hardware oder Software meldet, ist erklärungsbedürftig. Eine umfassende Regelung eines institutionalisierten Abwägungsprozesses rund um Schwachstellen (Vulnerability Equities Process), damit mithin auch eine Beschränkung der Nutzung von Schwachstellen durch den Staat, steht noch aus.
3. Bürokratisierung statt Politik
Wollen wir in Kernbereichen unserer Infrastrukturen digitale Produkte von Unternehmen akzeptieren, denen wir nicht vertrauen? In einer Zeit der Virtualisierung und des umfassenden „AI inside“ – also einer immer weiter abnehmenden Fähigkeit der Überprüfung der Korrektheit von Hardware und Software?
Politischer Kern: Diese einfache Frage diskutieren wir seit Jahren liebevoll am Thema 5G und Huawei. Es ist eine primär politische Frage, eine Frage der Abwägung zwischen Sicherheitspolitik und Handelspolitik, zwischen Industriepolitik und internationaler Diplomatie. Deutschland verweigert sich einer politischen Entscheidung und setzt auf technische Richtlinien und Bürokratie, so auch im neuen Entwurf des IT-Sicherheitsgesetzes. Was die große Koalition politisch nicht entscheiden kann, soll das BSI mit Zertifizierung und ein „Jour Fixe der Referatsleiter“ mit Vertrauenswürdigkeitsprüfungen im Verwaltungsverfahren lösen.
Politische Entscheidung: Doch auch die neueste Schleife ändert nichts an dem einfachen Grundproblem – und der einzigen Lösungsmöglichkeit: der politischen Entscheidung. Denn das fein ziselierte Konstrukt in § 9b BSIG-E läuft am Ende dann doch in eine politische Entscheidung hinein. Werden sich die Ministerien bei der Entscheidung über das Verbot des Einsatzes einer bestimmten Komponente nicht einig, kann jedes Ressort das Thema politisch eskalieren.
Politisches Instrument: Der Entwurf ist insofern eine Schiebeverfügung. Die Politik möchte das Thema jetzt erst einmal vom Tisch haben. Auf der Strecke bleibt die Rechtssicherheit für Hersteller und Betreiber. Mit dem Amtsantritt der US-Administration von Biden eröffnet sich allerdings eine neue Chance für eine politische Entscheidung, eine industrie- und sicherheitspolitische Allianz, mit Frankreich, mit Großbritannien, und jetzt auch wieder den USA.
4. Überforderung des BSI
Mehr Zentralisierung: Der Blick auf die Cybersicherheit durch die Brille des Staates führt zu einer Regulierung, die primär dem Ansatz folgt: IT-Sicherheit wird vom BSI definiert, alle relevanten Informationen müssen an das BSI fließen, alle Maßnahmen werden vom BSI angeleitet. Die größten Konzerne Deutschlands sollen beispielsweise per Selbsterklärung ihre IT-Sicherheitsmaßnahmen aufschreiben, das BSI wird dann „Hinweise“ geben (§ 8f Abs. 3 BSIG-E), was sie besser machen können. Damit wird ein nur für Laien (und vielleicht Teile der Politik) schlüssiges Konzept definiert, das mit der Realität nichts zu tun hat. „Die IT-Sicherheit“ eines ganzen Konzerns ist morgen anders als heute, man kann sie nicht aufschreiben, das BSI kann sie nicht durchdringen und schon gar nicht die jeweils richtigen und wichtigsten Hinweise geben. Mit der Fülle von Informationspflichten und Untersuchungsbefugnissen wird das Amt fast zwangsweise in Informationen ertrinken, die noch dazu – das ist das Wesensmerkmal der digitalen Welt – eine kurze Halbwertszeit haben.
Mehr Personal: Mit der umfänglichen Erweiterung der Befugnisse des BSI soll hierfür zwar ein enormer personeller Aufwuchs des Amtes einhergehen. Zu den 1.435 Stellen im Bundeshaushalt 2020 sollen mit dem IT-Sicherheitsgesetz 799 weitere hinzukommen. Doch die Leistungsfähigkeit von Behörden wächst leider nicht mit der Größe, zumal bei einer Materie, die hochgradig vernetzt ist, wo also der behördeninternen Zusammenarbeit die größte Bedeutung zukommt. Das BSI gerät in die Gefahr, von einer international und national wegen ihrer Expertise geschätzten Institution zu einer Großbürokratie zu werden, die gleichwohl immer irgendwo irgendetwas übersieht und die Unternehmen, die Bürgerinnen und Bürger nicht rechtzeitig warnt.
Mehr Flexibilität? Das hat Auswirkungen auf die Sicherheit, aber auch Auswirkungen auf die Innovationsfähigkeit unseres Landes: IT-Sicherheit lebt inmitten einer enorm schnellen digital getriebenen Innovation von Eigenverantwortung, davon, dass neue Lösungen ausprobiert werden, dass die Abwehr von Angreifern auch durch die Anwenderunternehmen und die IT-Sicherheitswirtschaft schnell weiterentwickelt wird.
Mehr Innovation? An sich will das BSI solche Innovationen fördern – kann durch die Grundkonzeption des Gesetzes aber leicht zum Flaschenhals für IT-Sicherheitsinnovation werden. Denn Vorgaben des Amtes, technische Richtlinien oder Empfehlungen setzt der Gesetzgeber überall ein, wo IT-Sicherheit in Deutschland stattfindet, sozusagen die umfängliche Bürokratisierung von IT-Sicherheitsinnovation. Dass nun mit dem Entwurf sogar der im Technikrecht über Jahrzehnte bewährte Begriff des „Standes der Technik“, eine entwicklungsoffene rechtliche Formulierung, durch Festlegungen des BSI – und nicht durch Normung und Markt – bestimmt werden soll (§ 3 Abs. 1 Satz 2 Nr. 20 BSIG-E), ist symptomatisch für diese Fehlentwicklung.
Mehr Eigenverantwortung? Leider kann ich auch im fortentwickelten Entwurf keinen Ausbau von incentivierenden, die Eigenverantwortung der Unternehmen und die Resilienz von Wirtschaft und Zivilgesellschaft stärkenden Ansatz erkennen.
5. Fazit & Ausblick
Das neue IT-Sicherheitsgesetz bringt Verbesserungen, keine Frage, unserer langfristigen Herausforderung wird es indes nicht gerecht. Das wird vermutlich auch der Deutsche Bundestag bei der parlamentarischen Beratung des Gesetzes nicht ändern können. Bleibt es bei der Kabinettbefassung am 16. Dezember, kann ein erster Durchgang durch den Bundesrat im Februar, eine Beratung im Bundestag im März/April erfolgen. Bei einer Verabschiedung von versprochenen Gesetzen so kurz vor der Bundestagswahl ist die Neigung von Abgeordneten der Regierungskoalition gering, die Materie noch einmal umfassend zu diskutieren.
Die Aufgabe der Neukonzeption des IT-Sicherheitsrechts wird in die nächste Wahlperiode weiterwandern ...