IT-Sicherheitsgesetz 2.0 - pappa ante portas?
Mit dem IT-Sicherheitsgesetz 2.0 will die Bundesregierung in dieser Wahlperiode das IT-Sicherheitsrecht deutlich ausbauen. Hiermit sollen die entsprechenden Vereinbarungen des Koalitionsvertrages umgesetzt werden. Zudem soll auf die IT-Sicherheitsvorfälle der letzten Zeit reagiert werden, beispielsweise auf den Datenleak Anfang 2019, von dem auch viele Politikerinnen und Politiker betroffen waren.
Ein erster Entwurf des BMI für ein IT-Sicherheitsgesetz 2.0 vom 27. März 2019 wurde von netzpolitik.org geleakt. Er enthält umfangreiche Regelungsvorschläge und befindet sich derzeit in der Ressortabstimmung innerhalb der Bundesregierung. Eine kursorische Darstellung der Regelungsinhalte findet sich bei Voigt, IT-Sicherheitsgesetz 2.0, im CR-online.de Blog vom 11. April 2019.
Für eine vertiefte Diskussion der einzelnen Regelungsvorschläge ist es noch zu früh. Dafür ist der geleakte Entwurf noch zu unreif und nicht abgestimmt. Anhand der verschiedenen Regelungsideen und -ansätze lässt sich jedoch eine rechtspolitische Diskussion führen, mit welcher Strategie die Durchsetzung von IT-Sicherheit erreicht werden kann und soll.
Umfassende Kontrollbefugnisse des BSI für den digitalen Raum
Operative Kontroll- und Durchsetzungsbefugnisse zur Gefahrenabwehr im Cyberraum hat das BSI bislang vor allem zum Schutz der Kommunikationstechnik des Bundes – und auch dort nur an den Schnittstellen der Bundes-IT zum Internet. In anderen Bereichen konnte BSI nur auf Ersuchen tätig sein (z.B. bei kritischen Infrastrukturen) oder eine prüfende, beratende und warnende Rolle spielen (z.B. bei IT-Produkten). Jetzt ist eine Ausweitung der BSI-Rolle zu einer Art Sonderpolizeibehörde für den digitalen Raum mit entsprechenden Befugnissen geplant. Das BSI soll unter anderem
- jedes auf dem Markt verfügbare IT-Produkt auf Sicherheit untersuchen dürfen und dazu von allen Herstellern alle Auskünfte und Unterlagen verlangen dürfen (Art. 1 Ziff. 10 RefE - § 7a BSIG-E),
- jedes aus dem Internet erreichbare IT-System ohne Einwilligung des Besitzers auf Sicherheitslücken oder Schadprogramme scannen dürfen und bei positivem Resultat gegenüber dem Provider anordnen dürfen, dieses System vom Netz zu nehmen (Art. 1 Nr. 11 RefE - § 7b BSIG-E),
- im Falle drohender Störungen kritischer Infrastrukturen den Betreibern durch Anordnungen technische Maßnahmen vorschreiben dürfen (Art. 1 Nr. 8 RefE - § 5c Abs. 4 BSIG-E),
- alle Protokolldaten aus dem Betrieb der IT-Systeme der Behörden des Bundes für bis zu 18 Monate ohne Anlass speichern dürfen (Art. 1 Nr. 5 - § 5 Abs. 2 BSIG-E).
Erweiterung und Verschärfung der Pflichten für Betreiber von IT-Systemen
Seit der Umsetzung der europäischen NIS-Richtlinie in deutsches Rechts und der damit verbundenen Änderung des BSI-Gesetzes im Jahr 2017 sind durch das allgemeine IT-Sicherheitsrecht vor allem die Betreiber kritischer Infrastrukturen und einiger digitaler Dienste verpflichtet, IT-Sicherheitsmaßnahmen zu implementieren und Vorfälle zu melden. Nun soll diese Verpflichtung erweitert werden auf weite Bereiche der Wirtschaft,
- Sektoren wie Entsorgungswirtschaft (Art. 1 Ziff. 1 Buchst. d - § 2 Abs. 10 BSIG-E), Rüstungswirtschaft, Kultur und Medien (Art. 1 Ziff. 1 Buchst. d - § 2 Abs. 10 BSIG-E),
- mehr als 300 börsennotierten Unternehmen im sogenannten „Prime Standard“, also im Wesentlichen die DAX-, MDAX-, SDAX- und TexDAX-Unternehmen (Art. 1 Ziff. 1 Buchst. d - § 2 Abs. 10 BSIG-E),
- sonstige Unternehmen, denen das BSI solche Verpflichtungen wegen ihrer „Cyberkritikalität“ im Einzelfall auferlegt (Art. 1 Ziff. 16 Buchst. b - § 8g BSIG-E).
Für die schon bisher und auch die neu erfassten Unternehmen kommen weitere materielle Verpflichtungen hinzu:
- Betrieb von Systemen der Angriffserkennung nach BSI-Vorgabe (Art. 1 Ziff. 13 Buchst. a - § 8a Abs. 1a BSIG-E);
- Einholen von Vertrauenswürdigkeitserklärungen für technische Kernkomponenten in ihrer IT-Infrastruktur – über die gesamte Lieferkette, also vom einzelnen Chip bis zum Systemintegrator (Art. 1 Ziff. 13 Buchst. b - § 8a Abs. 6 BSIG-E);
- Einbindung in ein (noch auszugestaltendes) „Krisenkommunikationssystem“ (Art. 1 Ziff. 14 Buchst. a - § 8b Abs. 2 BSIG-E)
Einführung von Verhaltensregeln für Hersteller von IT-Produkten
Obwohl die Ursache von IT-Sicherheitsvorfällen in der Regel in Schwachstellen der eingesetzten Hardware und Software liegt, waren Hersteller von IT-Produkten IT-sicherheitsrechtlich bislang nur indirekt in der Verantwortung. Dies soll sich nun ändern. Neben der Pflicht zur Duldung und Unterstützung von BSI-Prüfungen ihrer Produkte soll eine aktive Meldepflicht eingeführt werden: Jeder Hersteller jedes IT-Produkts soll „erhebliche Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit“ seines Produkts dem BSI melden – sofern ein Einsatz des Produktes in einem der oben unter 2 genannten Unternehmen zu einer erheblichen Beeinträchtigung führen könnte (Art. 1 Ziff. 16 RefE - § 8h BSIG-E). Um eine solche Verpflichtung einhalten zu können, müsste jeder Hersteller nachhalten, ob seine Produkte – und sei es als Teil einer längeren Lieferkette – in einem der genannten Sektoren oder börsennotierten Unternehmen eine bestimmte kritische Funktion wahrnehmen. Da sich die Kritikalität einer Komponente bei manchen Produkten im Vorhinein schwer abschätzen lässt (z.B. Netzwerktechnik, Sicherheitschips, Betriebssysteme), werden weite Teile der IT-Branchen vorsorglich an BSI melden müssen.
Hersteller von IT-Produkten sollen durch die Pläne des Innenministeriums nicht nur in die Pflicht genommen, sondern auch durch Anreize zu mehr IT-Sicherheit motiviert werden: So ist die Einführung eines freiwilligen IT-Sicherheitskennzeichens geplant (Art. 1 Ziff. 18 RefE - § 9a BSIG-E), mit dessen Hilfe Hersteller gegenüber den Endkunden demonstrieren können sollen, dass ihre Systeme bestimmte Sicherheitsanforderungen einhalten. Neben einer Herstellererklärung zum Produkt soll – verpflichtend – auf dem Produkt ein Link zu einer BSI-Website aufgedruckt sein, auf der aktuelle BSI-Informationen zu diesem Produkt stehen (sollen).
Verpflichtung von Providern, IT-Sicherheit gegenüber Kunden durchzusetzen
Mit dem sogenannten NIS-Umsetzungsgesetz von 2017 und den darin enthaltenen Änderungen im Telekommunikationsrecht waren Internetprovider stärker in die Verantwortung genommen worden, die operative Cyberabwehr in ihren Netzen zu unterstützen. Dies war in Form neuer Befugnisse für Provider zur Durchführung von Deep Packet Inspections, Sinkholing und Netzsperren erfolgt (vgl. Schallbruch, IT-Sicherheit: Bundestag verabschiedet NIS-Umsetzungsgesetz, CR-online.de Blog vom 14. Mai 2017). Offenbar sind BMI und BSI mit dem diesbezüglichen Engagement der Provider unzufrieden. Daher soll nunmehr das BSI eine Befugnis erhalten, zum Schutz der Behörden des Bundes, der kritischen Infrastrukturen oder bei sonstigen Cybergefahren für „eine Vielzahl [..] von Nutzern“ die genannten Maßnahmen der Provider anzuordnen, also beispielsweise das Sperren von Nutzern oder das Umleiten des Datenverkehrs. Hinzu kommt die neue Möglichkeit, die Provider auch zur Bereinigung von IT-Systemen ihrer Kunden zu verpflichten. Insbesondere im Falle von Botnetzen sollen Provider in die Pflicht genommen werden, die Bots auf den Rechnern ihrer Endkunden abzuschalten (Art. 2 Nr. 2 RefE - § 109a Abs. 8 TKG-E). Alle diese Maßnahmen kommen nur auf Anordnung des BSI zu Stande, wobei nicht geregelt ist, wie spezifisch die Anordnung des BSI sein muss, ob sie sich beispielsweise auf eine Vielzahl von Kunden eines Providers gleichzeitig beziehen kann. Dies ergibt sich allenfalls indirekt aus der „wirtschaftlichen Zumutbarkeit“ als Schranke der Anordnungsbefugnis.
Offenkundig eine Lehre aus dem Datenleak Anfang 2019 ist eine weitere geplante Verpflichtung in Richtung Provider: zukünftig sollen sie in ihren Diensten gespeicherte oder durch ihre Dienste übermittelte „rechtswidrig erlangte“ Daten sperren – und zudem in jedem Fall das BKA darüber informieren. Diese Verpflichtung soll ebenso die Zugangsprovider treffen (Art. 2 Nr. 3 RefE - § 109b TKG-E) wie auch jeden Anbieter eines Telemediendienstes, also jeden Betreiber eines Webservers (Art. 3 Nr. 3 RefE - § 15b TMG-E), ohne Ausnahme und ohne Schwellwert, vom Kaninchenzüchterverein bis zu Google. Dabei müssen die Anbieter der Dienste nicht initiativ nach rechtswidrigen Daten in den Konten ihrer Nutzer suchen. Sobald ihnen jedoch ein Hinweis zugeht, haben sie eine Pflicht zur Prüfung. Schon ein einziges Foto, eine einzige E-Mail-Adresse oder ein sonstiges personenbezogenes Datum, das ohne datenschutzrechtliche Ermächtigung gespeichert ist, wäre zum Beispiel eine rechtswidrige Speicherung. Jedem entsprechenden Hinweis müsste der Provider nachgehen, ihn prüfen und ggf. BKA unterrichten und sperren.
Höhere Bußgelder, neue Straftatbestände und strafprozessuale Instrumente
Bislang ist nicht bekannt geworden, dass das BSI im Rahmen seiner bestehenden Befugnisse auch nur ein einziges Bußgeld verhängt hat. Schon gar nicht ist dokumentiert, dass die Umsetzung der Verpflichtungen aus dem BSI-Gesetz wegen der nicht ausreichenden Bußgelder von Unternehmen missachtet wird. Gleichwohl wird in dem vorliegenden Entwurf eine erhebliche Ausweitung von Ordnungswidrigkeiten-Tatbeständen und eine massive Erhöhung des Bußgeldrahmens vorgeschlagen. Zukünftig müssten Unternehmen ebenso wie bei der Datenschutzgrundverordnung mit Bußgeldern bis zu 4% des globalen Umsatzes rechnen, wenn sie etwa Anordnungen des BSI nicht entsprechen.
Ausgeweitet werden auch die Straftatbestände im Umfeld des Hacking. Das unbefugte Benutzen von IT-Systemen soll unter Strafe gestellt werden, ebenso das Betreiben von Darknet-Marktplätzen. Der Strafrahmen für Hacking-Delikte soll erhöht, zudem durch Einführung „besonders schwerer Fälle“ eine weitere Verschärfung vorgenommen werden. Schließlich sind auch tiefgreifende strafprozessuale Erweiterungen geplant, etwa der Zugriff auf Nutzerkonten von Verdächtigen, die Übernahme seiner oder ihrer digitalen Identität und das zwangsweise Herausverlangen von Passwörtern.
Auf diese strafrechtlichen Aspekte kann im Folgenden nicht weiter eingegangen werden – sie werden sicherlich für heftige politische Diskussionen sorgen und sind eine eigene rechtspolitische Betrachtung wert.
Mit den bekanntgewordenen Überlegungen des BMI zur Weiterentwicklung des IT-Sicherheitsrechts wird eine sehr grundsätzliche Debatte über die Regulierung des digitalen Raums angestoßen. Sie betrifft vor allem die Verantwortungsverteilung zwischen dem Staat und den privaten Akteuren im Netz. Mit den Plänen soll Verantwortung in großem Umfang neu zugewiesen und ihre Wahrnehmung stärker kontrolliert werden – mit großer Tragweite für die Art und Weise, wie IT-Systeme hergestellt, vertrieben, eingesetzt und genutzt werden. Die Auswirkungen auf alle Bürgerinnen und Bürger, viele weitere Unternehmen und auf die gesamte IT-Branche lassen eine lebhafte politische Debatte erwarten. Neben den vielen Detailfragen zur Sinnfälligkeit und Verhältnismäßigkeit einzelner Vorschläge sind vor allem fünf übergreifende Fragen von Bedeutung:
Das erste IT-Sicherheitsgesetz in Deutschland trat 2015 in Kraft und wurde 2017 aufgrund der europäischen Richtlinie überarbeitet. Die letzten Fristen zur Anwendung dieser Rechtsvorschriften, etwa für einige Branchen der Kritischen Infrastrukturen, laufen erst im Juni 2019 aus. Viele Instrumente wurden 2015 und 2017 neu eingeführt. Über das Funktionieren ist wenig bekannt.
Wieviel Audits hat das BSI von Unternehmen erhalten? Wieviel Sicherheitsmängel gab es – und welcher Art waren sie? Wie oft haben Provider von ihren neuen Befugnissen nach TKG Gebrauch gemacht? Wieviel Produkte hat BSI untersucht? Mit welchem Ergebnis? Wie oft mussten Hersteller von Produkten vom BSI zur Mitwirkung bei Vorfällen verpflichtet werden? Wieviel Prozent der kritischen Infrastrukturen, wieviel Prozent der sonstigen Unternehmen erreichen Warnungen des BSI – und wie schnell? Diese Fragen sind nur ein kleiner Ausschnitt aus einer nötigen Wirkungsanalyse der Zielerreichung des IT-Sicherheitsrechts, die bislang nicht erfolgt ist. Die derzeitige Debatte wird fast ausschließlich an Einzelfällen geführt. Entlang dieser Fälle werden neue Vorschriften oder Instrumente entwickelt. Auch die 2015 gesetzlich vorgeschriebene Evaluierung der Instrumente im Bezug auf kritische Infrastrukturen steht noch aus. Die politische Weiterentwicklung des IT-Sicherheitsrechts findet statt, ohne dass die Wirksamkeit des IT-Sicherheitsgesetzes 1.0 zu beurteilen wäre.
Es ist wahrscheinlich, dass die Ausweitung der IT-Sicherheitsgesetzgebung wird sicherlich noch mehrere Wahlperioden fortgesetzt wird. Daher sollten spätestens mit dem IT-Sicherheitsgesetz 2.0 Indikatoren zur Messung der Wirksamkeit der Maßnahmen definiert werden.
„Eine vertrauensvolle Zusammenarbeit und ein enger Austausch zwischen Staat und Wirtschaft sind unabdingbar, um Cyber-Sicherheit in Deutschland dauerhaft auf einem hohen Niveau gewährleisten zu können.“, heißt es in der Cybersicherheitstrategie der Bundesregierung von 2016 (S. 21). Keiner der Akteure kann die IT-Sicherheit im Alleingang sicherstellen. Kein noch so mächtiges und gut ausgestattetes Amt kann drei Millionen deutsche Unternehmen schützen, kein noch so potentes Unternehmen kann sich allein gegen Cyberangriffe ausländischer Staaten wehren. Hinzu kommt, dass die technische Struktur des digitalen Raums eine netzartige ist und eine globale – in ihrer Komplexität zudem weiterhin wächst und sich Tag für Tag, Stunde für Stunde verändert. Eine Abwehrstrategie muss darauf setzen, dass alle Akteure an ihrem jeweiligen Platz ausreichend motiviert und in der Lage sind, die richtigen Maßnahmen zu ergreifen. Staat und Wirtschaft müssen hierbei eng, vertrauensvoll und möglichst im frühen Vorfeld von Bedrohungen zusammenwirken.
Schon die Einführung von Meldepflichten durch das IT-Sicherheitsgesetz, viel stärker aber noch die Meldepflichten der DSGVO haben die vertrauensvolle informelle Zusammenarbeit zu Lasten einer formalen „Compliance“-Zusammenarbeit geschwächt. Wer als Unternehmen binnen 72 Stunden Vorfälle melden muss, oftmals innerhalb dieses Zeitraums die Bedeutung und das Ausmaß beobachteter IT-Sicherheitsvorfälle noch gar nicht abschätzen kann, hält sich mit freiwilliger und informeller Zusammenarbeit zurück. Dafür sorgen schon die unternehmensinternen Compliance-Prozesse: wer will schon einer Behörde freiwillig Informationen liefern, die sich später als Beweismittel im Bußgeldverfahren verwenden lassen – etwa wegen einer verspäteten oder nicht ganz zutreffenden formalen Meldung?
Das IT-Sicherheitsgesetz von 2015 hatte eine Mischung aus gesetzlicher Verpflichtung und vertrauensvoller Zusammenarbeit versucht – beispielsweise durch die Möglichkeit der Anerkennung branchenspezifischer Standards. Der aktuell diskutierte Entwurf ersetzt die vertrauensvolle informelle Zusammenarbeit flächendeckend durch behördliche Anordnungen, Vorgaben und Kontrollen:
- Staatlich vorgegebene Angriffserkennungssysteme
- Meldepflichten für viele weitere Unternehmen
- BSI-Anordnungen gegenüber Providern
- Produktuntersuchungen
- Sicherheitsprüfung aller an das Internet angeschlossenen Geräte
und vieles andere mehr. IT-Anbieter, Serverbetreiber, Provider, DAX-Unternehmen – sie alle werden einer Vielzahl neuer behördlicher Maßnahmen ausgesetzt. Wer immerzu damit rechnen muss, dass im Einzelnen gemeldet werden muss, untersucht werden kann oder staatliche Vorgaben gesetzt werden können, wird vor allem formalen Aufwand treiben. Auf der Strecke bleiben dabei ein eigenverantwortliches Risikomanagement und eine informelle Zusammenarbeit.
Einzige Ausnahme ist das geplante IT-Sicherheitskennzeichens, das auf Anreize setzt und branchenspezifische Selbstregulierung fördert. Außer ihm enthält der Entwurf keine incentivierenden Regelungen, Instrumente, die sicherheitsbewusstes Verhalten motivieren und belohnen. Freiwillige Zusammenarbeit sollte indes stärker belohnt werden, etwa durch Haftungsreduzierung, Verwertungsverbote freiwillig gelieferter Informationen im Bußgeldverfahren oder die Ausweitung von Selbstregulierung, zum Beispiel bei Herstellern oder Providern.
Ob eine technische Lösung angemessene IT-Sicherheit aufweist, hängt von der Lösung ab, vor allem aber von der Einsatzumgebung und dem konkreten Risiko vor Ort. Ein Netzwerkrouter aus dem Supermarkt kann selbst in einer kritischen Infrastruktur ausreichend sicher sein – wenn das betreffende Netzsegment nicht mit der Außenwelt verbunden ist. Ein BSI-zertifizierter Router kann ein Risiko darstellen, wenn er in einem Unternehmen so angebracht ist, dass Unbefugte Zugang zur Hardware haben. Durch technische Richtlinien des BSI, Produktprüfungen oder gar Produktzertifizierungen, durch Audit von kritischen Infrastrukturen oder auch das IT-Sicherheitskennzeichen wird eine auf ein sehr beschränktes System bezogene Momentaufnahme gemacht, mithin eine Art relative IT-Sicherheit bescheinigt. Die tatsächliche IT-Sicherheit hängt vom Kontext ab. Und der ändert sich täglich: in großen Unternehmensnetzen ebenso wie im Internet kommen täglich neue Systeme hinzu, werden alte ausgetauscht, Softwarereleases eingespielt, neue Dienste implementiert.
Der vorliegende Entwurf setzt auf eine erhebliche Ausweitung von definierter und zertifizierter IT-Sicherheit durch behördlich angeleitete Instrumente, durch technische Richtlinien, Zertifizierungen, Audits, Zwangs-Patches. Immer größere Teile der digitalen Welt werden so durch staatlich definierte technische Sicherheitsvorgaben gestaltet. Damit wird einerseits für beschränkte Systeme eine definierte Sicherheit erzielt, andererseits aber auch lokale Verantwortungsübernahme reduziert und Sicherheitsinnovation behindert: Ein neuartiges Angriffserkennungssystem mag den BSI-Vorgaben nicht entsprechen, aber mehr Angriffe erkennen. Das staatliche geforderte Einspielen eines Patches mag oft sinnvoll sein, ein Umkonfigurieren des Netzes kann eine Gefahr möglicherweise schneller und wirksamer bekämpfen. Solche Fragen können vor Ort, in den Unternehmen besser entschieden werden. Das BSI wird niemals ausreichende Expertise haben können, um die verschiedenen IT-Architekturen und Einsatzumgebungen in all den regulierten Bereichen zu verstehen.
Adäquates Risikomanagement muss ein Auftrag für jedes einzelne Unternehmen sein. Zu stark regulierte Technologie – das zeigen die traurigen Beispiele bei der Digitalisierung des Gesundheitswesens – kann ins Gegenteil umschlagen: Innovation findet nicht bei den Sicherheitsmechanismen statt, sondern um die Sicherheitsmechanismen herum. Immer neue Vorschriften verpuffen im Alltag der Digitalisierung.
Der Grundgedanke, jeden IT-Anwender zu Risiko-angemessener Absicherung seiner Systeme nach dem Stand der Technik zu verpflichten, sollte daher nicht durch zu detaillierte behördliche Vorgaben zerstört werden.
Eines der vorrangigen Ziele der Bundesregierung bei der IT-Sicherheit ist die Stärkung des BSI. Auf den ersten Blick erfüllt der bekanntgewordene Entwurf diese Erwartung voll und ganz. Das BSI erhält eine Vielzahl neuer Zuständigkeiten und weitgehend Gefahrenabwehrbefugnisse – und natürlich entsprechend mehr Personal. Doch die Erwartung einer Stärkung des Amtes könnte sich ins Gegenteil verkehren. Denn die mit den Vorschlägen verbundene Allzuständigkeit und gesetzliche Allwissenheit des BSI birgt gleich zwei Risiken, die das Amt eher schwächen als stärken könnten:
- Die Rolle des BSI als Berater, Standardisierer, als informeller Ansprechpartner und öffentlich wahrnehmbare Stimme der IT-Sicherheit wird zunehmend in Konflikt geraten mit den Gefahrenabwehrbefugnissen und der Rolle als Bußgeldbehörde. Wer bei allen wichtigen Unternehmen die IT-Sicherheit bußgeldbewehrt überprüft, das gesamte Internet nach Schwachstellen durchsucht, jedes IT-Produkt zwangsweise durchleuchtet und Providern Anordnungen zum Aussperren von Nutzern geben darf, ist vor allem Vollzugsbehörde, mit hohen Anforderungen an die Ermittlung von Sachverhalten, an rechtsverbindliches Handeln und eine gerichtsfeste Dokumentation. Wer sich mit Fragen, Beratungswünschen oder anderen informellen Anliegen an das BSI wendet, muss mit einem formalen Verfahren rechnen. Wer dem BSI einen Hinweis gibt, ist nicht geschützt vor der späteren Nutzung im Bußgeldverfahren.
- Mit den umfassenden Melde- und Zusammenarbeitspflichten wird das BSI der Flaschenhals der deutschen IT-Sicherheit. Heute werden nur ein Bruchteil der deutschen Unternehmen von Hinweisen des BSI erreicht. Zukünftig wird das BSI noch mehr Informationen erhalten, zum Beispiel von Produktherstellern oder weiteren IT-Anwendern. Selbst mit einer Vervielfachung des Personals wird es nicht möglich sein, die Relevanz all dieser Informationen sachgerecht zu beurteilen und zeitnah die jeweils besonders gefährdeten Anwender zu informieren – zumal hierfür bis heute kein funktionierender Mechanismus zur Verfügung steht. Es ist leicht vorauszusehen, dass sich in absehbarer Zeit schwerwiegende Cybersicherheitsvorfälle ereignen, das BSI zwar im Besitz präventiv relevanter Informationen war, sie in der allzuständigen Behörde jedoch nicht alle nennenswerten Organisationseinheiten und schon gar nicht die potentiell betroffenen Unternehmen erreichten.
Der Gedanke, dass das BSI dauerhaft und umfassend alle relevanten Informationen zur IT-Sicherheit erhalten, bewerten und verteilen könnte, ist verfehlt. Der dynamischen netzartigen Struktur der Cyberbedrohung kann kein sternförmiger Informationsverteilungsmechanismus entgegengesetzt werden. Stattdessen sind Netzwerk-Strukturen zu fördern, PPP zwischen Staat und Wirtschaft, Wirtschaftskooperationen, die Einbindung von Ländern, der Austausch in Europa.
Es ist nachvollziehbar, das BSI als eine Art Sonderpolizeibehörde für IT-Sicherheit zu positionieren. Doch wenn das BSI in einem an Dynamik kaum zu überbietenden Umfeld schon eine solch umfassende Rolle bekommen soll, dann braucht die Behörde eher eine Art Generalklausel statt einer kleinteiligen Regulierung, die das Amt mit unerfüllbaren Erwartungen überhäuft. Wie wäre es mit „Das BSI kann die notwendigen Maßnahmen treffen, um eine im einzelnen Fall bestehende Gefahr für die IT-Sicherheit abzuwehren“, einer dem Polizeirecht nachgebildeten Befugnis?
Nach 2015 und 2017 wurde 2018 das deutsche IT-Sicherheitsrecht durch die Hintertür massiv ausgebaut: Mit Artikel 32 der Datenschutzgrundverordnung werden technische Sicherheitsanforderungen aufgestellt (und bußgeldbewehrt), die für jedes System gelten, das personenbezogene Daten verarbeitet. IT-Sicherheits- und Datenschutzrecht überschneiden sich dabei erheblich; für viele IT-Systeme sind beide Anforderungen einzuhalten. Gleichzeitig sind die beiden rechtlichen Materien nicht hamonisiert. Andere Risikobegriffe, Abwägungsmechanismen, Compliance-Anforderungen und Meldepflichten sorgen für massiven Parallelaufwand in Unternehmen. Hinzu kommen IT-Sicherheitsanforderungen aus dem Fachrecht, insbesondere dem Technikrecht, bei dem es um den Schutz von Leib und Leben oder wichtige Infrastrukturen geht: Medizingeräte, Energienetze, Finanzmärkte – für diese und viele weitere Bereiche gibt es eine wachsende Zahl sektoraler Vorschriften.
Eine nötige Strukturierung des IT-Sicherheitsrechts in allgemeinen und besonderen Teil und eine Harmonisierung mit der Datensicherheit steht aus (vgl. Raabe/Schallbruch/Steinbrück, Systematisierung des IT-Sicherheitsrechts, CR 2018, 706). Mit dem vorliegenden Entwurf wird leider kein Schritt in diese Richtung gegangen. Vielmehr werden weitere Instrumente geschaffen, neue Begrifflichkeiten eingeführt, die komplexe Verschränkung unterschiedlicher Rechtsgebiete (z.B. TKG, TMG) weiter ausgebaut. Wenn schon eine Verabschiedung eines IT-Sicherheitsgesetzes 2.0 in dieser Wahlperiode politisch notwendig ist, so sollte zumindest parallel an einer systematischen Neustrukturierung dieses zunehmend zerfledderten Rechtsgebiets gearbeitet werden, damit in der nächsten Wahlperiode eine Überarbeitung gelingt.
„Pappa ante portas“ – anders lassen sich die Überlegungen für ein IT-Sicherheitsgesetz 2.0 nicht zusammenfassen. Die Vorschläge des BMI zur Weiterentwicklung des IT-Sicherheitsrechts beschreiben ein durch und durch paternalistisches Modell der IT-Sicherheit, das bei Unternehmen große Aufwände erzeugt, erheblich in die Rechte von Bürgerinnen, Bürger und Unternehmen eingreift, der Gesamtproblematik der IT-Sicherheit aber nicht gerecht wird. Umfassende Meldepflichten, Kontroll- und Anordnungsbefugnisse ziehen alle Verantwortung in den Staatsapparat hinein, der an der Größe der Aufgabe scheitern muss – zumal er selbst es bislang nicht schafft, auch nur einen konsistenten Rechtsrahmen bereitzustellen. Den Unternehmen in Deutschland entstehen erhebliche Mehraufwände, ohne dass nachvollziehbar ist, was die staatliche Regulierung ihnen bislang gebracht hat und zukünftig bringen wird.
Wirksame Cybersicherheit wird erreicht, wenn alle Unternehmen und Behörden in Deutschland selbst und in hoher Eigenverantwortung an der IT-Sicherheit der von ihnen verantworteten Systeme arbeiten. Dafür braucht es Anreize, flächendeckende Know-How-Netzwerke, offene Austauschplattformen, internationale Vernetzung, pragmatisches Risikomanagement, aber auch Erfolgsindikatoren und Reifegradmodelle, um Fortschritt messen zu können. All das ist in der derzeitigen Konzeption nicht zu finden.
Es bleibt zu hoffen, dass die zweifelhafte rechtspolitische Ausrichtung des Entwurfs in den weiteren Abstimmungen und politischen Diskussionen korrigiert werden wird, damit das IT-Sicherheitsgesetz 2.0 ein geeignetes Instrument für mehr IT-Sicherheit in Deutschland werden kann.