IT-Sicherheitsgesetz 2.0 vom Bundesrat gebilligt
Am Freitag, den 07. Mai 2021, hat der Bundesrat das umstrittene IT-Sicherheitsgesetz 2.0 endgültig gebilligt. Der Bundestag hatte bereits Ende April 2021 zugestimmt. Bundesinnenminister Horst Seehofer sprach diesbezüglich von einem „guten Tag für die Cybersicherheit in Deutschland“. Er kommentierte: „Die Digitalisierung durchdringt alle Lebensbereiche, die Pandemie hat diesen Prozess noch einmal enorm beschleunigt. Unsere Schutzmechanismen & Abwehrstrategien müssen Schritt halten – dazu dient das IT-Sicherheitsgesetz 2.0“. Bereits im November 2020 wurde die Diskussion um das IT-Sicherheitsgesetz mit einem dritten Referentenentwurf neu entfacht. Inhaltlich sind viele Aspekte, die bereits Gegenstand des Regierungsentwurfes aus 2020 gewesen sind, erhalten geblieben. Sie haben allerdings Modifikationen im Detail erfahren. So erscheint die weiterhin branchenweit anhaltende Kritik am IT-Sicherheitsgesetz 2.0 wenig verwunderlich.
Erweiterte Befugnisse für das BSI, Bestandsdatenauskünfte und sog. „Huawei-Klausel“
Ein zentraler Aspekt des neuen IT-Sicherheitsgesetzes sind die erweiterten Befugnisse für das Bundesamt für Sicherheit in der Informationstechnik (BSI). Verbesserungen gibt es im Gesetzesentwurf immerhin bei der Konkretisierung übergeordneter Schutzziele und der daran ausgerichteten Arbeit des BSI. Zudem soll der Umgang mit Schwachstellen und Sicherheitslücken transparenter werden. Durch das neue Gesetz soll das BSI zum wesentlichen Akteur im Kampf gegen Botnetze und die Verbreitung von Schadsoftware werden. Zu diesem Zweck werden 799 neue Stellen geschaffen.
Detektion von Sicherheitslücken
Das BSI wird befugt, Sicherheitslücken an den Schnittstellen von IT-Systemen zu öffentlichen Telekommunikationsnetzen mithilfe von Portscans zu detektieren. Darüber hinaus soll es Honeypots und Sinkholes einsetzen dürfen, die der Analyse von Schadprogrammen und Angriffsmethoden dienen.
Speicherung und Einholung von Bestands- und Protokolldaten
Insbesondere datenschutzkritisch kommt hinzu, dass bei der Online-Kommunikation zwischen Bürgern und Verwaltungseinrichtungen des Bundes anfallende „Protokolldaten“ und personenbezogene Nutzerinformationen (wie z.B. IP-Adressen), durch das BSI künftig 12 bis 18 Monate lang gespeichert und ausgewertet werden dürfen. Dazu zählen auch interne „Protokollierungsdaten“ aus den Behörden. Des Weiteren darf das BSI bei Anbietern von Telekommunikationsdiensten Bestandsdatenauskünfte einholen. Dies soll dem Schutz von Betroffenen und der Erkennung von Angriffen, z.B. durch Trojaner wie Emotet, dienen.
Die sog.„Huawei-Klausel“ – Hürde für den Ausschluss von Ausrüstern
Die sogenannte „Huawei-Klausel“ legt die Hürde für den Ausschluss einzelner Ausrüster vom Netzausbau etwa für 5G recht hoch. Sie ist ebenfalls Bestandteil der Gesetzesnovelle. Die Bundesregierung soll damit den Einsatz „kritischer Komponenten“ bei „voraussichtlichen Beeinträchtigungen der öffentlichen Sicherheit und Ordnung“ untersagen können. Zu diesem Zweck kommt eine Zertifizierungspflicht und Hersteller müssen eine Garantieerklärung abgeben.
Das BSI twittert diesbezüglich im Sinne eines „Selbstverständnisses“, dass Sicherheitslücken transparent kommuniziert und schnell behoben werden, Verbraucher*innen noch stärker mit neutralen, aktuellen Informationen zu Digitalthemen versorgt werden und Kritischen Infrastrukturen mit engmaschiger Beratung und Aufsicht zur Seite gestanden wird.
Stärkung des Verbraucherschutzes und mehr Sicherheit für Unternehmen
Darüber hinaus enthält das neue IT-Sicherheitsgesetz Regelungen zur Stärkung des Verbraucherschutzes und zur Erhöhung der Sicherheit für Unternehmen. Dazu wird der Verbraucherschutz in den Aufgabenkatalog des BSI aufgenommen. Des Weiteren soll ein einheitliches IT-Sicherheitskennzeichen in Zukunft Verbrauchern klar erkennbar machen, welche Produkte bereits bestimmte IT-Sicherheitsstandards einhalten.
Im Sinne der Erhöhung der Unternehmenssicherheit müssen Betreiber Kritischer Infrastrukturen sowie künftig auch weitere Unternehmen im besonderen öffentlichen Interesse (z.B. Rüstungshersteller oder Unternehmen mit besonders großer volkswirtschaftlicher Bedeutung) bestimmte IT-Sicherheitsmaßnahmen umsetzen und werden in den vertrauensvollen Informationsaustausch mit dem BSI einbezogen.
Entwurf einer zweiten Verordnung zur Änderung der BSI-Kritisverordnung (BSI-KritisV) veröffentlicht
Das IT-SiG 2.0 verweist nicht nur auf die Kritisverordnung, es erweitert auch die bestehenden Pflichten der KRITIS-Betreiber. Aus diesem Grund ist es nicht überraschend, dass am 26. April 2021 das Bundesinnenministerium den Entwurf einer zweiten Verordnung zur Änderung der BSI-Kritisverordnung im Rahmen der Anhörung von Verbänden, Fachkreisen und Wissenschaft veröffentlicht hat. Entsprechende Stellungnahmen sind bis zum 17. Mai 2021 einzureichen.
Der Referentenentwurf enthält erhebliche inhaltliche Änderungen und Anpassungen sowie Neueinfügungen in den einzelnen Anhängen zur Bestimmung der Anlagenkategorien und konkreten Schwellenwerte, insbesondere teilweise auch der einzelnen zahlenmäßigen Bemessungskriterien. Darüber hinaus werden nun auch Software und IT-Dienste, die für die Erbringung einer kritischen Dienstleistung notwendig sind, als Anlagen im Sinne der Verordnung identifiziert. Außerdem wird der Handel mit Wertpapieren und Derivaten als neue kritische Dienstleistung aufgenommen.
Unterstützung von SRC-Experten
Die SRC-Experten tauschen sich gerne mit Ihnen zu den Neuerungen sowie deren Auswirkungen aus und unterstützen Sie bei der Umsetzung der Anforderungen aus IT-SIG und BSIG sowie bei der Nachweiserbringung im Rahmen von §8(a) BSIG („Kritis-Prüfung“).