Beiträge

IT-Sicherheitsgesetz-2.0-vom-Bundesrat-gebilligt

IT-Sicher­heits­gesetz 2.0 vom Bundesrat gebilligt

Am Freitag, den 07. Mai 2021, hat der Bundesrat das umstrittene IT-Sicher­heits­gesetz 2.0 endgültig gebilligt. Der Bundestag hatte bereits Ende April 2021 zugestimmt. Bundes­in­nen­mi­nister Horst Seehofer sprach diesbe­züglich von einem „guten Tag für die Cyber­si­cherheit in Deutschland“. Er kommen­tierte: „Die Digita­li­sierung durch­dringt alle Lebens­be­reiche, die Pandemie hat diesen Prozess noch einmal enorm beschleunigt. Unsere Schutz­me­cha­nismen & Abwehr­stra­tegien müssen Schritt halten – dazu dient das IT-Sicher­heits­gesetz 2.0“. Bereits im November 2020 wurde die Diskussion um das IT-Sicher­heits­gesetz mit einem dritten Referen­ten­entwurf neu entfacht. Inhaltlich sind viele Aspekte, die bereits Gegen­stand des Regie­rungs­ent­wurfes aus 2020 gewesen sind, erhalten geblieben. Sie haben aller­dings Modifi­ka­tionen im Detail erfahren. So erscheint die weiterhin branchenweit anhal­tende Kritik am IT-Sicher­heits­gesetz 2.0 wenig verwunderlich.

Erwei­terte Befug­nisse für das BSI, Bestands­da­ten­aus­künfte und  sog. „Huawei-Klausel“

Ein zentraler Aspekt des neuen IT-Sicher­heits­ge­setzes sind die erwei­terten Befug­nisse für das Bundesamt für Sicherheit in der Infor­ma­ti­ons­technik (BSI). Verbes­se­rungen gibt es im Geset­zes­entwurf immerhin bei der Konkre­ti­sierung überge­ord­neter Schutz­ziele und der daran ausge­rich­teten Arbeit des BSI. Zudem soll der Umgang mit Schwach­stellen und Sicher­heits­lücken trans­pa­renter werden. Durch das neue Gesetz soll das BSI zum wesent­lichen Akteur im Kampf gegen Botnetze und die Verbreitung von Schad­software werden. Zu diesem Zweck werden 799 neue Stellen geschaffen.

Detektion von Sicherheitslücken

Das BSI wird befugt, Sicher­heits­lücken an den Schnitt­stellen von IT-Systemen zu öffent­lichen Telekom­mu­ni­ka­ti­ons­netzen mithilfe von Portscans zu detek­tieren. Darüber hinaus soll es Honeypots und Sinkholes einsetzen dürfen, die der Analyse von Schad­pro­grammen und Angriffs­me­thoden dienen.

Speicherung und Einholung von Bestands- und Protokolldaten

Insbe­sondere daten­schutz­kri­tisch kommt hinzu, dass bei der Online-Kommu­ni­kation zwischen Bürgern und Verwal­tungs­ein­rich­tungen des Bundes anfal­lende „Proto­koll­daten“ und perso­nen­be­zogene Nutzer­in­for­ma­tionen (wie z.B. IP-Adressen), durch das BSI künftig 12 bis 18 Monate lang gespei­chert und ausge­wertet werden dürfen. Dazu zählen auch interne „Proto­kol­lie­rungs­daten“ aus den Behörden. Des Weiteren darf das BSI bei Anbietern von Telekom­mu­ni­ka­ti­ons­diensten Bestands­da­ten­aus­künfte einholen. Dies soll dem Schutz von Betrof­fenen und der Erkennung von Angriffen, z.B. durch Trojaner wie Emotet, dienen.

Die sog.„Huawei-Klausel“ – Hürde für den Ausschluss von Ausrüstern

Die sogenannte „Huawei-Klausel“ legt die Hürde für den Ausschluss einzelner Ausrüster vom Netzausbau etwa für 5G recht hoch. Sie ist ebenfalls Bestandteil der Geset­zes­no­velle. Die Bundes­re­gierung soll damit den Einsatz „kriti­scher Kompo­nenten“ bei „voraus­sicht­lichen Beein­träch­ti­gungen der öffent­lichen Sicherheit und Ordnung“ unter­sagen können. Zu diesem Zweck kommt eine Zerti­fi­zie­rungs­pflicht und Hersteller müssen eine Garan­tie­er­klärung abgeben.

Das BSI twittert diesbe­züglich im Sinne eines „Selbst­ver­ständ­nisses“, dass Sicher­heits­lücken trans­parent kommu­ni­ziert und schnell behoben werden, Verbraucher*innen noch stärker mit neutralen, aktuellen Infor­ma­tionen zu Digital­themen versorgt werden und Kriti­schen Infra­struk­turen mit engma­schiger Beratung und Aufsicht zur Seite gestanden wird.

Stärkung des Verbrau­cher­schutzes und mehr Sicherheit für Unternehmen

Darüber hinaus enthält das neue IT-Sicher­heits­gesetz Regelungen zur Stärkung des Verbrau­cher­schutzes und zur Erhöhung der Sicherheit für Unter­nehmen. Dazu wird der Verbrau­cher­schutz in den Aufga­ben­ka­talog des BSI aufge­nommen. Des Weiteren soll ein einheit­liches IT-Sicher­heits­kenn­zeichen in Zukunft Verbrau­chern klar erkennbar machen, welche Produkte bereits bestimmte IT-Sicher­heits­stan­dards einhalten.

Im Sinne der Erhöhung der Unter­neh­mens­si­cherheit müssen Betreiber Kriti­scher Infra­struk­turen sowie künftig auch weitere Unter­nehmen im beson­deren öffent­lichen Interesse (z.B. Rüstungs­her­steller oder Unter­nehmen mit besonders großer volks­wirt­schaft­licher Bedeutung) bestimmte IT-Sicher­heits­maß­nahmen umsetzen und werden in den vertrau­ens­vollen Infor­ma­ti­ons­aus­tausch mit dem BSI einbezogen.

Entwurf einer zweiten Verordnung zur Änderung der BSI-Kritis­ver­ordnung (BSI-KritisV) veröffentlicht

Das IT-SiG 2.0 verweist nicht nur auf die Kritis­ver­ordnung, es erweitert auch die bestehenden Pflichten der KRITIS-Betreiber. Aus diesem Grund ist es nicht überra­schend, dass am 26. April 2021 das Bundes­in­nen­mi­nis­terium den Entwurf einer zweiten Verordnung zur Änderung der BSI-Kritis­ver­ordnung im Rahmen der Anhörung von Verbänden, Fachkreisen und Wissen­schaft veröf­fent­licht hat. Entspre­chende Stellung­nahmen sind bis zum 17. Mai 2021 einzureichen.

Der Referen­ten­entwurf enthält erheb­liche inhalt­liche Änderungen und Anpas­sungen sowie Neuein­fü­gungen in den einzelnen Anhängen zur Bestimmung der Anlagen­ka­te­gorien und konkreten Schwel­len­werte, insbe­sondere teilweise auch der einzelnen zahlen­mä­ßigen Bemes­sungs­kri­terien. Darüber hinaus werden nun auch Software und IT-Dienste, die für die Erbringung einer kriti­schen Dienst­leistung notwendig sind, als Anlagen im Sinne der Verordnung identi­fi­ziert. Außerdem wird der Handel mit Wertpa­pieren und Derivaten als neue kritische Dienst­leistung aufgenommen.

Unter­stützung von SRC-Experten

Die SRC-Experten tauschen sich gerne mit Ihnen zu den Neuerungen sowie deren Auswir­kungen aus und unter­stützen Sie bei der Umsetzung der Anfor­de­rungen aus IT-SIG und BSIG sowie bei der Nachwei­ser­bringung im Rahmen von §8(a) BSIG („Kritis-Prüfung“).

IT-Sicherheitsgesetz 2.0

Kommt das IT-Sicher­heits­gesetz 2.0?

Nach einem längeren Still­stand ist nun wieder Bewegung in die Diskussion um das IT-Sicher­heits­gesetz (IT-SIG 2.0) gekommen. Kürzlich wurde ein 3. Referen­ten­entwurf durch das Bundes­mi­nis­te­riums des Innern, für Bau und Heimat (BMI) veröffentlicht.

Aktueller Status der Novellierung

Die Novel­lierung des IT-SiG zieht sich nun seit April 2019, vermutlich verzögert durch die recht­lichen Anfor­de­rungen beim Einsatz von techni­schen Produkten aus Dritt­ländern durch Betreiber von kriti­schen Infra­struk­turen. Der nun vorlie­gende dritte Referen­ten­entwurf ist nun bereit, in die Ressort­ab­stimmung zu gehen. Eine Verab­schiedung noch im 1. Quartal des kommenden Jahres scheint nun nicht mehr unrealistisch.

Welche Schwer­punkte setzt der Gesetzesentwurf?

Schwer­punkte des neuen Referen­ten­ent­wurfs sind die Bedro­hungen für die Cyber­si­cherheit. Daneben werden auch die Befug­nisse des BSI erweitert werden und neue Aufga­ben­felder, z.B. als nationale Cyber­si­cher­heits­zer­ti­fi­zie­rungs­be­hörde mit der Umsetzung von aktiven Detektionsmaßnahmen.

Auch im neuen Entwurf ist in §2 Absatz 13 die Anzeige von kriti­schen Kompo­nenten enthalten:

„Der Einsatz einer kriti­schen Kompo­nente (…), ist durch den Betreiber einer Kriti­schen Infra­struktur dem Bundes­mi­nis­terium des Innern, für Bau und Heimat vor Einbau anzuzeigen. In der Anzeige ist die kritische Kompo­nente und die Art ihres Einsatzes anzugeben“.

Kritische Kompo­nenten sind insbe­sondere solche IT-Produkte, die in KRITIS einge­setzt werden und von hoher Bedeutung für das Funktio­nieren des Gemein­wesens sind. Für TK-Netzbe­treiber oder TK-Diens­teer­bringer werden diese Kompo­nenten durch den Katalog nach § 109 Abs. 6 TKG näher bestimmt, alle anderen werden durch einen entspre­chenden BSI-Katalog konkretisiert.

Es dürfen nur kritische Kompo­nenten einge­setzt werden, deren Hersteller eine Erklärung über ihre Vertrau­ens­wür­digkeit gegenüber dem Betreiber der Kriti­schen Infra­struktur abgeben haben (Garan­tie­er­klärung). Das BMI legt die Mindest­an­for­de­rungen für die Garan­tie­er­klärung unter Berück­sich­tigung überwie­gender öffent­licher Inter­essen, insbe­sondere sicher­heits­po­li­ti­scher Belange, fest. Aus der Garan­tie­er­klärung muss hervor­gehen, ob und wie der Hersteller hinrei­chend sicher­stellen kann, dass die kritische Kompo­nente über keine techni­schen Eigen­schaften verfügt, die geeignet sind, missbräuchlich auf die Sicherheit, Integrität, Verfüg­barkeit oder Funkti­ons­fä­higkeit der Kriti­schen Infra­struktur (etwa Sabotage, Spionage oder Terro­rismus) einwirken zu können.

Hier entsteht eine neue Anzei­ge­pflicht für die Betreiber der Kompo­nenten. Bisher mussten die Hersteller beim BSI eine Zerti­fi­zierung dieser Kompo­nenten beantragen. Diese neue Listung von kriti­schen Kompo­nenten enthält hochsen­sible Angriffs­ziele. Erfolg­reiche Angriffe durch Hacker oder Geheim­dienste können den kriti­schen Infra­struk­turen in der Bundes­re­publik nachhaltig schaden.

Auch die Diskussion um Anfor­de­rungen an die einge­setzten IT-Produkte, Identi­fi­zie­rungs- und Authen­ti­sie­rungs­ver­fahren und deren Bewertung hinsichtlich der Infor­ma­ti­ons­si­cherheit wird aufge­nommen und konkre­ti­siert. Diese Vorgaben münden in die Entwicklung und Veröf­fent­li­chung eines Stands der Technik bei sicher­heits­tech­ni­schen Anfor­de­rungen an IT-Produkte. Hinzu­ge­kommen sind Anfor­de­rungen an Verbrau­cher­schutz und Verbraucherinformation.

Fazit

Es bleibt abzuwarten, ob dieser Zeitplan einge­halten werden kann. Inhaltlich ist der neue Entwurf eine deutliche Verbes­serung, weil Konkre­ti­sierung, im Vergleich zum Entwurf vom April 2019. Kritisch ist zu sehen, dass die Evalu­ierung des IT-SIG von 2015, die spätestens nach vier Jahren hätte statt­finden sollen, immer noch aussteht.

Die SRC-Experten tauschen sich gerne mit Ihnen zu den Neuerungen sowie deren Auswir­kungen aus und unter­stützen Sie bei der Umsetzung der Anfor­de­rungen aus IT-SIG und BSIG sowie bei der Nachwei­ser­bringung im Rahmen von §8(a) BSIG („Kritis-Prüfung“).