IT-Sicherheitsgesetz: Überblick über das IT-Sicherheitsgesetz

IT-Recht

Auswirkungen des IT-Sicherheitsgesetzes: In Deutschland wurde im Jahr 2015 erstmals die IT-Sicherheit in Gesetzesform gefasst, die Geburtsstunde des „IT-Sicherheitsgesetzes“. Das IT-Sicherheitsgesetz soll Grundlagen verstärkter IT-Sicherheit schaffen, in dem erst einmal prinzipielle Rahmenbedingungen und eine Art zentrales Meldewesen – gebündelt beim BSI – geschaffen werden. Daneben gibt es eine Änderung die alle Webseitenbetreiber betrifft. In diesem Beitrag wird ein erster kurzer Überblick über das IT-Sicherheitsgesetz geboten, das sicherlich nur der Einstieg sein wird in eine Reihe weiterer derartiger gesetzgeberischer Intentionen.

HinweisBeachten Sie zur IT-Sicherheit unsere Übersichtsseite mit weiteren Informationen!

Gesetzliche Grundlagen des IT-Sicherheitsgesetzes

Im Juni 2015 hatte der Bundestag das „Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme“ (IT-Sicherheitsgesetz, mit Änderungen) beschlossen. Nachdem der Bundesrat es dann passieren ließ wurde es am 24-07.2015 verkündet und ist am 25.07.2015 in Kraft getreten.

Grundlegende Systematik des Gesetzes

Methodisch gesehen geht das Gesetz bereits einen recht unsauberen Weg, da in das BSI Gesetz – neben anderen Änderungen – nun auch Pflichten aufgenommen werden, die andere Unternehmen (freilich gegenüber dem BSI) haben. Der Grundgedanke dabei ist, dass das BSI aus seiner irgendwie doch recht passiven Existenz herausgelöst und in eine aktivere Rolle gefasst werden soll. Dazu geht man insbesondere drei Schritte:

  1. Es werden „kritische Infrastrukturen“ definiert, die für die öffentliche Versorgung von bedeutender Rolle sind
  2. Das BSI wird zur „Zentrale Stelle für die Sicherheit in der Informationstechnik“ im Bereich „kritischer Infrastrukturen“ an die Meldungen bei Problemen zu richten sind
  3. Die öffentliche Informationsleistung des BSI wird differenzierter ausgestaltet

Kritische Infrastrukturen („KRITIS“)

Die besonders kritischen Infrastrukturen sind mit dem Gesetz sind alle Einrichtungen, Anlagen oder Teile davon in den Bereichen

  • Energie
  • Informationstechnik und Telekommunikation,
  • Transport und Verkehr,
  • Gesundheit,
  • Wasser,
  • Ernährung
  • Finanz- und Versicherungswesen

die von hoher Bedeutung für das Funktionieren des Gemeinwesens sind. Wann solche kritischen Infrastrukturen anzunehmen sind, soll durch eine Rechtsverordnung nach §10 BSI-G geregelt werden. Eine solche Verordnung wurde als Entwurf im Februar 2016 vorgestellt und sieht einen „Schwellenwert“ von 500.000 versorgten Bürgern vor, die auf die sektorspezifische Leistung umgerechnet werden. Die Verordnung zu den KRITIS habe ich hier besprochen.

Die weitere Idee ist, dass das BSI selbstständig Gefährungspotenziale ermitteln soll (§7a), aber auch von Betreibern der kritischen Infrastrukturen zu informieren ist, wenn dort konkrete Probleme bekannt werden (§8b). Betreiber kritischer Infrastrukturen haben im Gegenzug die Pflicht, eine unmittelbare Kontaktstelle zum Informationsaustausch bereit zu halten und darüber hinaus die Einhaltung gängiger Sicherheitsstandards zu gewährleisten, die auch branchenspezifisch definiert werden können (§8a). Das Ergebnis ist damit ein zumindest theoretischer ständiger Informationsfluss, der dafür sorgen soll, dass Sicherheitslücken innerhalb der Branche unmittelbar kommuniziert werden und ein ständiger Sicherheitsstandard in jeder Branche gewährleistet wird.

Warnungen des BSI

Das BSI hat im bisherigen §7 BSI Gesetz einen recht unklaren Auftrag samt Ermächtigung, Warnungen auszusprechen. Dies wird nun konkreter gefasst und so kann das BSI

1. die folgenden Warnungen an die Öffentlichkeit oder an die betroffenen Kreise richten:
a) Warnungen vor Sicherheitslücken in informationstechnischen Produkten und Diensten,
b) Warnungen vor Schadprogrammen und
c) Warnungen im Falle eines Verlustes von oder eines unerlaubten Zugriffs auf Daten;
2. Sicherheitsmaßnahmen sowie den Einsatz bestimmter Sicherheitsprodukte empfehlen.

Während 1a und 1b Konkretisierungen der bisherigen Norm sind, ist insbesondere 1c neu. Dies ist insoweit überraschend, als dass nun eine zusätzliche Kontrolle besteht: Schon jetzt müssen Anbieter bei bestimmten sensiblen Daten die verloren gehen entsprechend §42a BDSG die Betroffenen informieren. Nun gilt dies auch über §8b Abs.4 BSI Gesetz, der vorsieht, dass Störungen der Vertraulichkeit der informationstechnischen Systeme zwingend an das BSI zu melden sind, dass dann entsprechend §7 Abs.1 Nr.1c die Öffentlichkeit hierüber informieren kann.

Ausnahmen für Kleinstunternehmen

Es gibt einige Ausnahmen, die Wichtigste dürfte sein, dass Kleinstunternehmen (weniger als 10 Mitarbeiter) ausgenommen sind von den Pflichten der neuen §§8a, 8b BSI Gesetz.

Änderungen für Webseitenbetreiber

Keineswegs ist das IT-Sicherheitsgesetz nur für bedeutende kritische Infrastrukturen zu beachten. Es gibt eine wenig beachtete Änderung im Telemediengesetz, die – zumindest in der Theorie – alle Webseiteninhaber betrifft. So wird die neue Pflicht aufgenommen:

Diensteanbieter haben, soweit dies technisch möglich und wirtschaftlich zumutbar ist, im Rahmen ihrer jeweiligen Verantwortlichkeit für geschäftsmäßig angebotene Telemedien durch technische und organisatorische Vorkehrungen sicherzustellen, dass
1. kein unerlaubter Zugriff auf die für ihre Telemedienangebote genutzten technischen Einrichtungen möglich ist und
2. diese
a) gegen Verletzungen des Schutzes personenbezogener Daten und
b) gegen Störungen, auch soweit sie durch äußere Angriffe bedingt sind,
gesichert sind. Vorkehrungen nach Satz 1 müssen den Stand der Technik berücksichtigen. Eine Maßnahme nach Satz 1 ist insbesondere die Anwendung eines als sicher anerkannten Verschlüsselungsverfahrens.

Übersetzt ist das eine gesetzlich normierte Pflicht für jeden Webseitenbetreiber, zumindest dafür zu sorgen, dass bei eingesetzter Software aktuelle Updates immer eingespielt werden. Wer also ein WordPress-Blog betreibt oder einen OnlineShop, der wird nun gesetzlich verpflichtet sein, hier regelmäßige Updates zu installieren. Ein Verstoss wird bußgeldbewehrt sein. Spannend wird es sein, ob die Rechtsprechung hier eine Marktverhaltensregel erkennen möchte, so dass Konkurrenten mangelhafte Updates abmahnen könnten. Ich tue mich schwer, auf Grund der aktuellen Tendenz der Rechtsprechung nahezu alles ins Wettbewerbsrecht hinein zu ziehen, hier voreilig eine Entwarnung auszusprechen. Es wird spannend sein, wann der erste Wettbewerber Abmahnungen an veraltete und damit ungesicherte Webshops verschickt – versuchen wird es sicherlich jemand.

Änderungen bei der Telekommunikation

Provider haben die Möglichkeit, nunmehr ausdrücklich die Bestandsdaten und Verkehrsdaten der Teilnehmer auch zu erweiterten Diagnosezwecken zu speichern (§100 TKG). Ebenfalls haben Provider die Pflicht, Störungen mit möglichen Sicherheitsbeeinträchtigungen an das BSI zu melden. Interessanter ist, dass §109a Abs.4 TKG in Zukunft vorsieht:

Werden dem Diensteanbieter nach Absatz 1 Störungen bekannt, die von Datenverarbeitungssystemen der Nutzer ausgehen, so hat er die Nutzer, soweit ihm diese bereits bekannt sind, unverzüglich darüber zu benachrichtigen. Soweit technisch möglich und zumutbar, hat er die Nutzer auf angemessene, wirksame und zugängliche technische Mittel hinzuweisen, mit denen sie diese Störungen erkennen und beseitigen können.

Das bedeutet, Provider sollen bei auftretenden Sicherheitsproblemen auf Seiten der Nutzer – etwa wenn Hinweise auf SPAM-Versand oder Botnetze vorliegen – ihre Nutzer unmittelbar kontaktieren, über die Probleme informieren und auch Hilfestellungen bieten um das Problem zu beseitigen.

Link dazu: Gesetzgebungsverfahren zum IT-Sicherheitsgesetz, von mir aufbereitet auf meiner Seite zum IT-Strafrecht

Fazit

Man mag an einigen Stellen schimpfen oder spöttisch anmerken, dass angesichts der aktuellen Sicherheitsprobleme nicht einmal der Bundestag seinen eigenen Laden im Griff hat: Das Gesetz geht gleichwohl in die richtige Richtung. Bereits das seinerzeitige „Grünbuch“ versuchte die Thematik der Sicherheit der IT-Infrastruktur in den Fokus zu setzen. Die jetzigen Schritte, in erster Linie auf Informationsvernetzung und schnelle Reaktion ausgerichtet, setzen hier die ersten Ansätze um.

Spannend bleibt, ob sich der allgemein gehaltene Passus im Telemediengesetz wiedermals in Abmahnungen auswirkt, was dem Gesetzgeber im Zweifelsfall sogar recht sein dürfte, da er hier Ausgaben für eigene Kontrollmechanismen spart. Auf der anderen Seite zeigt sich, dass nur zögerlich staatliche Kontrollmechanismen vorgesehen werden, wobei die Kontrolle durch das BSI ebenso wie die durch die Datenschutzbeauftragten, schnell daran kranken wird, dass der Gesetzgeber zwar gerne Gesetze beschliesst, aber nicht notwendige Finanzmittel mit zur Verfügung stellt. Es kann daher sein, dass grundsätzlich gute Ansatz der Informationsvernetzung am Ende daran krankt, dass die zusätzlich vorgesehene Kontrollmöglichkeit mangels Ressourcen untergeht.

Rechtsanwalt Jens Ferner

Rechtsanwalt Jens Ferner

Fachanwalt für IT-Recht bei Anwaltskanzlei Ferner
Rechtsanwalt Jens Ferner, Strafverteidiger & Fachanwalt für Informationstechnologierecht, berät Sie in sämtlichen vertraglichen, familienrechtlichen, medienrechtlichen und strafrechtlichen Fragen. Seine Tätigkeit liegt im IT-Recht, Strafrecht, Wettbewerbsrecht, Urheberrecht, Markenrecht, Kaufrecht, Datenschutzrecht, Vergaberecht und IT-Vertragsrecht samt Softwarerecht.
Rechtsanwalt Jens Ferner

Ähnliche Beiträge bei uns

Videoüberwachung – Was ist erlaubt Es ist kaum mehr denkbar, dass man noch ein Geschäft betreten kann, ohne dass man irgendwo eine Videokamera sieht - dabei werden die rechtlichen Grund...
Nicht zulässig: Lehrer fotografiert Schüler wegen ... Ein Oberstudienrat fand laut Feststellungen des Verwaltungsgerichts Karlsruhe (DL 13 K 598/09) Gefallen an an dem "Schuhfetisch". Während die Neigung ...
Gesetzgebung: Umsetzung der Tabakprodukt-Richtlini... Bereits am 16. Dezember 2015 hatte das Bundeskabinett den Entwurf für ein "Gesetz zur Umsetzung der Richtlinie über Tabakerzeugnisse und verwandte Erz...
Funkkameras als Problem wahrnehmen Bei Heise findet sich der Hinweis auf einen Bericht des NDR, demzufolge man diverse Kameras gefunden hat, die man problemlos anzapfen konnte - etwa in...
Vorsicht: Tücken der Technik im geschäftlichen Umf... Heutzutage findet sich faktisch in jedem Betrieb irgendeine Form von IT. Neben komplexen Servern ist dabei festzustellen, dass eine (bezahlbare) Mobil...

Zugehörige Downloads

  • pdf bgbl115s1324_109747
    Im Bundesgesetzblatt verkündetes IT-Sicherheitsgesetz
    Dateigröße: 88 KB Downloads: 1761
  • pdf 1804096
    IT-Sicherheitsgesetz: Gesetzentwurf der Bundesregierung
    Dateigröße: 445 KB Downloads: 1666
1 Stern2 Sterne3 Sterne4 Sterne5 Sterne (1 votes, average: 5,00 out of 5)
Loading...
Rechtsanwalt Jens Ferner

Autor: Rechtsanwalt Jens Ferner

Unsere Rechtsanwälte beraten Sie insbesondere im Strafrecht & Verkehrsrecht, IT-Recht und gewerblichen Rechtsschutz, Kaufrecht und Familienrecht. Rechtsanwalt Jens Ferner, Fachanwalt für Informationstechnologierecht, berät Sie in sämtlichen medienrechtlichen und strafrechtlichen Fragen. Hierbei mit Schwerpunkten im Strafrecht, Wettbewerbsrecht, Urheberrecht, Datenschutzrecht, Vergaberecht, Arbeitsrecht und (IT-)Vertragsrecht samt Softwarerecht und AGB. Rechtsanwalt Jens Ferner ist Autor in mehreren Fachbüchern zum Thema IT-Recht und Lehrbeauftragter an der RWTH Aachen.