Überblick über das IT-Sicherheitsgesetz 2015

Auswirkungen des IT-Sicherheitsgesetzes: In Deutschland wurde im Jahr 2015 erstmals die IT-Sicherheit in Gesetzesform gefasst, die Geburtsstunde des „IT-Sicherheitsgesetzes“. Das IT-Sicherheitsgesetz soll Grundlagen verstärkter IT-Sicherheit schaffen, in dem erst einmal prinzipielle Rahmenbedingungen und eine Art zentrales Meldewesen – gebündelt beim BSI – geschaffen werden.

Daneben gibt es eine Änderung die alle Webseitenbetreiber betrifft. In diesem Beitrag wird ein erster kurzer Überblick über das IT-Sicherheitsgesetz geboten, das sicherlich nur der Einstieg sein wird in eine Reihe weiterer derartiger gesetzgeberischer Intentionen.

Gesetzliche Grundlagen des IT-Sicherheitsgesetzes

Im Juni 2015 hatte der Bundestag das „Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme“ (IT-Sicherheitsgesetz, mit Änderungen) beschlossen. Nachdem der Bundesrat es dann passieren ließ wurde es am 24-07.2015 verkündet und ist am 25.07.2015 in Kraft getreten.

Grundlegende Systematik des Gesetzes

Methodisch gesehen geht das Gesetz bereits einen recht unsauberen Weg, da in das BSI Gesetz – neben anderen Änderungen – nun auch Pflichten aufgenommen werden, die andere Unternehmen (freilich gegenüber dem BSI) haben. Der Grundgedanke dabei ist, dass das BSI aus seiner irgendwie doch recht passiven Existenz herausgelöst und in eine aktivere Rolle gefasst werden soll. Dazu geht man insbesondere drei Schritte:

  1. Es werden „kritische Infrastrukturen“ definiert, die für die öffentliche Versorgung von bedeutender Rolle sind
  2. Das BSI wird zur „Zentrale Stelle für die Sicherheit in der Informationstechnik“ im Bereich „kritischer Infrastrukturen“ an die Meldungen bei Problemen zu richten sind
  3. Die öffentliche Informationsleistung des BSI wird differenzierter ausgestaltet

Mit dem IT-Sicherheitsgesetz sollen Grundlagen verstärkter IT-Sicherheit geschaffen werden – dies, indem erst einmal prinzipielle Rahmenbedingungen und eine Art zentrales Meldewesen – gebündelt beim BSI – geschaffen werden. Daneben gibt es eine Änderung die alle Webseitenbetreiber betrifft dahingehend, dass die Pflicht zum Einspielen von Updates normiert wurde.

Kritische Infrastrukturen („KRITIS“)

Die besonders kritischen Infrastrukturen sind mit dem Gesetz sind alle Einrichtungen, Anlagen oder Teile davon in den Bereichen

  • Energie
  • Informationstechnik und Telekommunikation,
  • Transport und Verkehr,
  • Gesundheit,
  • Wasser,
  • Ernährung
  • Finanz- und Versicherungswesen

die von hoher Bedeutung für das Funktionieren des Gemeinwesens sind. Wann solche kritischen Infrastrukturen anzunehmen sind, soll durch eine Rechtsverordnung nach §10 BSI-G geregelt werden. Eine solche Verordnung wurde als Entwurf im Februar 2016 vorgestellt und sieht einen „Schwellenwert“ von 500.000 versorgten Bürgern vor, die auf die sektorspezifische Leistung umgerechnet werden. Die Verordnung zu den KRITIS habe ich hier besprochen.

Die weitere Idee ist, dass das BSI selbstständig Gefährungspotenziale ermitteln soll (§7a), aber auch von Betreibern der kritischen Infrastrukturen zu informieren ist, wenn dort konkrete Probleme bekannt werden (§8b). Betreiber kritischer Infrastrukturen haben im Gegenzug die Pflicht, eine unmittelbare Kontaktstelle zum Informationsaustausch bereit zu halten und darüber hinaus die Einhaltung gängiger Sicherheitsstandards zu gewährleisten, die auch branchenspezifisch definiert werden können (§8a). Das Ergebnis ist damit ein zumindest theoretischer ständiger Informationsfluss, der dafür sorgen soll, dass Sicherheitslücken innerhalb der Branche unmittelbar kommuniziert werden und ein ständiger Sicherheitsstandard in jeder Branche gewährleistet wird.

Warnungen des BSI

Das BSI hat im bisherigen §7 BSI Gesetz einen recht unklaren Auftrag samt Ermächtigung, Warnungen auszusprechen. Dies wird nun konkreter gefasst und so kann das BSI

1. die folgenden Warnungen an die Öffentlichkeit oder an die betroffenen Kreise richten:
a) Warnungen vor Sicherheitslücken in informationstechnischen Produkten und Diensten,
b) Warnungen vor Schadprogrammen und
c) Warnungen im Falle eines Verlustes von oder eines unerlaubten Zugriffs auf Daten;
2. Sicherheitsmaßnahmen sowie den Einsatz bestimmter Sicherheitsprodukte empfehlen.

Während 1a und 1b Konkretisierungen der bisherigen Norm sind, ist insbesondere 1c neu. Dies ist insoweit überraschend, als dass nun eine zusätzliche Kontrolle besteht: Schon jetzt müssen Anbieter bei bestimmten sensiblen Daten die verloren gehen entsprechend §42a die Betroffenen informieren. Nun gilt dies auch über §8b Abs.4 BSI Gesetz, der vorsieht, dass Störungen der Vertraulichkeit der informationstechnischen Systeme zwingend an das BSI zu melden sind, dass dann entsprechend §7 Abs.1 Nr.1c die Öffentlichkeit hierüber informieren kann.

Ausnahmen für Kleinstunternehmen

Es gibt einige Ausnahmen, die Wichtigste dürfte sein, dass Kleinstunternehmen (weniger als 10 Mitarbeiter) ausgenommen sind von den Pflichten der neuen §§8a, 8b BSI Gesetz.

Änderungen für Webseitenbetreiber

Keineswegs ist das IT-Sicherheitsgesetz nur für bedeutende kritische Infrastrukturen zu beachten. Es gibt eine wenig beachtete Änderung im Telemediengesetz, die – zumindest in der Theorie – alle Webseiteninhaber betrifft. So wird die neue Pflicht aufgenommen:

Diensteanbieter haben, soweit dies technisch möglich und wirtschaftlich zumutbar ist, im Rahmen ihrer jeweiligen Verantwortlichkeit für geschäftsmäßig angebotene Telemedien durch technische und organisatorische Vorkehrungen sicherzustellen, dass
1. kein unerlaubter Zugriff auf die für ihre Telemedienangebote genutzten technischen Einrichtungen möglich ist und
2. diese
a) gegen Verletzungen des Schutzes personenbezogener Daten und
b) gegen Störungen, auch soweit sie durch äußere Angriffe bedingt sind,
gesichert sind. Vorkehrungen nach Satz 1 müssen den Stand der Technik berücksichtigen. Eine Maßnahme nach Satz 1 ist insbesondere die Anwendung eines als sicher anerkannten Verschlüsselungsverfahrens.

Übersetzt ist das eine gesetzlich normierte Pflicht für jeden Webseitenbetreiber, zumindest dafür zu sorgen, dass bei eingesetzter Software aktuelle Updates immer eingespielt werden. Wer also ein WordPress-Blog betreibt oder einen OnlineShop, der wird nun gesetzlich verpflichtet sein, hier regelmäßige Updates zu installieren. Ein Verstoss wird bußgeldbewehrt sein. Spannend wird es sein, ob die Rechtsprechung hier eine Marktverhaltensregel erkennen möchte, so dass Konkurrenten mangelhafte Updates abmahnen könnten. Ich tue mich schwer, auf Grund der aktuellen Tendenz der Rechtsprechung nahezu alles ins Wettbewerbsrecht hinein zu ziehen, hier voreilig eine Entwarnung auszusprechen. Es wird spannend sein, wann der erste Wettbewerber Abmahnungen an veraltete und damit ungesicherte Webshops verschickt – versuchen wird es sicherlich jemand.

Änderungen bei der Telekommunikation

Provider haben die Möglichkeit, nunmehr ausdrücklich die Bestandsdaten und Verkehrsdaten der Teilnehmer auch zu erweiterten Diagnosezwecken zu speichern (§100 TKG). Ebenfalls haben Provider die Pflicht, Störungen mit möglichen Sicherheitsbeeinträchtigungen an das BSI zu melden. Interessanter ist, dass §109a Abs.4 TKG in Zukunft vorsieht:

Werden dem Diensteanbieter nach Absatz 1 Störungen bekannt, die von Datenverarbeitungssystemen der Nutzer ausgehen, so hat er die Nutzer, soweit ihm diese bereits bekannt sind, unverzüglich darüber zu benachrichtigen. Soweit technisch möglich und zumutbar, hat er die Nutzer auf angemessene, wirksame und zugängliche technische Mittel hinzuweisen, mit denen sie diese Störungen erkennen und beseitigen können.

Das bedeutet, Provider sollen bei auftretenden Sicherheitsproblemen auf Seiten der Nutzer – etwa wenn Hinweise auf SPAM-Versand oder Botnetze vorliegen – ihre Nutzer unmittelbar kontaktieren, über die Probleme informieren und auch Hilfestellungen bieten um das Problem zu beseitigen.

Fazit

Man mag an einigen Stellen schimpfen oder spöttisch anmerken, dass angesichts der aktuellen Sicherheitsprobleme nicht einmal der Bundestag seinen eigenen Laden im Griff hat: Das Gesetz geht gleichwohl in die richtige Richtung. Bereits das seinerzeitige „Grünbuch“ versuchte die Thematik der Sicherheit der IT-Infrastruktur in den Fokus zu setzen. Die jetzigen Schritte, in erster Linie auf Informationsvernetzung und schnelle Reaktion ausgerichtet, setzen hier die ersten Ansätze um.

Spannend bleibt, ob sich der allgemein gehaltene Passus im Telemediengesetz wiedermals in Abmahnungen auswirkt, was dem Gesetzgeber im Zweifelsfall sogar recht sein dürfte, da er hier Ausgaben für eigene Kontrollmechanismen spart. Auf der anderen Seite zeigt sich, dass nur zögerlich staatliche Kontrollmechanismen vorgesehen werden, wobei die Kontrolle durch das BSI ebenso wie die durch die Datenschutzbeauftragten, schnell daran kranken wird, dass der Gesetzgeber zwar gerne Gesetze beschliesst, aber nicht notwendige Finanzmittel mit zur Verfügung stellt. Es kann daher sein, dass grundsätzlich gute Ansatz der Informationsvernetzung am Ende daran krankt, dass die zusätzlich vorgesehene Kontrollmöglichkeit mangels Ressourcen untergeht.


Gesetzesinformationen zum IT-Sicherheitsgesetz 2015

Status: Verkündet und in Kraft getreten

Das IT-Sicherheitsgesetz diente der ersten gesetzgeberischen Umsetzung und Regulierung von Fragen der IT-Sicherheit. Es griff der NIS- vor und setzte bereits erste Ansätze um, die später etwas weitgehender durch die NIS-Richtlinie aufgegriffen wurden.

IT-Sicherheitsgesetz: Abstimmungsverlauf

Mit den Stimmen der Koalitionsfraktionen hat der Bundestag am Freitag, 12. Juni 2015, das von der Bundesregierung vorgelegte IT-Sicherheitsgesetz (18/4096) in der durch Anträge von Unions- und SPD-Fraktion geänderten Fassung (18/5121) beschlossen. Ein Entschließungsantrag der Fraktion Bündnis 90/Die Grünen (18/5127) fand hingegen keine Mehrheit.

IT-Sicherheitsgesetz: Links

Beratungsverlauf beim BundestagDokumentationssystem im Bundestag

Kurze Inhaltsangabe gemäß Dokumentationsystem des Bundestages

Sicherstellung der Vertraulichkeit, Integrität, Authentizität und Verfügbarkeit informationstechnischer Systeme (IT-Sicherheit): Pflicht zur Einhaltung eines Mindestniveaus an IT-Sicherheit für Betreiber Kritischer Infrastruktur sowie zur Meldung erheblicher Sicherheitsvorfälle an das Bundesamt für Sicherheit in der Informationstechnik (BSI), Gewährleistung des Fernmeldegeheimnisses, des Schutzes personenbezogener Daten sowie der Verfügbarkeit der Datenverarbeitungssysteme durch die Telekommunikationsanbieter, Überprüfung der Sicherheitskonzepte durch die , Benachrichtigung der Nutzer über Sicherheitsvorfälle, Vorlage eines Jahresberichts, Festschreiben des BSI als Zentralstelle für IT-Sicherheit, Stärkung des BKA im Bereich Cyberkriminalität; Änderung versch. §§ von 8 Gesetzen; Verordnungsermächtigung

Aus dem Entwurf zum IT-Sicherheitsgesetz zu „Problem und Ziel“

Die Nutzung informationstechnischer Systeme (IT-Systeme) und des Internets mit sei- nen vielfältigen Angeboten durchdringen Staat, Wirtschaft und Gesellschaft in immer größerem Maße. Bedeutende Teilbereiche des privaten und öffentlichen Lebens werden zunehmend ins Netz verlagert oder von diesem beeinflusst. Quer durch alle Branchen ist schon heute mehr als die Hälfte aller Unternehmen in Deutschland vom Internet ab- hängig. Mit der digitalen Durchdringung der Gesellschaft entstehen in nahezu allen Le- bensbereichen neue Potentiale, Freiräume und Synergien. Gleichzeitig wächst die Ab- hängigkeit von IT-Systemen im wirtschaftlichen, gesellschaftlichen und individuellen Be- reich und damit die Bedeutung der Verfügbarkeit und Sicherheit der IT-Systeme sowie des Cyberraums insgesamt.

Die IT-Sicherheitslage in Deutschland ist weiterhin angespannt. Das Bundesamt für Si- cherheit in der Informationstechnik (BSI) erhält und analysiert − u.a. im CERT-Bund, dem IT-Lagezentrum sowie in besonderen Einzelfällen auch in dem 2011 gegründeten Cyberabwehrzentrum − kontinuierlich eine Vielzahl von Informationen zur aktuellen Be- drohungssituation im Cyberraum. Die Angriffe erfolgen zunehmend zielgerichtet und sind technologisch immer ausgereifter und komplexer.
Mit dem Gesetz soll eine signifikante Verbesserung der Sicherheit informationstechni- scher Systeme (IT-Sicherheit) in Deutschland erreicht werden. Die vorgesehenen Neu- regelungen dienen dazu, den Schutz der Systeme im Hinblick auf die Schutzgüter der IT-Sicherheit (Verfügbarkeit, Integrität, Vertraulichkeit und Authentizität) zu verbessern, um den aktuellen und zukünftigen Gefährdungen der IT-Sicherheit wirksam begegnen zu können. Ziel des Gesetzes ist die Verbesserung der IT-Sicherheit von Unternehmen, der verstärkte Schutz der Bürgerinnen und Bürger im Internet und in diesem Zusam- menhang auch die Stärkung von BSI und Bundeskriminalamt (BKA).

Besondere Bedeutung kommt im Bereich der IT-Sicherheit denjenigen Infrastrukturen zu, die für das Funktionieren unseres Gemeinwesens zentral sind. Der Schutz der IT- Systeme von solchen Kritischen Infrastrukturen und der für den Infrastrukturbetrieb nötigen Netze ist daher von größter Wichtigkeit. Das IT-Sicherheitsniveau bei Kritischen Infrastrukturen ist derzeit sehr unterschiedlich: In manchen Infrastrukturbereichen exis- tieren detaillierte gesetzliche Vorgaben auch zur IT-Sicherheit, in anderen Bereichen fehlen solche vollständig. Manche Bereiche verfügen über ein ausgeprägtes Risikomanagement und übergreifende Sicherheitskonzepte, führen Audits durch, beteiligen sich am Informationsaustausch und an Übungen. In anderen Bereichen sind diese Maßnahmen noch nicht oder nur rudimentär entwickelt. Auf Grund des hohen Grades der Vernetzung und der daraus resultierenden Interdependenzen zwischen den unterschiedlichen Bereichen Kritischer Infrastrukturen ist dieser Zustand nicht hinnehmbar.

Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht)
Benutzerbild von Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht)

Von Rechtsanwalt Jens Ferner (Fachanwalt für IT- & Strafrecht)

Ich bin Fachanwalt für Strafrecht + Fachanwalt für IT-Recht und widme mich beruflich ganz der Tätigkeit als Strafverteidiger und dem IT-Recht. Vor meinem Leben als Anwalt war ich Softwareentwickler. Ich bin Autor sowohl in einem renommierten StPO-Kommentar als auch in Fachzeitschriften. Dabei bin ich fortgebildet in Krisenkommunikation und Compliance.

Erreichbarkeit: Per Mail, Rückruf, Threema oder Whatsapp.

Unsere Kanzlei ist spezialisiert auf Starke Strafverteidigung, seriöses Wirtschaftsstrafrecht und anspruchsvolles IT-Recht + Kunst & Medien - ergänzt um Arbeitsrecht.