Wie das IT-Sicherheitsgesetz 2.0 Bürger und Unternehmen regulieren soll

Ein neuer Gesetzentwurf soll ein Sicherheitskenn­zeichen einführen, das Nutzern anzeigt, bei welchen IT-Produkten sie sorglos zugreifen können.

In Pocket speichern vorlesen Druckansicht 48 Kommentare lesen
IT-Sicherheitsgesetz 2.0

(Bild: Henning Rathjen)

Stand:
Lesezeit: 14 Min.
Von
  • Joerg Heidrich
  • Prof. Dennis-Kenji Kipker
Inhaltsverzeichnis

Lange Zeit galt: Wie gut oder schlecht informationstechnische Systeme abgesichert sind, ist Sache der Betreiber. Die Politik hielt sich weitgehend heraus. Erst seit 2015 hat das IT-Sicherheitsgesetz „kritische Infrastrukturen“ in den Blick genommen, also Systeme mit wichtiger öffentlicher Bedeutung. Die Überarbeitung dieses Gesetzes (IT-SiG 2.0) geht sehr viel weiter, wie ein seit Mai 2020 vorliegender Referentenentwurf der Bundesregierung zeigt: Gesetzliche Vorgaben betreffen nun eine Vielzahl von Unternehmen. Auch der IT-Markt für Verbraucher soll reguliert werden – allerdings einstweilen auf freiwilliger Basis.

So will die Bundesregierung zum Schutz der Bürger ein „einheitliches IT-Sicherheitskennzeichen“ schaffen, „welches die IT-Sicherheit der Produkte erstmals sichtbar macht“. Das soll eine „fundierte Kaufentscheidung“ ermöglichen. Das dabei wichtige Kennzeichen wird auf die Produkte oder deren Verpackungen aufgetragen. Es enthält einen QR-Code, der dazu dient, aktuelle Sicherheitsinformationen zu dem Produkt auf der Website des Bundesamts für Sicherheit in der Informationstechnik (BSI) abzurufen.

Der 2019 veröffentlichte vorläufige Entwurf für das kommende IT-Sicherheitskennzeichen in Gestalt eines stilisierten Vorhängeschlosses zeigt keine Angaben zu besonderen Sicherheitsaspekten des Produkts. Der QR-Code in der Mitte führt Smartphone-Nutzer zur Website des BSI.

Wie eine solche Kennzeichnung im Detail umgesetzt werden soll, ist noch unklar. Wie für viele andere Regelungen verweist der Entwurf auch dafür auf eine Rechtsverordnung, die erst noch erarbeitet werden muss. Klar ist aber, dass Gerätehersteller den Antrag für die Nutzung des Kennzeichens beim BSI stellen müssen. Ohnehin soll dieses Amt künftig den Dreh- und Angelpunkt für die Regulierung des IT-Bereichs in Deutschland bilden. Zu seinen neu hinzugefügten Aufgaben gehört ausdrücklich auch der Verbraucherschutz.

Um an das Kennzeichen zu gelangen, sollen Antragsteller Dokumente mit Nachweisen für die zugesagten IT-Sicherheitseigenschaften des Produkts einreichen. Wenn das BSI den Antrag positiv bescheidet, dürfen die Produkte das IT-Sicherheitskennzeichen tragen. Auch danach soll das Amt noch durch Stichproben überprüfen, ob der Hersteller beziehungsweise Importeur die gesetzlichen Anforderungen weiterhin einhält.

Diese Planungen stoßen auf Kritik des Branchenverbands Bitkom e. V. Der begrüßt ein IT-Sicherheitskennzeichen zwar grundsätzlich, hält auf einem international geprägten Markt jedoch zumindest ein europäisches Vorgehen für sinnvoller als eine rein nationale Regelung. Zudem, so der Verband, bestehe die Gefahr, dass sich Verbraucher allein durch den Kauf eines solchermaßen gekennzeichneten Geräts dauerhaft in Sicherheit wiegen. Den Nutzern müsse aber bewusst sein, dass es auch auf den richtigen Umgang damit ankomme, also etwa auf das Aufspielen von Updates.

IT-Hersteller sollen künftig insgesamt von staatlicher Seite an die Hand genommen werden. Auch hier spielt wie bei vielen anderen Maßnahmen das BSI eine zentrale Rolle: Bei erheblichen Störungen im Bereich kritischer Infrastrukturen („KRITIS“) soll das Amt unter anderem von den Produktherstellern Auskünfte zu technischen Details verlangen dürfen.

Diese und die daraus gewonnenen Erkenntnisse darf das BSI dann nicht nur selbst verwenden, sondern auch an andere Behörden und Ressorts weiterleiten, soweit das zur Aufgabenerfüllung notwendig ist. Dass dabei auch hochsensible Geschäftsinformationen betroffen sein können, berücksichtigt der Gesetzentwurf nicht weiter.

So ginge es auch: Forscher am CyLab der Carnegie Mellon University setzen mit ihrem Vorschlag für eine Art Nährwert-Aufkleber in puncto IT-Sicherheit für vernetzte Geräte auf Detailinformationen, die Nutzern wirklich bei einer Kaufentscheidung helfen können.

(Bild: Carnegie Mellon University's College of Engineering)

„KRITIS“-Betreiber müssen dem BSI eine Liste all ihrer essenziellen IT-Produkte übermitteln. Das Amt kann aus diesen Informationen eine Datenbank aufbauen – das ist höchst brisant, weil es damit zugleich eine Liste aller potenziellen Schwachstellen und geeigneten Angriffsvektoren gibt. Der Entwurf geht aber noch weiter: Er untersagt den Einsatz solcher kritischen Komponenten, die von „nicht vertrauenswürdigen Herstellern“ stammen. Der (verbotene) Betrieb solcher Komponenten ist dem Bundesinnenministerium (BMI) anzuzeigen. Ein Hersteller gilt als vertrauenswürdig, wenn er eine „Garantieerklärung“ abgegeben hat. Die muss hinreichend nachweisen, dass das Produkt sicher ist. Wie das im Einzelnen erfolgen soll, ist noch völlig offen – ebenso wie die Frage, ob ein solcher Nachweis in Zeiten von Open Source und internationalen Zulieferern überhaupt zweifelsfrei möglich sein kann.

Vergleichbare Regelungen schreibt der Gesetzentwurf auch für den Telekommunikationsbereich fest. Dieser Ansatz hat in der Diskussion den Beinamen „Lex Huawei“ bekommen. Das spielt auf die Debatte um die Rolle des chinesischen Anbieters beim Aufbau der 5G-Mobilfunknetze an. Die genannten Vorgaben für „KRITIS“-Betreiber beziehen sich nicht auf IT-Equipment von Privatpersonen, sondern nur auf Unternehmensinfrastruktur. Genau dort liegt auch die Kernaufgabe des IT-SiG 2.0.

Es soll vorrangig diejenige IT von Unternehmen und Diensten stärker als bisher regulieren, an denen das Funktionieren des Gemeinwesens hängt. Welche Einrichtungen das genau betrifft, definiert das BSI-Gesetz. Danach gelten die „KRITIS“-Anforderungen nur für „Einrichtungen, Anlagen oder Teile davon“, die den Sektoren Energie, Informationstechnik und Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung sowie Finanz- und Versicherungswesen angehören. Zudem müssen „durch ihren Ausfall oder ihre Beeinträchtigung erhebliche Versorgungsengpässe oder Gefährdungen für die öffentliche Sicherheit“ drohen.

Nach derzeitiger Gesetzeslage gibt es sieben „KRITIS“-Sektoren, in denen Unternehmen besonderen Pflichten unterliegen.

Zu den genannten Bereichen gibt es Rechtsverordnungen, die detaillierter darlegen, auf wen die Anforderungen zutreffen. So wird der Versorgungsgrad anhand von Schwellenwerten für jede Anlagenkategorie bestimmt. Meist liegt die Schwelle bei 500.000 versorgten Personen.

Bereits jetzt sind Anbieter kritischer Infrastrukturen verpflichtet, ihre IT-Systeme nach dem aktuellen „Stand der Technik“ zu betreiben, sie regelmäßig zu überprüfen und zu modernisieren. Dabei spielen Sicherheitsstandards eine entscheidende Rolle. Das betrifft etwa den vom BSI definierten IT-Grundschutz und ISO-Standards wie 27001, aber auch brancheneigene Vorgaben. Das Ziel ist, unerlaubte Zugriffe auf die technischen Einrichtungen und Daten ebenso zu verhindern wie Störungen. Sicherheitsvorfälle sind dem BSI zu melden. Das Amt stellt die aus den Meldungen gewonnenen Erkenntnisse den Betreibern zur Verfügung und schafft so die Voraussetzung für Vorwarnmaßnahmen.

Das IT-SiG 2.0 legt nun komplett neue Kategorien von Einrichtungen und Unternehmen fest. Für diese sollen dann ähnliche Pflichten wie für die bereits jetzt bestehenden „KRITIS“-Betreiber gelten. Viele Unternehmen werden also mit erheblichen neuen IT-Anforderungen konfrontiert, was nicht zuletzt hohe Kosten bedeutet.

Der Gesetzentwurf nimmt den Begriff des „Unternehmens im besonderen öffentlichen Interesse“ neu ins deutsche IT-Sicherheitsrecht auf. Solche Unternehmen sind zwar keine „KRITIS“-Betreiber im Sinne der bisherigen Definition. Sie entwickeln oder produzieren jedoch militärisch beziehungsweise für den Staatsschutz relevante Produkte. Oder sie sind aufgrund ihrer volkswirtschaftlichen Bedeutung und ihrer erbrachten Wertschöpfung im Blick. Das könnte beispielsweise große DAX-Konzerne betreffen, an deren ordnungsgemäßem Geschäftsbetrieb Tausende von Arbeitsplätzen und viele Lieferketten hängen. Auch Firmen, die einer Regulierung nach der Verordnung zum Schutz vor Gefahrstoffen unterliegen, fallen unter die neuen Kategorien.

Zudem sollen Sicherheitsverstöße empfindlich ins Geld gehen: Das IT-SiG 2.0 passt den Bußgeldrahmen an den der DSGVO an. Das heißt: Bei Verstößen gegen das Gesetz werden maximal 20 Millionen Euro oder bis zu vier Prozent des gesamten weltweit erzielten Unternehmensumsatzes im vorangegangenen Geschäftsjahr fällig.

Allerdings stellt der Entwurf keineswegs klar, was genau ein „Unternehmen im besonderen öffentlichen Interesse“ ist. Wie nur allzu viele Fragen bleibt auch diese zunächst offen – eine Rechtsverordnung des Bundesinnenministeriums (BMI) soll sie beantworten. Es ist zwar durchaus sinnvoll, schon aus Gründen der Aktualität nicht jede zahlenmäßige oder technische Anforderung durch ein Gesetz zu regeln. Wenn auf diese Weise aber Fragen, die dringend der Konkretisierung bedürfen, in eine Phase irgendwann nach Verabschiedung des Gesetzes geschoben werden, hat das Folgen für die Industriebereiche und Unternehmen, die für eine Regulierung infrage kommen. Sie brauchen frühzeitig Rechtssicherheit in Bezug darauf, wen genau die neuen Regelungen betreffen und was zu tun ist.