Seite 2: Neue Pflichten für alte Betreiber

Inhaltsverzeichnis

Auch wer bisher schon als „KRITIS“-Betreiber galt, muss mit erheblichem Aufwand für die Umsetzung neuer Vorschriften rechnen. So verpflichtet der Entwurf diese Unternehmen zur Einführung von Prozessen, um die Vertrauenswürdigkeit von Beschäftigten in besonders sicherheitssensiblen Bereichen zu überprüfen.

Zudem soll IT-Sicherheit gemäß dem „Stand der Technik“ künftig die Verpflichtung umfassen, „Systeme zur Angriffserkennung“ einzusetzen. Dem Entwurf zufolge geht es dabei um „durch technische Werkzeuge und organisatorische Einbindung unterstützte Prozesse zur Erkennung von Angriffen auf IT-Systeme“. Zur Arbeitsweise heißt es: „Die Angriffserkennung erfolgt durch Abgleich der in einem IT-System verarbeiteten Daten mit Informationen und technischen Mustern, die auf Angriffe hindeuten“. Das BSI soll in diesem Zusammenhang relevante technische Richtlinien (BSI-TR) erarbeiten können. Welches Verhältnis dabei zu anderen sicherheitsrelevanten technischen Normungen und Standardisierungen wie ISO-Vorgaben bestehen soll, bleibt unklar.

Auch unter Datenschutzgesichtspunkten ist der vorgeschriebene Einsatz der Systeme zur Angriffserkennung keine Kleinigkeit. De facto ermöglicht der Entwurf Unternehmen so ihre private Vorratsdatenspeicherung: Daten im Zusammenhang mit solchen Systemen dürfen bei den Betreibern bis zu zehn Jahre gespeichert und im Einzelfall auch an Strafverfolgungsbehörden übermittelt werden.

Mehr Macht fürs BSI

Das IT-SiG 2.0 trägt einmal mehr dazu bei, das BSI zu einer Art Superbehörde für die IT-Sicherheit zu machen. Das Bestreben der Regierung, diesen Bereich viel mehr als bisher ganzheitlich zu erfassen, hat einen erheblichen Befugnis- und Personalzuwachs des BSI zur Folge. Allein mit den Änderungen, die das IT-SiG 2.0 bringt, soll sich die Schaffung von 583 neuen Planstellen bei der in Bonn angesiedelten Behörde verbinden.

Das BSI wird nicht nur Meldestelle für die Belange von „KRITIS“ sein. Schon die bisherige deutsche und europäische Gesetzgebung sehen vor, dass der Informationsaustausch zur Prävention, Detektion und Abwehr von Cyberangriffen koordiniert und länderübergreifend erfolgt. Das BSI hat dabei die Aufgabe, als zentraler Sammelpunkt Informationen über IT-Sicherheitsrisiken aus möglichst vielen verschiedenen Quellen entgegenzunehmen und auszuwerten, um einen Gesamtplan zur Lage der IT-Sicherheit zu erarbeiten – das sogenannte Lagebild. Darauf aufbauend können Unternehmen oder generell die Öffentlichkeit beispielsweise vor Sicherheitslücken und Schadprogrammen gewarnt werden.

"Das neue Gesetz passt den Bußgeldrahmen für Sicherheitsverstöße an den der DSGVO an."

Kritiker bemängeln, dass die bei der Behörde gespeicherten Daten höchst sensibel sind. Wie sicher sind die möglicherweise personenbezogenen Daten derjenigen, die Informationen an das BSI weitergeben? Die Datenschutzbedenken wachsen noch dadurch, dass das BSI künftig auch im Telekommunikationsrecht eigene Befugnisse erhalten soll. Es darf etwa auf die bei TK-Dienstbetreibern gespeicherten Kundendaten zugreifen. Darunter fallen Rufnummern, Anschlusskennungen, Namen und Anschrift von Teilnehmern sowie für Mobilfunkverträge mit Handy auch die „International Mobile Equipment Identity“ (IMEI). Bisher waren so umfassende Auskunftsrechte auf Polizei und Strafverfolgung beschränkt.

Rechte von Bürgern und Unternehmen berührt in besonderer Weise die Befugnis des BSI, Protokolldaten zu speichern, die beim Betrieb der Kommunikationstechnik des Bundes anfallen. Diese Daten dürfen bisher schon erhoben und automatisiert ausgewertet werden, sofern dies zu Zwecken der IT-Sicherheit erforderlich ist. Mit dem IT-SiG 2.0 ist eine Ausdehnung dieser Befugnis im Gespräch: Protokolldaten sollen nicht bloß so lange gespeichert werden dürfen, wie es zu ihrer Auswertung nötig ist, sondern längstens für 18 Monate. Zu diesen Daten können durchaus personenbezogene Daten gehören. Daran ändert auch die gesetzlich vorgeschriebene Pseudonymisierung nichts.