Bundesinnenminister legt IT-Sicherheitsgesetz vor
Für den Referentenentwurf hatte sich Bundesinnenminister Thomas de Maizière wegen der geplanten sechsmonatigen Datenspeichererlaubnis für Telekommunikationsunternehmen noch den Unmut des Koalitionspartners SPD und zahlreicher Datenschutzexperten zugezogen. Nach einer Einigung mit Justizminister Heiko Maas und der Streichung der betreffenden Passagen hat der Bundesinnenminister jetzt das IT-Sicherheitsgesetz vorgestellt. Einen ersten Gesetzgebungsversuch hatte bereits der damalige Innenminister Peter Friedrich in der 17. Legislaturperiode unternommen. Er hatte ihn allerdings nach einer Verbändeanhörung nicht fortgeführt, weil die Zeit bis zur Bundestagswahl im September vergangenen Jahres nicht ausgereicht hätte, um die zahlreichen Bedenken an dem Gesetzentwurf auszuräumen.
Ziel des neuen Gesetzes ist die signifikante Verbesserung der Sicherheit informationstechnischer Systeme in Deutschland. Die IT-Sicherheit von Unternehmen und der verstärkte Schutz der Bürgerinnen und Bürger im Internet sollen durch ein Bündel von Maßnahmen erreicht werden. Dazu gehört, dass Betreiber Kritischer Infrastrukturen – also Anbieter von gesellschaftlich wichtigen Infrastrukturen aus den Bereichen Energie, Informationstechnik und Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung sowie Finanz- und Versicherungswesen – ein Mindestniveau an IT-Sicherheit einhalten und dem Bundesamt für Sicherheit in der Informationstechnik (BSI) IT-Sicherheitsvorfälle melden müssen. Das BSI wertet die Informationen aus und stellt sie den Betreibern Kritischer Infrastrukturen ihrerseits schnellstmöglich zur Verbesserung ihrer Infrastruktur zur Verfügung. Um den Schutz der Bürger zu gewährleisten, werden wichtige Telekommunikationsanbieter dazu verpflichtet, IT-Sicherheit in puncto Fernmeldegeheimnis, Schutz personenbezogener Daten sowie Verfügbarkeit ihrer Telekommunikations- und Datenverarbeitungssysteme nach dem Stand der Technik sicherzustellen.
Das IT-Sicherheitsgesetz enthält zehn Artikel; die fünf wichtigsten beinhalten folgende Änderungen an anderen Gesetzen:
Artikel 1: Änderung des BSI-Gesetzes
Dieser Artikel legt das Bundesamt für Sicherheit in der Informationstechnik als zentrale Meldestelle für Betreiber Kritischer Infrastrukturen fest und regelt die Aufgaben, Befugnisse und Pflichten beider Seiten. So sind Betreiber Kritischer Infrastrukturen verpflichtet, spätestens zwei Jahre nach Inkrafttreten der Rechtsverordnung „angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten und Prozesse zu treffen“. Dabei sei der Stand der Technik zu berücksichtigen. Die organisatorischen und technischen Vorkehrungen sind laut Gesetz dann angemessen, wenn der dafür erforderliche Aufwand nicht außer Verhältnis zu den Folgen eines Ausfalls oder einer Beeinträchtigung der betroffenen Kritischen Infrastruktur steht. Das Bundesamt hat seinerseits das Recht, seine Erkenntnisse soweit erforderlich weiterzugeben und zu veröffentlichen. Zuvor muss es dem Hersteller der betroffenen Produkte und Systeme mit angemessener Frist Gelegenheit zur Stellungnahme geben.
Artikel 2: Änderung des Atomgesetzes
Der Artikel war noch nicht im Referentenentwurf des Gesetzes enthalten und ordnet für alle Genehmigungsinhaber von kerntechnischen Anlagen eine unverzügliche Meldepflicht an das BSI an, wenn Beeinträchtigungen ihrer informationstechnischen Systeme, Komponenten oder Prozesse bestehen. Die beim BSI eingegangenen Meldungen leitet das Bundesamt unverzüglich an die für nukleare Sicherheit zuständigen Genehmigungs- und Aufsichtsbehörden der Länder sowie an die zuständigen Stellen des Bundes weiter.
Artikel 3: Änderung des Energiewirtschaftsgesetzes
Betreiber von Energieanlagen, die als Kritische Infrastruktur bestimmt wurden und an ein Energieversorgungsnetz angeschlossen sind, müssen binnen zwei Jahren nach Inkrafttreten der Rechtsverordnung gemäß § 10 Absatz 1 des Gesetzes über das BSI „einen angemessenen Schutz gegen Bedrohungen für Telekommunikations- und elektronische Datenverarbeitungssysteme gewährleisten, die für einen sicheren Anlagenbetrieb notwendig sind.“ Die Regulierungsbehörde erstellt und veröffentlicht hierzu im Benehmen mit dem BSI einen Katalog von Sicherheitsanforderungen. Außerdem müssen die Betreiber von Energieversorgungsnetzen und Kritischen Infrastrukturen dem BSI „unverzüglich erhebliche Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten und Prozesse“ melden, die zu einem Ausfall oder einer Beeinträchtigung der Funktionsfähigkeit des Energieversorgungsnetzes führen können oder bereits geführt haben. Die Meldung muss laut Gesetz Angaben zu der Störung sowie zu den technischen Rahmenbedingungen, insbesondere der vermuteten oder tatsächlichen Ursache und der betroffenen Informationstechnik enthalten. Diese Meldepflicht war bislang einer der größten Streitpunkte zwischen Politik und Wirtschaft, da viele Unternehmen sich aus Gründen der Reputation gegen eine öffentliche Bekanntgabe von Cyberangriffen wehren (vgl. BID Netzpolitik 2014.46). Im Vergleich zum Referentenentwurf wird im IT-Sicherheitsgesetz präzisiert, dass die Nennung des Betreibers nur dann erforderlich ist, wenn die Störung tatsächlich zu einem Ausfall oder einer Beeinträchtigung der Funktionsfähigkeit der Kritischen Infrastruktur geführt hat.
Artikel 4: Änderung des Telemediengesetzes
Dieser Abschnitt – im Referentenentwurf noch unter Artikel 2 geführt – enthält die gravierendsten Änderungen im Vergleich zu der im November veröffentlichten Version. Die Passage, dass der Diensteanbieter „Nutzungsdaten zum [Erkennen,] Eingrenzen und Beseitigen von Störungen sowie von Missbrauch seiner für Zwecke seines Telemedienangebotes genutzten technischen Einrichtungen erheben und verwenden“ und sechs Monate lang speichern darf, wurde ersatzlos gestrichen. Die Diensteanbieter haben nach der aktuellen Fassung nun lediglich „im Rahmen ihrer jeweiligen Verantwortlichkeit für geschäftsmäßig angebotene Telemedien durch technische und organisatorische Vorkehrungen sicherzustellen, dass kein unerlaubter Zugriff auf die technischen Einrichtungen möglich ist.“ Sie müssen außerdem vor der Verletzung personenbezogener Daten und gegen Störungen durch äußere Angriffe gesichert werden.
Artikel 5: Änderung des Telekommunikationsgesetzes
Bis auf die Ziffer des Artikels (vorher Artikel 3) hat sich in diesem Abschnitt im Vergleich zum Referentenentwurf kaum etwas geändert. Demnach darf der Diensteanbieter soweit erforderlich „die Bestandsdaten und Verkehrsdaten der Teilnehmer und Nutzer erheben und verwenden, um Störungen oder Fehler an Telekommunikationsanlagen zu erkennen, einzugrenzen oder zu beseitigen.“ Dies gelte auch für „Störungen, die zu einer Einschränkung der Verfügbarkeit von Informations- und Kommunikationsdiensten oder zu einem unerlaubten Zugriff auf Telekommunikations- und Datenverarbeitungssysteme der Nutzer führen können.“ Im Fall einer beträchtlichen Sicherheitsverletzung kann die Bundesnetzagentur einen detaillierten Bericht über die Sicherheitsverletzung und die ergriffenen Abhilfemaßnahmen verlangen. Sofern es sich um Sicherheitsverletzungen der Informationstechnik handelt, kann die Bundesnetzagentur auch weitere Stellen unterrichten: das BSI, die nationalen Regulierungsbehörden der anderen Mitgliedsstaaten der Europäischen Union, die Europäische Agentur für Netz- und Informationssicherheit sowie auch die Öffentlichkeit, wenn „die Bekanntgabe der Sicherheitsverletzung im öffentlichen Interesse liegt“.
Folgekosten des IT-Gesetzes
In der Begründung des Gesetzes geht das Innenministerium davon aus, dass die Verpflichtung zur Einhaltung eines Mindestniveaus an IT-Sicherheit dort zu Mehrkosten führen werde, wo kein hinreichendes IT-Sicherheitsniveau vorhanden ist. Der entstehende Aufwand hänge einerseits vom erforderlichen Sicherheitsniveau und andererseits vom jeweiligen Status quo des Normadressaten ab. Der hierfür anfallende Aufwand könne im Voraus nicht quantifiziert werden. Entsprechendes gelte für den durch die Überprüfung der Einhaltung dieses Sicherheitsniveaus entstehenden Aufwand für Sicherheitsaudits.
Das Innenministerium rechnet nach aktuellen Schätzungen damit, dass die Zahl der meldepflichtigen Betreiber Kritischer Infrastrukturen bei maximal 2.000 Betreibern liegen wird. Pro Betreiber werden maximal sieben Meldungen von IT-Sicherheitsvorfällen pro Jahr erwartet. Nach Angaben aus der Wirtschaft auf der Grundlage von Berechnungen nach dem Standardkostenmodell werden die Kosten für die Bearbeitung einer Meldung derzeit mit 660 Euro pro Meldung (elf Stunden Zeitaufwand bei einem Stundensatz von 60 Euro) beziffert. Zum Teil werden solche Vorfälle schon heute dem BSI gemeldet. Betreibern Kritischer Infrastrukturen würde nach diesem Rechenmodell für die Erfüllung der Meldepflicht ein jährlicher Erfüllungsaufwand von insgesamt 9,24 Millionen Euro entstehen.
Mehr Personalbedarf
In der Verwaltung des Bundes wird das IT-Sicherheitsgesetz zu einem erhöhten Bedarf an Personal und Sachmitteln führen. Das Innenministerium rechnet mit „insgesamt zwischen 115 bis zu maximal 216,5 Planstellen/Stellen mit Personalkosten in Höhe von jährlich zwischen rund 8,95 und bis zu maximal 15,867 Millionen Euro“. Zusätzliches Personal werde u.a. im Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (neun bis 13), in der Bundesnetzagentur (maximal 28), im Bundeskriminalamt (48 bis 78) und im Bundesnachrichtendienst (maximal 30) benötigt.
Der vorstehende Artikel erscheint im Rahmen einer Kooperation mit dem Berliner Informationsdienst auf UdL Digital. Nadine Brockmann ist als Analystin des wöchentlichen Monitoringdienstes für das Themenfeld Netzpolitik verantwortlich.
Empfehlung der Redaktion
Artikel teilen
Autor:in
