IT-Sicherheit:

Keine Regelungen zur IT-Produkthaftung mehr in dieser Legislaturperiode

Der Innenausschuss des Bundestages hat kurzfristig das Gesetz zur nationalen Umsetzung der NIS-Richtlinie für seine Sitzung am 29. März auf die Tagesordnung genommen und abschließend beraten. Dabei hat der Ausschuss zwei Anträgen der Koalitionsfraktionen zugestimmt: einem Änderungsantrag zum Gesetz und einem Antrag „zur Stärkung der IT-Sicherheit internetfähiger Geräte“. Netzpolitiker aus der CDU und der SPD hatten die Erwartung geweckt, dass im Rahmen des Gesetzgebungsverfahrens zur Umsetzung der EU-Richtlinie über „Maßnahmen zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz- und Informationssystemen in der Union“ weitere Bestimmungen zur IT-Sicherheit implementiert werden. Die netzpolitischen Sprecher von CDU und SPD, Thomas Jarzombek und Lars Klingbeil, hatten sich mehrfach dafür ausgesprochen, noch in dieser Legislaturperiode Regelungen zur IT-Produkthaftung zu beschließen. Jarzombek hatte noch am 21. März im Deutschlandfunk gesagt:

„Wenn es nach mir ginge, würden wir jetzt auch noch in dieser Legislaturperiode dazu ein Gesetz verabschieden, was hier die Hersteller deutlich stärker in die Pflicht nimmt.“

Davon ist in den nun verabschiedeten Anträgen nicht viel zu sehen. In das Gesetz aufgenommen werden sollen nun Regelungen für Telekommunikationsanbieter, wie sie auf gesicherter Rechtsgrundlage besser gegen Cyberangriffe vorgehen können. Im Antrag wird die Bundesregierung aufgefordert, ein freiwilliges Gütesiegel zur IT-Sicherheit einzuführen. Möglichkeiten, gesetzlich mehr für IT-Sicherheit zu tun, sieht der Ausschuss vor allem in Brüssel – und appelliert an die Bundesregierung,

„sich auf EU-Ebene dafür einzusetzen, dass verbindliche Anforderungen an IT-Sicherheitseigenschaften für die Bereitstellung auf dem Markt von internetfähigen Produkten auf europäischer Ebene geschaffen werden“.

Auch aus dem Bundesinnenministerium (BMI) hieß es während des Gesetzgebungsverfahrens, dass die Einführung einer IT-Produkthaftung nur auf europäischer Ebene erfolgen könne.

Formulierungshilfe für Gütesiegel lag vor

Zumindest um die Aufnahme des Gütesiegels in das Gesetz wurde offenbar bis zuletzt gerungen. In einer Formulierungshilfe vom 24. März aus dem Bundesinnenministerium, das dem TPM vorliegt, sollte ein neuer Paragraf 9a „Gütesiegel für IT-Sicherheit“ in das BSI-Gesetz aufgenommen werden. Das Siegel sollten Hersteller vom Bundesamt für Sicherheit in der Informationstechnik (BSI) erhalten, wenn sie entweder die Einhaltung „von Mindeststandards für die IT-Sicherheit“ anzeigen oder gegenüber einer vom BSI anerkannten, sachverständigen Stelle nachweisen. Die Verwendung des IT-Sicherheits-Kennzeichens ohne die Konformitätsvoraussetzungen zu erfüllen, wäre dann mit einem Bußgeld bis zu 50.000 Euro sanktioniert worden.

Gütesiegel ohne spezielle Grundlage im Gesetz

Doch dieser Vorschlag fand nicht den Weg ins Gesetz. Stattdessen fordert der Innenausschuss jetzt die Bundesregierung per Antrag auf,

„das in der ‚Cyber-Sicherheitsstrategie für Deutschland 2016‘ angekündigte Gütesiegel für IT-Sicherheit unter Einbeziehung von Verbraucherschützern, Wirtschaftsvertretern, IT-Sicherheitsexperten und Gewerkschaften auszuarbeiten. Dazu sollte das Bundesamt für Sicherheit in der Informationstechnik (BSI) Technische Richtlinien mit IT-Sicherheitsmindestanforderungen für relevante Produktklassen veröffentlichen, nach der Hersteller ihre Produkte überprüfen lassen oder gegen die sie sich erklären können. Produkte, die diesen Vorgaben entsprechen, sollen mit einem ‚IT-Sicherheits-Gütesiegel‘ des BSI versehen werden können“.

Änderungen am Telekommunikationsgesetz

In das Gesetz zur nationalen Umsetzung der NIS-Richtlinie aufgenommen wurden dagegen Änderungen des Telekommunikationsgesetzes (TKG). Sie sollen die bestehenden Vorschriften im TKG um Befugnisse der Anbieter von Telekommunikationsdiensten erweitern, „um auf Störungen reagieren und damit die IT-Sicherheit netzseitig verbessern zu können“, heißt es in der Begründung des Änderungsantrages. In § 100 Absatz 1 wird die Befugnis für Diensteanbieter, für den Umgang mit Störungen Daten zu erheben und zu verwenden, „um Steuerdaten eines informationstechnischen Protokolls erweitert“. Kommunikationsinhalte sind dabei ausgeschlossen. Außerdem erhalten Diensteanbieter eine rechtliche Grundlage dafür, den Datenverkehr bei Vorliegen einer Störung „einzuschränken, umzuleiten oder zu unterbinden.“

Ansonsten wurde der Gesetzentwurf aus dem Bundesinnenministerium unverändert vom Innenausschuss angenommen – mit den Stimmen der Koalitionsfraktionen, gegen die Stimmen der Grünen und bei Enthaltung der Linken. Dem Änderungsantrag und dem Antrag zur IT-Sicherheit hat die Linke dagegen zugestimmt. Das Gesetz dient dazu, das deutsche Recht an die NIS-Richtlinie anzupassen. Große Teile der Richtlinie wurden in Deutschland bereits durch das IT-Sicherheitsgesetz aus dem Juli 2015 vorweggenommen.

Zufrieden mit dem Ergebnis der Beratungen im Gesetzgebungsverfahren zeigte sich der zuständige Berichterstatter der SPD-Fraktion im Innenausschuss, Gerold Reichenbach. Es habe sich gezeigt, dass der Weg, das IT-Sicherheitsgesetz schon vor der NIS-Richtlinie zu verabschieden, der richtige gewesen sei. Zum einen habe man die Änderungen, die noch zur Anpassung an die Richtlinie notwendig waren, so noch recht unkompliziert gegen Ende dieser Legislaturperiode auf den Weg bringen können.

„Außerdem hatte die Wirtschaft genug Vorlauf, um bereits IT-Sicherheitsprodukte zu schaffen, die inzwischen auch von Unternehmen nachgefragt werden, die nicht zu den Kritischen Infrastrukturen gehören“, sagte Reichenbach dem TPM.

Auch die vorgenommenen Änderungen im TKG hält Reichenbach für sinnvoll, um Diensteanbietern die Möglichkeiten zu geben, gegen Störungen oder Angriffe vorzugehen. Entsprechende Änderungen im Telemediengesetz (TMG) dagegen sollten nach seiner Auffassung erst in der nächsten Legislaturperiode im Zusammenhang mit den notwendigen Anpassungen an die Datenschutz-Grundverordnung diskutiert werden.

Fünf Gesetze werden geändert

Durch das Gesetz geändert werden nun das Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSIG), das Atomgesetz (AtG), das Energiewirtschaftsgesetz (EnWG), das fünfte Sozialgesetzbuch (SGB V – gesetzliche Krankenversicherung) und das TKG. Die Befugnisse des Bundesamtes für Sicherheit in der Informationstechnik (BSI) zur Überprüfung der Einhaltung der technischen und organisatorischen Sicherheitsanforderungen und die Nachweispflicht der Betreiber werden erweitert. Außerdem werden die Regelungen für das Verfahren bei grenzüberschreitenden Vorfällen ergänzt. Betroffen von neuen Pflichten sind laut Gesetzesbegründung die Betreiber von Energieversorgungsnetzen und Energieanlagen, bestimmte Telekommunikationsdiensteanbieter und Betreiber von Telekommunikationsnetzen, die Gesellschaft für Telematikanwendungen der Gesundheitskarte mbH (gematik), sonstige Betreiber von Kritischen Infrastrukturen und Anbieter von digitalen Diensten – Online-Markplätze, Online-Suchmaschinen und Cloud-Computing-Dienste.

Das Gesetz steht am 27. April zur zweiten und dritten Lesung auf der Tagesordnung des Bundestages. Es ist als besonders eilbedürftig eingestuft und im Bundesrat nicht zustimmungspflichtig. Im Plenum der Länderkammer wird es voraussichtlich am 12. Mai beraten. Es tritt am Tag nach der Verkündung in Kraft, die NIS-Richtlinie muss bis zum 9. Mai 2018 in deutsches Recht umgesetzt sein.

Der vorstehende Artikel erscheint im Rahmen einer Kooperation mit dem Tagesspiegel Politikmonitoring auf UdL Digital. Sascha Klettke ist Chef vom Dienst und Analyst für Netzpolitik.

Kommentieren Sie den Artikel

Please enter your comment!
Please enter your name here