•  

Entwurf zum IT-Sicherheitsgesetz 2.0

Nach vielen Jahren einer unverständlichen Zurückhaltung zur Stärkung der IT-Sicherheit für Bund, Bürger und auch wichtige Unternehmen kam im Jahre 2015 endlich Bewegung in das Thema. Das IT-Sicherheitsgesetz (IT-SiG) trat im Juli 2015 in Kraft und verpflichtete Betreiber besonders gefährdeter Infrastrukturen (Kritische Infrastrukturen) ihre IT-Systeme und -Prozesse nach dem „Stand der Technik“ zu schützen. Nach nunmehr 4 Jahren sind viele Erfahrungen mit der Umsetzung des IT-SiG gesammelt worden, leider hat sich aber auch die allgemeine Sicherheitslage nicht gerade zum Besseren verändert, so dass die Regierung jetzt eine Weiterentwicklung zum IT-SiG 2.0 plant. Hierzu liegt ein Referentenentwurf seit dem 27.03.2019 vor. Auch wenn dieser vermutlich noch einigen Änderungen unterworfen sein wird, so lohnt sich schon jetzt ein Blick auf die geplanten Neuerungen, die zumindest eine bestimmte Zielrichtung schon jetzt erkennen lassen.

Der Deutsche Bundestag hatte am 12. Juni 2015 das „Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme“ (IT-SiG) abschließend beraten und mit großer Mehrheit angenommen. Allumfassend, wie es der Gesetzestitel nahelegte, war dieses Gesetz aber nicht, sondern es nahm im Kern nur die Betreiber kritischer Infrastrukturen stärker in die Pflicht. Diese müssen nach dem Gesetz einen Mindeststandard an IT-Sicherheit einhalten und erhebliche IT-Sicherheitsvorfälle an das Bundesamt für Sicherheit in der Informationstechnik (BSI) melden.

Das IT-SiG war dabei aber kein eigenständiges Gesetz, sondern ein Artikelgesetz, d.h. eine Sammlung von Änderungen und Erweiterungen schon bestehender Gesetze wie u.a. dem BSI-Gesetz (BSIG), dem Energiewirtschaftsgesetz (EnWG) und dem Telemediengesetz. Mit dem IT-SiG wurde eine deutliche Verbesserung der Sicherheit informationstechnischer Systeme in Deutschland angestrebt. Die Neuregelungen dienten dazu, den Schutz der Systeme im Hinblick auf Verfügbarkeit, Integrität, Vertraulichkeit und Authentizität zu verbessern, um den aktuellen und zukünftigen (!) Gefährdungen der IT-Sicherheit wirksam begegnen zu können. Welche Unternehmen konkret betroffen sind, legt die BSI-Kritisverordnung fest.

Obwohl in einigen der neun KRITIS-Sektoren durchaus immer noch ein Vorgaben- und Umsetzungsbedarf besteht, hatte die Regierung die wachsende Gefährdungslage für Staat, Wirtschaft und Gesellschaft erkannt und eine Weiterentwicklung des ersten IT-SiG von 2015 bereits in den jetzigen Koalitionsvertrag aufgenommen. Hierzu dürfte nicht unwesentlich der zu Beginn des Jahres 2018 in den Medien bekanntgewordene Angriff auf das Auswärtige Amt beigetragen haben.

Mit dem IT-SiG 2.0 sollen gleich zehn Gesetze und Verordnung zum Teil umfangreich geändert werden. Zu erwarten war ja eine massive Ausweitung der Ausstattung und der Befugnisse des BSI, auch mit der Ausdehnung des Kreises der Betroffenen über den eigentlichen KRITIS-Bereich hinaus war zu rechnen. Die neue Rolle des BSI als Hackerbehörde (Zitat: netzpolitik.org) und als Verbraucherschützer, die Einführung eines Sicherheitskennzeichens, sowie eine von Komponentenherstellern zu liefernde Vertrauenswürdigkeitserklärung überrascht dann aber doch.

Da es sich bei dem vorliegenden Dokument aber erst um den Referentenentwurf handelt, ist die Veröffentlichung des Gesetzes in seiner abschließenden Form nicht vor Ende 2019 zu erwarten. Die konkreten Regelungen bedürfen außerdem einer Rechtsverordnung, die wiederum eine zweijährige Frist zur Umsetzung nach sich zieht. Unter Zugrundelegung der Zeitspannen der jeweiligen Veröffentlichungen des ersten SiG und seiner Rechtsverordnungen darf davon ausgegangen werden, dass die erste Fristsetzung zur Umsetzung frühestens im Jahre 2022 abläuft.

Veränderungen gab es natürlich wieder im Zusammenhang mit dem Schutz kritischer Infrastrukturen, der uns nachstehend besonders interessieren soll.

Neue Anforderungen an die Betreiber kritischer Infrastrukturen

Für KRITIS-Betreiber finden sich die folgenden wichtigen Änderungen im Entwurf:

Verbesserung der Angriffserkennung

Das Gesetz fordert von KRITIS-Betreibern verpflichtend die Umsetzung einer „Angriffserkennung“. Die Notwendigkeit hierzu ist in den letzten Jahren immer deutlicher geworden. Im neuen IT-SiG soll dies nun ausdrücklich festgeschrieben werden. Vermutlich zielt das Ganze in die Richtung von Anomaliedetektion mit IDS/IPS und Eventhandling mit SIEM-Lösungen.

Kommentar: Es wird interessant sein, zu sehen, wie weit man sich bei den Vorgaben auf die technische Umsetzung (Produkte, Betrieb) fokussiert. Was sollen solche Systeme leisten, wie geht man mit Fehlalarmen um, wann soll alarmiert werden? Verspricht man sich hier nicht zu viel von Systemen, die immer noch nicht ausgereift sind?

Vertrauenswürde KRITIS-Komponenten

Zu den besonders wichtigen KRITIS-Komponenten zählten alle diejenigen, die unmittelbar für den störungsfreien Betrieb kritischer Anlagen notwendig waren oder deren Störung umgekehrt eine Störung der resultierenden kritischen Dienstleistungen hätten bewirken können. Im SiG 2.0 soll nun geregelt werden, dass für diese KRITIS-Komponenten zukünftig explizit Mindeststandards durch das BSI definiert werden. Auch dürfen dafür zukünftig nur noch solche Komponenten von Herstellern verbaut werden, für die eine „Vertrauenswürdigkeitserklärung“ abgegeben wurde, die also demnach über ein BSI-Sicherheitskennzeichen verfügen. Diese Anforderung schließt die gesamte Zulieferkette des Herstellers ausdrücklich ein. Auch an dieser Stelle werden die Details nicht im Gesetz geregelt, sondern werden einer noch zu definierende Richtlinie des Bundesinnenministeriums überlassen.

Kommentar: Auf diese Richtlinie kann man gespannt sein. Insbesondere wie die Einbeziehung der gesamten Zulieferkette umgesetzt werden soll, bei der Teile im nicht-deutschen oder sogar nicht-europäischen Ausland liegen können.

Drastische Erhöhung der Bußgelder

Die Möglichkeiten Bußgelder zu verhängen werden deutlich ausgeweitet, zum Beispiel im Falle der „Nichterreichbarkeit der Kontaktstelle“. Hat der Gesetzgeber im ersten Sicherheitsgesetz noch einen Strafrahmen von 100.000 Euro je Verstoß vorgesehen, so wurden diese nun an die weitaus härteren Regelungen der EU-DSGVO angeglichen. Im IT-SiG 2.0 sieht der Gesetzgeber für Verstöße maximal „Geldbußen von bis zu 20.000.000 Euro oder von bis zu 2% – 4% des weltweiten Unternehmensumsatzes des vorangegangenen Geschäftsjahrs vor, je nachdem, welcher der Beträge höher ist, vor.

Kommentar: Sinnvolle Anpassung, aber auf eine weitgehende Ausschöpfung des Strafrahmens darf man gespannt sein.

Detektion von Sicherheitsrisiken

Das BSI kann zur Erfüllung seiner Aufgaben Maßnahmen zur Detektion und Auswertung von Schadprogrammen, Sicherheitslücken und anderen Sicherheitsrisiken in öffentlich erreichbaren informationstechnischen Systemen durchführen, wenn Tatsachen die Annahme rechtfertigen, dass diese ungeschützt sind und dadurch in ihrer Sicherheit oder Funktionsfähigkeit gefährdet sein können. Das BSI darf diese Maßnahmen im Rahmen seiner gesetzlichen Aufgaben zum Schutz der Bundesverwaltung, der Verbraucher und der KRITIS-Betreiber anwenden, um die Verantwortlichen oder den betreibenden Dienstleister des jeweiligen Netzes oder Systems über eine bestehende Gefahr zu informieren.

Kommentar: Dies sind weitreichende Rechte, öffentlich erreichbare System zu prüfen, ohne dass eine Information hierüber an die Betroffenen vorgesehen ist. Das könnte aber bei aufmerksamen Betreibern zum Verdacht eines Angriffs führen und ungewollte Reaktionen (z.B. Abschaltungen) nach sich ziehen. Dabei spielen dann auch Haftungsfragen eine Rolle.

Übersicht zu weiteren Änderungen durch das IT-SiG

Neben den weitgehend erwarteten Änderungen für Unternehmen der Kritischen Infrastrukturen werden nun aber auch (vollumfänglich;) andere Bereiche vom IT-SiG betroffen sein.

IT-Sicherheitskennzeichen

Zum Schutz der Bürger sollen Voraussetzungen für ein einheitliches IT-Sicherheitskennzeichen geschaffen werden, welches die IT-Sicherheit der Produkte für die Bürger sichtbar machen soll. Hierdurch soll eine fundierte Kaufentscheidung ermöglicht werden. Außerdem wird Verbraucherschutz als zusätzliche Aufgabe des BSI (!) gesetzlich etabliert. Die verpflichtende Einführung eines IT-Sicherheitskennzeichens wird auf nationaler Ebene aber nicht möglich sein. Der Marktzugang von Produkten in die EU ist vollharmonisiert. Jede verpflichtende und rein nationale Regelung würde deshalb gegen geltendes Recht verstoßen. Entsprechend wird die Freiwilligkeit ausdrücklich festgeschrieben. Anreiz zur Nutzung seitens der Hersteller soll allein die Darstellung der IT-Sicherheit der Produkte sein, wodurch eine Abgrenzung zu weniger sicheren Produkten erfolgen kann.

Kommentar: Da hat man sich aber viel vorgenommen. Erinnert sehr an die viel geforderte Lebensmittelampel, die wegen großem Lobbyisteneinfluss noch immer nicht umgesetzt wurde. Abgesehen von nicht wenig zusätzlichem Personal beim BSI muss auch die Transparenz über Kontrollergebnisse geschaffen werden. Umsetzung mehr als fraglich.

Systematische Marktbeobachtung im Bereich Verbraucherprodukte und –dienste

Durch die ständige Marktbeobachtung von internetfähigen IT-Systemen und Online-Diensten soll das BSI in die Lage versetzt werden, aktuelle Marktentwicklungen zu identifizieren und basierend hierauf auch Prognosen im Hinblick auf zukünftige Trends, Entwicklungen und Auswirkungen auf Verbraucher treffen zu können. Die Ergebnisse der Marktbeobachtung stellen die Grundlage für weitergehende Sicherheitstests und -analysen dar.

Kommentar: Das alles kommt einem sehr bekannt vor, wenn man die technische Affinität des BSI seit mehr als 20 Jahren beobachtet hat. Von Erfolg waren diese aber eher selten gekrönt, Skepsis ist deshalb auch hier angesagt.

Sichere Produkte

Das BSI soll seine Kompetenzen, Fähigkeiten und Arbeitsbeziehungen dazu einsetzen, „Security by Design“ am Markt durchzusetzen, sodass Verbrauchern sichere Produkte zur Verfügung stehen.

Kommentar: Das kann vielleicht bei einzelnen Produktgruppen und unter Erzeugung gewisser Aufmerksamkeit umgesetzt werden, aber wohl kaum in großem Maßstab und schon gar nicht bei weltweit genutzten Anwendungen. Was ist eigentlich aus den Anbietern von „sicheren Produkten aus deutscher Produktion“ geworden? Das war mal ein großes Thema, von den damals involvierten Firmen gibt es heute kaum noch eines am Markt.

Abfallwirtschaft als neuer kritischer Sektor

Neben den bisherigen KRITIS-Sektoren wurde die Abfallwirtschaft zum weiteren kritischen Sektor bestimmt. Die konkreten Vorgaben sind noch abzuwarten.

Infrastrukturen im besonderen öffentlichen Interesse
Neu ist die Definition sogenannter „Infrastrukturen im besonderen öffentlichen Interesse“. Das sind zwar nicht unmittelbar kritische Infrastrukturen, dennoch werden sie als solche behandelt. Dazu zählen z.B. die Branchen Chemie, Automobilherstellung, Rüstungsindustrie, Kultur und Medien sowie Unternehmen von „erheblicher volkswirtschaftlicher Bedeutung“. Die bisher schon für die Betreiber Kritischer Infrastruktur bestehenden Meldepflichten und Verpflichtungen zu Mindeststandards sollen hierauf ausgeweitet werden. Dadurch soll die IT-Sicherheit der Wirtschaft und der Gesellschaft insgesamt erhöht werden.

Kommentar: Da die konkreten Zuordnungen noch nicht bekannt sind, sind auch hier die Konkretisierungen abzuwarten.

Ganzheitlicher Ansatz für vernetzte Systeme

Das BSI soll den Betrachtungsfokus zukünftig auch auf wichtige vernetzte Systeme, z.B. aus den Bereichen Industrial Control Systems (ICS) oder Internet of Things (IoT) erweitern, die aus Erfahrung häufig offene Dienstzugänge (Ports) und diverse Schwachstellen aufweisen. Im Kontext mit den o.g. KRITIS-Komponenten wird damit die ganzheitliche Sicht für Betreiber kritischer Infrastrukturen zukünftig in den Fokus rücken müssen.

Kommentar: Ebenso ein ambitionierter, aber kaum breitflächig umzusetzender Ansatz. Ist das bei ICS im Kritis-Bereich vielleicht noch zu erzwingen, so ist das im stark konsumorientierten IoT-Bereich zumindest absehbar reines Wunschdenken.

Aufstellung von Krisenreaktionsplänen

Das BSI stellt zukünftig im Einvernehmen mit dem Bundesamt für Bevölkerungsschutz und Katastrophenhilfe und der jeweils zuständigen Aufsichtsbehörde des Bundes und in Abstimmung mit den jeweiligen Betreibern kritischer Infrastrukturen Krisenreaktionspläne auf. Diese sollen die beteiligten Behörden, Betreiber Kritischer Infrastrukturen und Betreiber weiterer Anlagen im besonderen öffentlichen Interesse in die Lage versetzen, im Notfall unverzüglich abgestimmte Entscheidungen zu treffen und angemessene Maßnahmen rechtzeitig durchzuführen.

Kommentar: Hierfür wären erhebliche Zuarbeiten der Betreiber mit umfangreichen und langwierigen Abstimmungen notwendig. Änderungen der IKT-Umgebung müssten zeitnah kommuniziert werden. Das alles scheint kaum verlässlich machbar zu sein.

Für IT-SiG 2.0 veranschlagte Kosten

In dem vorliegenden Referentenentwurf zum IT-SiG werden auch die zu erwartenden Kosten thematisiert. Durch das geplante Regelungsvorhaben der Bundesregierung soll es in der Wirtschaft zu einer Veränderung des jährlichen Erfüllungsaufwands von rund 45,09 Mill. Eur kommen. Rund 31,20 Mill. Euro davon sollen entstehen aus neuen oder geänderten Informationspflichten. Einmalig wird die Wirtschaft mit rund 16,71 Mill. Euro belastet.

Beim BSI wird ein Erfüllungsaufwand in Höhe von 864 Planstellen/Stellen mit Personalkosten in Höhe von jährlich rund 55,5 Millionen Euro als notwendig gesehen. Zusätzlich sollen zur Umsetzung des Gesetzes Sachkosten in Höhe von einmalig 28 Mio. Euro und jährlich in Höhe von rund 47,5 Mio. Euro zu berücksichtigen sein.

Kommentar: Immer sehr nebulös, wie es zu diesen veranschlagten Kosten kommt. Insbesondere, da viele der zugehörigen Richtlinien überhaupt noch nicht formuliert wurden oder in ihrem geplanten Umfang bekannt sind. Die Zahlen scheinen deshalb eher zur Beruhigung des Parlamentes zu dienen, da sie in der Höhe weder beim BSI noch in der Wirtschaft ausreichen werden.

Ganzheitlicher Verbraucherschutz

Die Cyber- und Informationssicherheit für Verbraucher soll ebenfalls erhöht werden. Die ausdrückliche Aufnahme des Verbraucherschutzes in den Aufgabenkatalog des BSI soll der wachsenden Bedeutung der Cyber- und Informationssicherheit für Verbraucher Rechnung tragen. Der ganzheitliche Verbraucherschutz beschränkt sich jedoch nicht nur auf Maßnahmen, die sich unmittelbar an Verbraucher richten und auf die Vermittlung von Risikobewusstsein, Beurteilungsfähigkeit und Lösungskompetenz gerichtet sind. Die Förderung des Verbraucherschutzes und der Verbraucherinformation geht darüber hinaus und umfasst u.a. auch das Eintreten für die Verbraucherbelange gegenüber Herstellern oder die Förderung von Forschungsvorhaben mit Verbraucherschutzbezug.

Kommentar: Das BSI als Verbraucherschützer- man darf gespannt sein.

Fazit

Die deutliche Ausweitung der Ausstattung und der Befugnisse des BSI mit dem IT-SiG 2.0 ist nicht wirklich überraschend, stellt dieses doch den logischen Adressaten für eine deutliche Verbesserung der Sicherheitsvorkehrungen im IT-Sicherheitsbereich von Kritis-Betreibern und auch der Bevölkerung dar. Ob mit dem reinen Aufblasen des BSI-Apparates aber eine signifikante Verbesserung in den vielen zu regelnden Bereichen umsetzbar sein wird, kann man stark bezweifeln. Hier soll wohl ein deutscher Weg zu Mammutbehörden wie NSA/Homeland Security beschritten werden, aber gegen deren Etats wirken die für das BSI veranschlagten Summen wie Kleingeld. Ein weiterer kritischer Punkt betrifft das Personal. IT-Security Personal mit hoher Qualität ist nur schwer bekommen. Viele werden nicht für das BSI arbeiten wollen oder können schlichtweg nicht marktgerecht bezahlt werden. Konsequenz wird sein, dass von den anstehenden großen Aufgaben die meisten nicht ausreichend bewältigt werden können. Weniger wäre deshalb wohl mehr gewesen.

Autor: Opens external link in new windowDetlef Weidenhammer, GAI NetConsult GmbH


Quellen

[1] netzpolitik.org, https://netzpolitik.org/2019/it-sicherheitsgesetz-2-0-wir-veroeffentlichen-den-entwurf-der-das-bsi-zur-hackerbehoerde-machen-soll/ 2019

[2] Heise, https://www.heise.de/newsticker/meldung/Gastbeitrag-IT-Sicherheitsgesetz-2-0-Seehofer-blaest-zur-Attacke-4397919.html  2019

[1]datenschutz notizen, https://www.datenschutz-notizen.de/kritische-infrastrukturen-im-it-sicherheitsgesetz-2-0-3522457/  2019

Autor: Detlef Weidenhammer

Diesen Artikel empfehlen