IT-Sicherheit

Am Freitag, den 12.06. 2015, hat der Bundestag das seit mehr als zwei Jahren diskutierte IT-Sicherheitsgesetz verabschiedet. Der Entwurf ist eine Reaktion auf die weiter zunehmenden – und teils spektakulären – Cyberangriffe auf sog. Kritische Infrastrukturen“, deren Ausfall gravierende Auswirkungen auf Wirtschaft und Gesellschaft haben kann.
Zu der Zielsetzungen des Gesetzes gehört die bessere Vorbereitung der IT-Infrastruktur gegen Hackerangriffe, die Einrichtung von Strukturen, die schnellere Reaktionen auf Datendiebstahl und Hackerangriffe ermöglichen und die Verbesserung des Schutzes sog. kritischer Infrastrukturen“.

Das IT-Sicherheitsgesetz ist ein Artikelgesetz“, d.h. es beschränkt sich auf die Änderung bestehender Gesetze. Zentral ist die Änderung des BSI-Gesetzes. Sie erhebt das BSI zur Aufsichtsbehörde über die Betreiber von kritischen Infrastrukturen“, kurz KRITIS.

Zur Kritische Infrastruktur“ zählen: Einrichtungen, Anlagen oder Teile davon, die den Sektoren Energie, Informati­onstechnik und Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung sowie Finanz- und Versiche­rungswesen angehören und von hoher Bedeutung für das Funktionieren des Gemeinwesens sind, weil durch ihren Ausfall oder ihre Beeinträchtigung erhebliche Versorgungsengpässe oder Gefährdungen für die öffentliche Sicherheit eintreten würden. Die Kritischen Infrastrukturen im Sinne dieses Gesetzes werden durch Rechtsverordnung (…) näher bestimmt.“ Zu den Betreiber Kritischer Infrastrukturen“ zählen wiederum alle Unternehmen, die Kritische Infrastrukturen betreiben, mit Ausnahme solcher Unternehmen, die Kleinstun­ternehmen (…) sind.“ Eine Ausnahme hiervon stellen Kleinstun­ternehmen i. S. d. Empfehlung 2003/361/EG dar. Dies ist ein Unternehmen, das weniger als 10 Personen beschäftigt und dessen Jahresumsatz bzw. Jahresbilanz 2 Mio. EUR nicht überschreitet.“

Künftig unterliegen die Betreiber Kritischer Infrastrukturen einigen Pflichten. Zum Beispiel haben sie angemessene organisa­torischen und technische Vorkehrungen zur Vermeidung von Störungen ihrer informati­ons­technischen Systeme, innerhalb von zwei Jahren nach Erlass der Verordnung zu treffen. Zudem müssen sie mindestens alle zwei Jahre einen Nachweis der Erfüllung obiger Anforderungen durch Sicherheitsaudits, Prüfungen oder Zertifizierungen vorlegen. Des Weiteren müssen sie die Prüfungsberichte und Fehlermeldungen an das Bundesamt für Sicherheit in der Informati­onstechnik übermitteln und eine Kontaktstel­leangeben, welche jederzeit erreichbar ist. Dies ist binnen sechs Monaten nach Inkrafttreten der Verordnung zu erledigen. Zudem besteht eine anonyme Meldepflicht von bedeutenden Störungen, die zu einem Ausfall oder einer Beeinträchtigung der Kritischen Infrastruktur führen können. Eine Nennung des Betreibers ist nur notwendig, wenn die Störung tatsächlich zu einem Ausfall oder einer Beeinträchtigung führt.

Die Erneuerungen haben jedoch auch Auswirkungen für Diensteanbieter i. S. v. TMG und TKG. Diese trifft nun die Pflicht zur Sicherstellung eines hinreichenden Schutzes personen­bezogener Daten und vor Störungen, auch wenn die Gefährdung von außen kommt. Außerdem dürfen sie Nutzungsdaten lediglich erheben und verwenden, soweit dies zum Erkennen, Eingrenzen und zur Beseitigung von Störungen erforderlich ist. Eine Speicherung ist jedoch maximal für 6 Monate zulässig. Ebenso dürfen Bestands- und Verkehrsdaten der Teilnehmer und Nutzer nur erhoben und verwendet werden, um Störungen zu erkennen, einzugrenzen oder zu beseitigen. Des Weiteren müssen Maßnahmen eingeleitet werden, damit der Stand der Technik zur Sicherung der Telekommu­nikations- und Datenver­ar­bei­tungssysteme gegeben ist. Außerdem besteht eine Meldepflicht hinsichtlich Störungen für Betreiber öffentlicher Telekommu­ni­ka­tionsnetze (auch Stadtwerke). Werden dem Diensteanbieter Störungen bekannt, die von Datenver­ar­bei­tungssystemen der Nutzer ausgehen, so hat er die Nutzer darüber zu benachrichtigen.

Sowohl die neuen Regelungen zu der IT-Sicherheit bei Kritischen Infrastrukturen, als auch der Ausbau der Kompetenzen des BSI und dessen zentrale Rolle bei der Prävention, Auswertung und Bekämpfung von Angriffen sind absolut zu begrüßen und sinnvoll. Jedoch ist das Gesetz leider an einigen Stellen bedenklich unbestimmt. So wird vielen Unternehmen nicht klar sein, ob sie als Betreiber einer kritischen Infrastruktur“ einzustufen sind oder nicht. Ebenso wenig spezialisiert ist der Begriff der erheblichen Störung“, welche die Meldepflicht auslöst.