IT-Sicherheitsgesetz: Problematische Haftungsrisiken
Mitte Dezember 2014 hat das Bundeskabinett ihren Entwurf für das neue IT-Sicherheitsgesetz vorgelegt. Er weicht in einigen Punkten vom Entwurf des Bundesinnenministeriums ab. Foto: VDMA/Zimmermann.
Auf Betreiber kritischer Infrastrukturen kommen laut Entwurf zum IT-Sicherheitsgesetz umfangreiche Verpflichtungen zu. Erhebliche Störungen sind dem Bundesamt für Sicherheit in der Informationstechnik (BSI) zu melden und TK-Anbieter sollen Teilnehmer und identifizierbare Nutzer benachrichtigen, von deren DV-Systemen Störungen ausgehen, und sie auf Sicherheitswerkzeuge hinweisen. Aufgrund erheblicher Haftungsrisiken ist dies jedoch kaum umsetzbar und auch datenschutzrechtlich sehr bedenklich.
Der Koalitionsvertrag hatte das IT-Sicherheitsgesetz bereits angekündigt. Am 17. Dezember 2014 hat das Bundeskabinett den neuen Entwurf zum IT-Sicherheitsgesetz (ITSiG) vorgelegt, der in einigen Teilen vom Gesetzesentwurf des federführenden Bundesinnenministeriums abweicht. Noch im Frühjahr 2015 soll die Parlaments- und Bundesratsbefassung erfolgen.
Mindeststandards für IT-Sicherheit in Deutschland
Zentraler Gegenstand der geplanten Regelungen ist die Festlegung von Mindeststandards für IT-Sicherheit in Deutschland. Um dies zu schaffen, sollen Betreiber kritischer Infrastrukturen verpflichtet werden, mehr Sicherheit zu gewährleisten.
Zudem ist eine Meldepflicht gegenüber dem Bundesamt für Sicherheit in der Informationstechnik (BSI) vorgesehen bei Störungen, die zu erheblichen Sicherheitsvorfällen führen oder führen können. Die Behörde soll mit diesen Informationen in der Lage sein, übergreifende Bedrohungsszenarien frühzeitig zu erkennen, um andere Nutzer oder Verwender zu warnen.
Das BSI soll zugleich zur zentralen deutschen Anlaufstelle für IT-Sicherheit ausgebaut werden. Zudem sollen in diesem Zusammenhang zahlreiche Bundesämter wie BKA, BfV, BND, BNetzA, BfDI u. w. mit einer nicht unerheblichen Anzahl an Personalstellen und Sachkostenzuwendungen ausgestattet werden. Im Gegensatz zu den hierzu benennbaren Aufwendungen sind die Kosten für die Länder und Kommunen derzeit noch nicht bezifferbar.
Hohe Auflagen für Betreiber kritischer Infrastrukturen
Als kritische Infrastrukturen gelten Einrichtungen oder Anlagen, die eine hohe Bedeutung für das Funktionieren des Allgemeinwesens haben. Hierzu gehören etwa die Sektoren Energie, IT und Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung sowie Finanz- und Versicherungswesen.
Telekommunikationsanbieter sind in dem IT-Sicherheitsgesetz von den meisten Regelungen ausgenommen, da ihnen gleichartige Verpflichtungen bereits durch das Telekommunikationsgesetz (TKG) auferlegt sind.
TK-Anbieter teilweise betroffen
Hinzugekommen sind für TK-Anbieter jedoch weitere Auflagen wie die Sicherung ihrer technischen Einrichtungen durch Maßnahmen nach dem Stand der Technik, Ausweitung von Meldepflichten sowie die Benachrichtigung der Teilnehmer, wenn erkannt wird, dass von deren Datenverarbeitungssystemen Störungen ausgehen. Auch soll die Umsetzung der Sicherheitskonzepte der TK-Anbieter mindestens alle zwei Jahre überprüft werden.
Dies alles führt zu weiteren sogenannten Erfüllungsaufwänden auf Seiten der TK-Anbieter.
Nach wie vor unrealistische Anforderungen
Die QSC AG ist der Auffassung, dass es eine uneingeschränkte Verpflichtung der TK-Anbieter, auf Sicherheitswerkzeuge zur Vorbeugung oder für den akuten Fall hinzuweisen, allein aufgrund erheblicher Haftungsrisiken für die betroffenen Unternehmen nicht geben darf.
Zudem ist die Forderung, dass im Rahmen der Hinweisgebung besonders auch auf „Barrierefreiheit der angebotenen Sicherheitswerkzeuge“ zu achten sei – wie der neue Entwurf formuliert – nicht zu erfüllen ist. Schon der Aufbau und Betrieb einer Firewall beispielsweise geht schließlich darüber hinaus, was ein Nutzer mit durchschnittlichen Bedienerkenntnissen umsetzen kann.
Einige Verbesserungen gegenüber dem Gesetzentwurf des Bundesinnenministeriums
Begrüßenswert ist jedoch der inzwischen im Entwurf eingefügte Zusatz, dass die Maßnahmen technisch möglich und zumutbar sein müssen, was ökonomisch auch Sinn macht. Auch bei den Sanktionen gab es noch Änderungen.
Ursprünglich sollte allein die Annahme, dass der Betreiber nicht die erforderliche Zuverlässigkeit habe, ausreichen, um den Geschäftsbetrieb durch die Bundesnetzagentur untersagen zu lassen. Dieses Missverhältnis wurde wohl mittlerweile erkannt, sodass solch schwerwiegender Eingriff wie die Betriebsuntersagung nicht alleinig auf Vermutungen gestützt werden darf.
Insofern erscheint der ursprüngliche Entwurf um einige Punkte entschärft worden zu sein. Grundsätzlich wäre es aber dennoch wünschenswert und klug gewesen, die Entwicklungen auf europäischer Ebene – Stichwort „Richtlinie für hohe gemeinsame Netz- und Informationssicherheit in der EU“ (NIS-Richtlinie) – abzuwarten und nicht ein Gesetz als Sprechzettel für weitere Verhandlungen nutzen zu wollen, das dann alle naselang geändert werden muss.
Weitere Diskussionen sind zu erwarten
Fest steht, dass das IT-Sicherheitsgesetz für alle Anbieter und Betreiber in den Netzindustrien signifikante Auswirkungen haben wird. Auf eine weitere intensive Diskussion sollten sich alle Akteure einstellen.