IT-Sicherheitsgesetz 2.0 – Mehr Schein als Sein?

Seit nunmehr drei Jahren berät die Bundesregierung über ein neues IT-Sicherheitsgesetz. Im Dezember 2020 wurde letztlich ein Entwurf eines IT-Sicherheitsgesetzes 2.0 im Kabinett verabschiedet und anschließend in das parlamentarische Verfahren eingebracht. Ob jedoch der neue Entwurf gebilligt wird, ist mehr als fraglich, da seine Inhalte immer wieder scharfer Kritik ausgesetzt waren. Außerdem muss die Frage gestellt werden, ob der Entwurf wirklich eine bedeutende Wende in der IT-Sicherheit bringt oder eher ein „zahnloser Tiger“ ist.

 

Was bisher geschah

2015 erging das erste IT-Sicherheitsgesetz. Ziel des Gesetzes war es, die IT-Sicherheit in Unternehmen, Verwaltung und den Schutz der Bürger im Internet zu verbessern. Das Gesetz sah umfassende Änderungen für die bisher geltenden Regelungen zur IT-Sicherheit vor, vor allem die Stärkung des Bundesamtes für Sicherheit und Informationstechnik (BSI) und neue Pflichten für die Betreiber von Kritischen Infrastrukturen (KRITIS). Im Jahr 2016 folgte die europäische Initiative zur Verbesserung des IT-Sicherheitsstandards in Form der sogenannten NIS-Richtlinie. Sie war auf europäischer Ebene das erste Vorhaben in Sachen IT-Sicherheit. Da es sich um eine Richtlinie handelt, musste diese in nationales Recht transformiert werden, was durch das NIS-Umsetzungsgesetz 2017 in Deutschland geschah.

Seit drei Jahren wird nun das IT-Sicherheitsgesetzes 2.0 diskutiert, welches die bereits ergriffenen Sicherheitsmaßnahmen modernisieren soll. Im Juli 2020 wurde ein erster Entwurf geleakt. Er enthielt viele Änderungen der bestehenden Regelungen. Neben neuen Befugnissen für das BSI sollte auch der Bußgeldrahmen an die Datenschutzgrundverordnung (DSGVO) angepasst werden. Im Dezember veröffentlichte das Bundesministerium für Inneres (BMI) dann einen zweiten Entwurf, der im Kabinett gebilligt wurde. Der zweite Entwurf hat einige Punkte des ersten Entwurfs übernommen, aber auch viele ursprüngliche Ansätze nicht mehr verfolgt. 

 

Die wesentlichen Änderungen im Überblick

  1. Erweiterung der Befugnisse des BSI

Im Fokus des IT-Sicherheitsgesetzes 2.0 steht das BSI. Neben der Konkretisierung bereits bestehender Ermächtigungen, soll das BSI durch den neuen Gesetzesentwurf als unabhängige Beratungs-, Standardisierungs- und Zertifizierungsstelle fungieren.

Außerdem werden die Befugnisse der Behörde ausgeweitet. Das BSI soll nun aktiv gegen Cyberangriffe vorgehen können. Dazu gehört auch die Befugnis, offensiv in IT-Systeme Dritter eindringen zu dürfen. Deshalb bezeichnen einige das BSI mit den neuen Befugnissen des IT-Sicherheitsgesetzes 2.0 als „Hackerbehörde“. Damit bleibt es zunächst bei den Vorgaben des ersten Referentenentwurfs. 

  1. Ausweitung des KRITIS-Begriffs

Neben den bisher bekannten KRITIS-Sektoren soll nun die Siedlungsabfallentsorgung mit aufgenommen werden. Außerdem sollen „Unternehmen im öffentlichen Interesse“ zwar nicht unmittelbar KRITIS sein, aber sie sollen als solche behandelt werden. Es handelt sich danach um Unternehmen, die Güter nach § 60 Abs. 1 Nr. 1 und 3 Außenwirtschaftsverordnung (AWV) – also im wesentlichen Rüstungsgüter  – herstellen oder entwickeln, nach seiner inländischen Wertschöpfung zu den größten Unternehmen in Deutschland gehören oder Betreiber eines Betriebsbereichs der oberen Klasse im Sinne der Störfall-Verordnung (StöV) sind oder nach § 1 Absatz 2 der StöV diesen gleichgestellt sind (§ 2 Abs. 14 BSIG-E). Den zuvor genannten Unternehmen obliegen damit dieselben Pflichten wie einem originären KRITIS-Unternehmen.

Neben den bereits angesprochenen Unternehmen sollen auch Hersteller sogenannter kritischer Komponenten zur Rechenschaft gezogen werden. Kritische Komponenten sind IT-Produkte, die in Kritischen Infrastrukturen eingesetzt werden und von hoher Bedeutung für das Funktionieren des Gemeinwesens sind (§ 2 Abs. 13 BSIG-E). Um eine solche Komponente einzubauen, müssen die Hersteller eine Garantieerklärung abgeben und den Einsatz dem BMI anzeigen. Aus der Garantieerklärung hat unter anderem hervorzugehen, wie der Hersteller sicherstellt, dass die kritische Komponente nicht zu Spionagezwecken missbraucht wird. Das BMI kann den Einsatz kritischer Komponenten untersagen.

Schließlich werden auch die Pflichten der KRITIS-Betreiber erweitert. Gemäß § 8a Abs. 1a BSIG-E müssen sie Systeme zur Angriffserkennung einbauen. Außerdem soll eine Nachweispflicht nach § 8a Abs. 3 S. 1 BSIG-E bezüglich der Einhaltung der Anforderungen der Absätze 1 und 1a geben. Letztlich wird eine Registrierungspflicht der KRITIS-Betreiber etabliert (§ 8b Abs. 3 BSIG-E).

  1. Verbraucherschutz

Auch der Verbraucherschutz soll gestärkt werden. Das Ziel soll durch ein IT-Sicherheitskennzeichen erreicht werden, welches auf dem IT-Produkt oder seiner Verpackung angebracht wird. Durch das IT-Sicherheitskennzeichen könne der Verbraucher die Informationen zu Sicherheitseigenschaften eines Produktes, welche das BSI abgegeben hat, einsehen. Das IT-Sicherheitskennzeichen ist nicht verpflichtend, sondern kann von den Unternehmen freiwillig beantragt werden.

  1. Anpassung des Bußgeldrahmens

Der erste Entwurf zum IT-Sicherheitsgesetz 2.0 enthielt noch eine Anpassung der Bußgelder an den Bußgeldrahmen der DSGVO. Dadurch stieg die Höchstsumme für das Bußgeld von 100.000 EUR auf maximal 20 Millionen EUR oder vier Prozent des weltweiten Jahresumsatzes. Eine ähnliche Anpassung wurde auch im jetzigen Entwurf aufgenommen. Der neue Bußgeldkatalog in § 14 Abs. 5 BSIG-E sieht eine Höchstsumme von zwei Mio. EUR vor, welche sich allerdings auf 20 Millionen EUR erhöht, falls – was der ganz überwiegende Anwendungsfall sein dürfte – die Geldbuße gegen eine juristische Person oder Personenvereinigung festgesetzt wird.

 

Kritik

Der neue Entwurf zum IT-Sicherheitsgesetz ist von allen Seiten stark kritisiert worden. Bei der Verbandsanhörung im März dieses Jahres übten die Vertreter wichtiger wirtschaftlicher Branchen Kritik am neuen Entwurf. So sei der Verbraucherschutz zu kurz gekommen, da ein freiwilliges IT-Sicherheitskennzeichen nicht zu einer verstärkten IT-Sicherheit der Produkte führen würde. Produkte, die dem Standard nicht entsprechen, würden schlicht kein Zeichen beantragen.

Auch die kurze Entscheidungsfrist bezüglich der kritischen Komponenten wurde vielfach hinterfragt. Das BMI soll dazu ermächtigt werden, den Einsatz kritischer Komponenten zu verbieten. Die Entscheidungsfrist beträgt jedoch nur einen Monat. Ob dies für eine ausreichende Evaluierung genügt, sei fraglich. Schließlich wurde bei der Anhörung auch die unübersichtliche Behördenstruktur um das BSI bemängelt, die durch das neue Gesetz nicht verbessert würde.

Auffällig ist zudem, dass die ursprünglich vorgesehene Verschärfung des Strafrechts bezüglich Cybercrime entfallen ist.

Ob der Entwurf vom Parlament angenommen wird, bleibt abzuwarten. Trotz der teilweisen Abschwächung der Regelungen im Vergleich zum ersten Entwurf würde er einen weiteren Schritt in Richtung Verstärkung der IT-Sicherheit in Deutschland bedeuten.