Jüngst ist ein Referentenentwurf des Bundesinnenministeriums für ein IT-Sicherheitsgesetz 2.0 (IT-SiG 2.0) bekannt geworden. Der Entwurf hat Änderungen des Gesetzes über das Bundesamt für Sicherheit in der Informationstechnik (BSIG) zum Gegenstand (BSIG-E). Das Ministerium verfolgt mit dem Entwurf das Ziel, Bedrohungen der Cyber- und Informationssicherheit von Staat, Wirtschaft und Gesellschaft, aber auch von Bürgern effektiv abzuwenden. Hierzu sind erhebliche Erweiterungen der Befugnisse des Bundesministeriums für Sicherheit in der Informationstechnik (BSI), neue Verbraucherschutzregelungen und Anpassungen von Vorschriften u.a. des StGB, der StPO, des TKG, des TMG und weiterer Gesetze vorgesehen.

English Summary

Recently, a draft bill of the German Federal Ministry of the Interior regarding the intended IT Security Act 2.0 (IT-SiG 2.0) became public. The draft bill is designed to amend the Act on the Federal Office for Information Security (BSIG). By such amendments the ministry is pursuing the goal of effectively averting threats to cyber and information security for the state, the economy and society, but also for citizens. To this end, the powers of the Federal Ministry for Information Security (BSI) are to be considerably extended.- In addition, new consumer protection regulations and adaptions of existing regulations are planned in the German Criminal Code (StGB), the Code of Criminal Procedure (StPO), the Telecommunications Act (TKG), the Telemedia Act (TMG) and other legislation.

(Please click here for full English version)

Das BSIG sieht bereits umfassende Maßnahmen vor, die die IT-Infrastrukturen Deutschlands zu den weltweit sichersten machen sollen. Vor allem der Bereich Kritischer Infrastrukturen (KRITIS) gilt als besonders schutzwürdig, ebenso wie digitale Dienste (Online-Marktplätze, Suchmaschinen und Cloud Services). Allerdings bedürfen auch Unternehmen, Verwaltung und Private eines starken Schutzes im Rahmen ihrer Online-Aktivitäten. Angetrieben durch immer häufigere und komplexere Cyber-Attacken, wie die auf das Auswärtige Amt (2018) oder das Doxing privater Daten von Bundestagsabgeordneten (2019), sowie durch die Digitalisierung des Alltags und die Vernetzung im Internet der Dinge soll nun die IT-Sicherheit der technischen Entwicklung und Gefährdungslage angepasst werden.

Änderungen des BSIG

Zuständige Behörde für Cybersicherheit ist das BSI, das nicht nur mehr Geld und Personal erhalten soll, sondern dessen Kompetenzkatalog auch erheblich ausgeweitet wird. So soll die Behörde in Zukunft staatliche Kommunikationstechnik und Schnittstellen zu Dritten kontrollieren. § 4a BSIG-E sieht vor, dass das BSI nun auch behördeninterne Protokollierungsergebnisse von IT-Systemen auswerten kann. Die entsprechenden Daten darf die Behörde 18 Monate speichern und muss sie nicht pseudonymisieren. Betroffen sind davon auch Daten von Bürgern, die online mit Verwaltungsbehörden kommunizieren. Um Gefahren für die Kommunikationstechnik des Bundes abzuwehren, darf das BSI die Daten dem Entwurf zufolge auch bei IT-Dienstleistern, die wesentliche IT-Dienstleistungen für den Bund erbringen, erheben und auswerten.

Gemäß § 7a BSIG-E darf das BSI künftig zur Erfüllung seiner Aufgaben nach § 3 Abs. 1 S. 2 BSIG auf dem Markt bereitgestellte oder zur Bereitstellung auf dem Markt vorgesehene informationstechnische Produkte und Systeme untersuchen und dafür auch alle notwendigen Auskünfte von Herstellern informationstechnischer Produkte und Systeme verlangen. Sollten die Hersteller der Aufforderung zur Auskunft nicht nachkommen, kann das BSI die Öffentlichkeit darüber informieren. Nach einer erfolgslos abgelaufenen angemessenen Frist zur Stellungnahme dürfen der Name des Herstellers, das betroffene Produkt oder System und inwieweit der Hersteller seiner Auskunftspflicht nicht nachgekommen ist, vom BSI veröffentlicht werden.

Darüber hinaus ermöglicht es § 7b BSIG-E dem Bundesamt künftig, Maßnahmen zur Detektion und Auswertung von Schadprogrammen, Sicherheitslücken und anderen Sicherheitsrisiken in öffentlich erreichbaren IT-Systemen durchzuführen, also auch auf mobilen Endgeräten und IoT-basierten Geräten. Dies ist nach § 7b BSIG-E aber nur erlaubt, wenn Tatsachen die Annahme rechtfertigen, dass diese ungeschützt sind und dadurch in ihrer Sicherheit oder Funktionsfähigkeit gefährdet sein können. Um Schadprogramme und andere Angriffsmethoden zu erheben und auszuwerten darf das BSI zukünftig gemäß § 7b Abs. 4 BSIG-E Verfahren einsetzen, die einem Angreifer vortäuschen sein Angriff wäre erfolgreich gewesen und die dazu erforderlichen Daten verarbeiten.

Zudem wird der Adressaten- und Pflichtenkreis nach §§ 8a, 8b BSIG-E erweitert. Zum einen dürfen KRITIS-Kernkomponenten nur noch von Herstellern bezogen werden, die vor dem ersten Einsatz der jeweiligen Komponente eine Erklärung über ihre Vertrauenswürdigkeit abgegeben haben. Diese Vorgaben gelten für die gesamte Lieferkette des Herstellers. Zum anderen zählt nun auch der Entsorgungssektor zu “Kritischen Infrastrukturen” im Sinne des BSIG. Neu eingeführt werden soll an dieser Stelle die Kategorie “Infrastrukturen in besonderem öffentlichen Interesse”, zu der u.a. Infrastrukturen von bestimmten börsennotierten Aktiengesellschaften und Unternehmen aus den Bereichen Chemie, Rüstung, Automobilherstellung und Kultur und Medien zählen. Die Hersteller von IT-Produkten müssen dem BSI nach § 8h BSIG-E melden, wenn erhebliche Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer IT-Produkte auftreten oder wenn die Anwendung derselben zu einem Ausfall oder zu einer erheblichen Beeinträchtigung der Funktionsfähigkeit von Anlagen nach § 2 Abs. 10 oder Abs. 14 BSIG führen könnte.

Daneben kommt dem BSI nach dem Entwurf der Verbraucherschutz als weitere Aufgabe zu. Mit ihrer Expertise soll die Behörde durch Beratung, Sensibilisierung und Unterstützung zum Schutz von Verbrauchern vor mit der Digitalisierung verbundenen Gefahren für die IT-Sicherheit beitragen. Mit der Konzeption und Vergabe von sog. “IT-Sicherheitskennzeichen” (s. § 9a BSIG-E) werden Verbraucher in die Lage versetzt zu erkennen, ob ein IT-Produkt aktuellen Sicherheitsstandards entspricht. Das Kennzeichen wird zwei Komponenten enthalten: Die Herstellererklärung und die BSI-Sicherheitsinformation. Letztere soll den Verbraucher über Sicherheitslücken oder sonstige sicherheitsrelevante IT-Eigenschaften informieren. Durch die Herstellererklärung sichert dagegen der Hersteller zu, dass das Produkt bestimmte IT-Sicherheitseigenschaften aufweist. Die Nutzung des IT-Sicherheitskennzeichens ist für die Hersteller der Produkte freiwillig.

Ebenfalls überarbeitet wurde der Bußgeldkatalog nach § 14 BSIG. Der Entwurf enthält nun mehr als doppelt so viele Ordnungswidrigkeitstatbestände. Bei der Bemessung der Höhe von Bußgeldern orientiert er sich an der DSG-VO. Verstöße gegen bestimmte Tatbestände können mit Geldbußen in Höhe von bis zu 20 Millionen Euro oder von bis zu vier Prozent des gesamten weltweit erzielten jährlichen Unternehmensumsatzes des vorangegangenen Geschäftsjahres geahndet werden.

Anpassung des TKG

Neben weiteren Änderungen des BSIG sind die geplanten Anpassungen des TKG hervorzuheben, welche die Provider stärker in die Pflicht nehmen. Diese müssen beispielsweise nach § 109a Abs. 1a TKG-E das Bundeskriminalamt unverzüglich darüber unterrichten, wenn bei ihnen gespeicherte Daten unrechtmäßig übermittelt werden. § 109b TKG-E sieht zudem weitreichende Meldungs- und Löschpflichten der Provider in Bezug auf die rechtswidrige Weitergabe oder Veröffentlichung rechtswidrig erlangter Daten vor.

Bewertung

Die konkreten Folgen, die eine Umsetzung des Referentenentwurfs für die Digitalwirtschaft hätte, sind schwierig vorherzusagen, sie dürften jedoch einschneidend sein. Bereits durch die Verschärfung der Bußgeldvorschriften wächst der Druck auf die Betreiber Kritischer Infrastrukturen und die Hersteller betroffener informationstechnischer Systeme. Außerdem geht die Ausweitung der Befugnisse des BSI mit Konflikten im grundrechtssensiblen Bereich einher, und zwar sowohl für Unternehmen als auch für Verbraucher. Schließlich werden Unternehmen Melde- und Löschpflichten auferlegt. Ob dabei insofern Zweck und Mittel noch in angemessenem Verhältnis zueinander stehen, ist fraglich. Darüber hinaus enthält der Entwurf Anpassungen und Ergänzungen weiterer Gesetze, die sowohl rechtsdogmatisch als auch rechtspolitisch zumindest fragwürdig sind, insbesondere die Anpassungen des materiellen Straf- und des Strafprozessrechts.