BSI-Gesetz (IT-Sicherheitsgesetz)
Am 24.7.2015 wurde das IT-Sicherheitsgesetz im Bundesgesetzblatt veröffentlicht.
Hinweis: Materialien zu diesem Gesetzgebungsvorhaben können am Ende dieser Seite abgerufen werden.
Vertiefend zu den neuen Pflichten zur Netz- und Informationssicherheit und dem Spannungsverhältnis zwischen der Verarbeitung personenbezogener Daten und der Gefahrenabwehr siehe Leisterer, CR 2015, 665 - 670. Zu den neuen Sicherheitsanforderungen für Telemediendienste siehe Gerlach, CR 2015, 581 - 589, mit einem ersten Überblick über Tatbestandsmerkmale und Probleme bei der Anwendung des neu eingeführten § 13 Abs. 7 TMG.
Text der Vorversion(en):Am 10.7.2015 hat auch der Bundesrat beschlossen, hinsichtlich des IT-Sicherheitsgesetz (BT-Drs.: 18/5121) keinen Antrag auf Anrufung des Vermittlungsausschusses zu stellen.
Am 12.6.2015 hat der Deutsche Bundestag das IT-Sicherheitsgesetz in der vom Innenausschuss geänderten Fassung (BT-Drs.: 18/5121) beschlossen.
Am 10.6.2015 hat der Innenausschuss Bericht und Beschlussempfehlung zu dem Entwurf eines IT-Sicherheitsgesetzes veröffentlicht.
In der Beschlussempfehlung empfiehlt der Ausschuss u.a. § 8 Abs 1 dahingehend zu ändern, dass das Bundesamt Mindeststandards erarbeitet, welche dann in Abstimmung mit dem IT-Rat duch das Innenministerium ganz oder teilweise als allgemeine Verwaltungsvorschriften für alle Stellen des Bundes erlassen werden können. Daneben sieht die Empfehlung auch eine Beratungsfunktion des Bundesamtes im Hinblick auf Fragen der Mindeststandards vor.
§ 8a Abs. 1. S. 2 soll dahingehend geändert werden, dass der Stand der Technik nicht nur zu berücksichtigen ist, sondern eingehalten werden muss.
Auch soll ein weiterer Abs. 4 eingefügt werden, dem zufolge das Bundesamt zur Ausgestaltung des Verfahrens Anforderungen an die Art und Weise der Durchführung und der Dokumentation festlegen können soll. Darüber hinaus soll das Bundesamt auch eine Mitwirkung der Bereiber zur Beseitigung einer erheblichen Störung verlangen können.
Am 21.04.2015 hat der Ausschuss Informationsrecht des Deutschen Anwaltvereins seine Stellungnahme zu dem IT-SicherheitsG-E veröffentlicht.
Der Ausschuss bewertet den überarbeiteten Regierungsentwurf des Gesetzes (BT-Drs. 18/4096 v. 25.2.2015) zunächst positiv, dass die Normtexte klarer strukturiert und verständlicher gefasst und auch ein Teil der geäußerten Kritik umgesetzt worden sei.
Verbesserungswürdig sei dem Ausschuss zufolge nach wie vor die Bestimmtheit der Kernbegriffe des Entwurfs, wie des Begriffs der "Kritischen Infrastrukturen". Ebenso führe die begriffliche Erweiterung des Anknüpfungspunktes für eine Meldepflicht die nunmehr eine "erhebliche Störung" ( im ersten Entwurf: "schwerwiegende Beeinträchtigung") vorsieht, nicht zur Beseitigung der Unklarheiten, wann eine solche vorliegt.
Der Ausschuss lobt die in § 8b Abs. 6 BSIG-E vorgesehene Regelung zum Datenschutz bezüglich der bei der Meldepflicht verwendeten personenbezogenen Daten, als nunmehr klare Zweckbindung der Behörden. Allerdings fehle in dem überarbeiteten Gesetzesentwurf eine gesetzliche Regelung zugunsten der Nutzer, die ein Angebot von Authentifizierungsverfahren zu angemessenen Bedingungen vorsieht, wie es zuvor noch in § 13 Abs. 7 TMG-E vorgesehen war, der nunmehr ersatzlos entfallen ist.
Am 20.4.2015 fand eine öffentliche Anhörung zum Thema "Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz)" im Innenausschuss des Bundestages statt. Im Rahmen dieser Anhörung haben diverse Sachverständige ihre Stellungnahmen abgegeben.
Michael Hange, Präsident des Bundesamtes für Sicherheit in der Informationstechnik
Herr Hange gab zunächst einen Einblick in die Verletzlichkeit von Systemen z.B aufgrund deren Vernetzung, Komplexität und der Erreichbarkeit eines jeden Systems über das Internet. Das Risiko eines Angriffs sei auch deswegen hoch, weil das Entdeckungsrisiko gering und die Masse der möglichen Ziele dagegen groß sei.
Ihm zufolge sei es gerade im Bereich der kritischen Infrastrukturen erforderlich, dass die Zusammenarbeit mit den Behörden nicht mehr nur auf freiwilliger Basis stattfindet, sondern durch die Festlegung von Mindeststandards, Melde- und Warnpflichten, jährliche Lagebilder und Änderungen des TMG und des TKG, Gefährdungen ausgeschlossen oder zumindest minimiert werden, wofür im Einzelfall auch ein proaktives Vorgehen des BSI erforderlich sein könne, wofür es derzeit keine gesetzliche Grundlage gebe.
Prof. Dr. Gerrit Hornung, Universität Passau, Lehrstuhl für öffentliches Recht, IT-Recht und Rechtsinformatik
Prof. Hornung hält den Gesetzentwurf für einen sinnvollen Ansatz. Ziel müsse allerdings die Verbesserung der IT-Sicherheit als solcher sein, wofür einzuhaltende Branchenstandards ein probates Mittel sein können. Hierbei sei aber insbesondere die Überprüfung der Einhaltung dieser Standards kritisch, weshalb hierzu dezidiertere Regelungen erforderlich seien. Auch benötige das BSI Durchsetzungsbefugnisse bei nicht kooperativen Betreibern.
Linus Neumann, Chaos Computer Club (CCC)
Linus Neumann sieht technisch zwei Möglichkeiten um die IT-Sicherheit zu verbessern. Prävention, durch Auffinden und Entfernen von Bugs und für den Fall das dennoch ein Schaden eintritt, seine Vorkehrungen zu treffen um Schäden zu minimieren. Er kritisiert, dass der Endnutzer im IT-Sicherheitsgesetz zu wenig Beachtung finde. Wichtig ist auch für ihn, dass Schäden von vorneherein verhindert und nicht lediglich nach Schadenseintritt gemeldet werden müssen, so dass die Anforderungen an die Sicherheitsstandards erhöht werden müssen, auch wenn das Investitionen erfordert.
Iris Plöger, Bundesverband der Deutschen Industrie e.V., Leiterin der Abteilung Digitalisierung
Iris Plöger pochte auf das Eigeninteresse der Betreiber an erhöhter IT-Sicherheit. Die Meldepflicht hält sie für unverhältnismäßig, insbesondere deswegen, weil deren Nutzen nicht einschätzbar und sie mit finanziellem und bürokratischem Aufwand verbunden sei. Daneben betont sie das bereits im Vorfeld viel diskutierte Problem der fehlenden Klarheit in Bezug auf die Definition der kritischen Infrastrukturen.
Prof. Dr. Alexander Roßnagel, Universität Kassel, Institut für Wirtschaftsrecht
Prof. Roßnagel begrüßt den Gesetzesentwurf grundsätzlich und hält auch die vorgesehenen Maßnahmen für geeignet, wobei seiner Meinung nach wichtig ist, dass der
Stand der Technik nicht nur berücksichtigt, sondern eingehalten werde. Auch sollte präziser geregelt werden, wann eine Meldepflicht besteht und wann nicht. Verbesserungspotential sieht Prof. Roßnagel insbesondere hinsichtlich der Information der Öffentlichkeit und einer fehlenden Sanktionsmöglichkeit und kritisiert daneben auch den § 100 TKG als unverhältnismäßige Erlaubnis zur anlasslosen Speicherung von Verkehrsdaten.
Prof. Dr.-Ing. Jochen Schiller, Freie Universität Berlin, Institute of Computer Science
Prof. Schiller zufolge ist aufgrund der dynamischen Entwicklung der Technik zunächst ein grundlegender Bewusstseinswandel hinsichltich der Sicherheit von Systemen notwendig, wofür das IT-Sicherheitsgesetz der Startschuss sein könne. Kritisch sieht er vor allem den vorgesehenen Wirkungsbereich durch die Beschränkung auf kritische Infrastrukturen. 75 % aller Angriffe beträfen derzeit kleine und mittlere Unternehmen, die in ihrer Gesamtheit auch kritische Infrastrukturen in diesem Sinne darstellen könnten.
Dipl.-Ing. (FH) Thomas Tschersich, Deutsche Telekom AG, Leiter Group Security Services
Herr Tschersich zufolge fehlt im IT-Sicherheitsgesetz vor allem die Einbeziehung der Hard- und Softwarehersteller. Angreifer nutzen typischerweise Schwachstellen in Systemen aus, die der Betreiber alleine nicht beheben kann, sondern hierbei auf Know-How und Unterstützung des Herstellers angewiesen ist. Seiner Vermutung nach würden heute bereits 95 Prozent aller Angriffe scheitern, wenn tatsächlich alle auf dem Stand der Technik wären.
Dr. Axel Wehling, Gesamtverband der Deutschen Versicherungswirtschaft e.V., Geschäftsführer des Krisenreaktionszentrums der deutschen Versicherungswirtschaft
Ihm zufolge ist vor allem die anonymisierte Meldung von Angriffen wichtig. Außerdem der branchenspezifischen Ansatz, der aber auch in Bezug auf Sicherheitsaudits und Zertifizierungen branchenspezifische Lösungen vorsehen sollte, weshalb noch kleinere Anpassungen erforderlich sind.
Beatrice Goihl - ecambria experts, Köln
Am 13.2.2015 hat das unabhängige Landeszentrum für Datenschutz Schleswig-Holstein (ULD) eine Stellungnahme zu dem Entwurf eines IT-Sicherheitsgesetzes veröffentlicht.
Das ULD kritisiert in seiner Stellungnahme vor allem, dass Nichtvorhandensein von Verarbeitungsregeln für die verpflichteten Unternehmen, sowie den Umstand, dass Zweckbindungsregeln bislang nur für das BSI vorgesehen sind.
Dem ULD zufolgen fehlen auch Vorgaben zur Datensparsamkeit, wie etwa solche zur Anonymisierung, Pseudonymisierung, frühzeitigen Löschung und Abschottung und das, obwohl die Bundesregierung in ihrem Entwurf, anders als noch im Referentenentwurf des BMI, zumindest festgestellt hat, dass bei den, nach dem geplanten IT-Sicherheitsgesetz zu übermittelnden Daten, welche üblicherweise rein technischen Natur sind, durchaus gleichzeitig ein Personenbezug gegeben seien kann.
Am 06.02.2015 hat der Bundesrat seine Stellungnahme zum IT-Sicherheitsgesetz abgegeben.
Den Emfehlungen der Ausschüsse folgend empfiehlt der Bundesrat der Regierung, im weiteren Gesetzgebungsverfahren ein besonderes Augenemerk auf die Konkretisierung der unbestimmten Rechtsbegriffe - insbesondere des der "kritischen Infrastrukturen" - zu legen um Planungs- und Rechtsicherheit zu gewährleisten.
Der Bundesrat bittet die Bundesregierung eine umfassende Kostenschätzung vorzunehmen bevor eine Bewertung des Gesetzesentwurfes vorgenommen werden kann. Die finanziellen Auswirkungen des Gesetzgebungsvorhabens auf die Länder und Kommunen sollen vor allem unter dem Gesichtspunkt geprüft werden, dass auch die Länder und Kommunen von der Neuregelung betroffen sein können, u.a. wenn sie als Teil der Wirtschaft agieren. Daneben rechnet der Bundesrat auch mit einem höheren Verwaltungsaufwand (z.B. aufgrund der erforderlichen engeren Zusammenarbeit mit dem BSI) und damit einhergehendem sachlichen und personellen Mehraufwand, der ebenfalls zunächst zu schätzen sei.
Am 4.2.2015 stellte das Land NRW hinsichtlich des IT-Sicherheitsgesetzes einen Antrag, der Bundesrat möge zu dem Gesetzesentwurf auch insoweit Stellung nehmen, als dass eine Änderung des Bundeskriminalgesetzes erfolgen solle. Im Einzelnen geht es dabei um § 4 Abs. 1 S. 1 Nr. 5 lit. b des BKAG, in dem bisher die Zuständigkeit des BKA bei Taten gegen "empfindliche Stellen von lebenswichtigen Einrichtungen, bei deren Ausfall oder Zerstörung eine erhebliche Bedrohung für die Gesundheit oder das Leben von Menschen zu befürchten ist[...] geregelt ist, und der dem Antrag zufolge um die Tatobjekte "Behörden oder Einrichtungen" zu erweitern sei.
Der Bundesrat ist dieser Bitte nichtgefolgt.
Am 27.1.2015 haben der Ausschuss für innere Angelegenheiten, der Finanzausschuss, der Umweltausschuss und der Wirtschaftsausschuss ihre Empfehlungen zu dem Entwurf des IT-Sicherheitsgesetzes abgegeben.
Die Ausschüsse empfehlen dem Bundesrat vor allem die unbestimmten Rechtsbegriffe weiter zu konkretisieren um nicht nur eine Planungs- sondern auch eine Rechtssicherheit zu schaffen. Insbesondere die Begriffe der "kritischen Infrastrukturen", "Stand der Technik" und "bedeutende Störung" seien zu unbestimmt.
Die Ausschüsse empfehlen außerdem ein besonderes Augenmerk auf einen angemessenen Schutz und die sinnvolle Verwendung der umfangreichen Datenmengen zu legen, die das BSI aufgrund der gesetzlichen Meldepflicht erhalten wird. Hierbei handelt es sich den Ausschüssen zufolge um eine Vorratsdatenspeicherung, die sich insoweit innerhalb der, durch das Bundesverfassungsgericht und den europäischen Gerichtshof, eng gesteckten Grenzen bewegen muss. Daneben sei im Hinblick auf Atomkraftwerke auf mögliche Überschneidungen mit bestehenden gesetzlichen Regelungen für Kernkraftwerke und Reaktorsicherheit zu achten.
Am 17.12.2014 hat die Bundesregierung den Gesetzesentwurf für ein IT-Sicherheitsgesetz beschlossen.
Der Gesetzesentwurf wurde hierzu noch einmal überarbeitet und dabei insbesondere die Kritik der Datenschützer beachtet, die eine Vorratsdatenspeicherung durch die Hintertür befürchteten (s.u.).
Die Formulierung, wonach "Diensteanbieter Nutzungsdaten zum Erkennen, Eingrenzen oder Beseitigen von Störungen seiner technischen Einrichtungen erheben und verwenden" dürfen, wurde ersatzlos gestrichen. Stattdessen sollen die Anbieter durch technische und organisatorische Vorkehrungen, wie anerkannte Verschlüsselungsverfahren sicherstellen, dass kein unerlaubter Zugriff erfolgen kann.
Der Deutsche Anwaltverein hat zu dem Gesetzesentwurf Stellung genommen, beschränkt sich hierbei allerdings auf die informations- und datenschutzrechtlich relevanten Änderungen des BSIG, des TMG und des TKG.
Am 04.11.2014 wurde ein neuer Referentenentwurf zum IT-Sicherheitsgesetz vorgelegt.
Neben Änderungen hinsichtlich der Meldepflicht für Betreiber solcher kritischen Infratrukturen, die bereits aufgrund anderen Vorschriften einer vergleichabren Meldepflicht unterliegen und einer Änderung der Befugnis die Beseitigung der Sicherheitsmängel anzuordnen, die nun die BSI gemeinsam mit der jeweils zuständigen Aufsichtsbehörde haben soll, wurde auch die Meldepflicht überarbeitet.
Nachdem die Meldepflicht für Betreiber kritischer Infrastrukturen im Entwurf vom 05.03.2013 noch auf schwerwiegende Beeinträchtigungen beschränkt und diese Beschränkung sodann im Referentenentwurf vom 18.08.2014 gestrichen wurde findet sich im aktuellen Referentenentwurf nun das die Meldepflicht auslösende Erfordernis des Vorliegens einer "bedeutenden Störung" informationstechnischer Systeme.
Aus der Begründung des Gesetzesentwurfes ergibt sich, dass eine "bedeutende" Störung i.S.d. Gesetzesentwurfs dann vorliegt "wenn die eingesetzte Technik die ihr zugedachte Funktion nicht mehr richtig oder nicht mehr vollständig erfüllen kann oder versucht wurde, entsprechend auf sie einzuwirken".
Der im vorherigen Entwurf heftig kritisierte § 15 Abs. 9 TMG, der eine Erlaubnis zur umfassenden Datenspeicherung für Diensteanbieter enthält, wurde dagingehend erweitert, dass ausdrücklich die Verwendung der Daten zu anderen Zwecken ausser der Beseitiung, Eingrenzung und Erkennung von Hackerangriffen oder Missbrauch unzulässig ist. Darüber hinaus wird die unverzügliche Löschug für den Fall, dass die Nutzungsdaten für diesen Zweck nicht mehr benötigt werden vorgeschrieben.
Neu ist außerdem die Verpflichtung den betroffenen Nutzer zu unterrichten, sobald entsprechende Nutzerdaten erhoben und verwendet werden.
Am 18.8.2014 hat das Bundesinnenministerium einen Referentenentwurf für ein IT-Sicherheitsgesetz vorgelegt und den Beteiligten Ressorts der Bundesregierung zur weiteren Abstimmung zugeleitet, wobei im Vergleich zu dem Referentenentwurf aus März 2013 einige Veränderungen vorgenommen worden sind (zu den zentralen Regelungen und Problemfeldern siehe Leisterer/Schneider, CR 2014, 574 - 578).
Der Entwurf enthält - neben einer ausdrücklichen Zuweisung der höchsten Priorität - insbesondere die im Koalitionsvertrag vereinbarten Mindestsicherheitsanforderungen für kritische Infrastrukturen, die für das Funktionieren unseres Gemeinwesens von überragender Bedeutung sind, vor allem Telekommunikationsfirmen, Strom- und Wasserversorger, Verkehrsbetriebe, Banken und Krankenhäuser.
Auch wenn eine klare Defiinition der kritischen Infrastrukturen - und somit eine klare Abgrenzung des Geltungsbereichs - weiterhin weitestgehend fehlt (vgl. § 2 Abs. 10: "Betreiber Kritischer Infrastrukturen im Sinne dieses Gesetzes sind alle Unternehmen, die Kritische Infrastrukturen betreiben") wurde der Entwurf zumindest dahingehend verändert, dass eine Ausnahmeregelung für Kleinunternehmen mit weniger als 10 Mitarbeitern geschaffen werden soll.
Die Frist für die Betreiber kritischer Infrastrukturen angemessene organisatorische und technische Vorkehrungen zum Schutz der IT-Strukturen i.S.d. Entwurfs zu treffen, soll 2 Jahre betragen (vgl. § 8a), wobei ausdrücklich vorgesehen ist, dass die jeweiligen Branchenverbände Sicherheitsstandards vorschlagen können, die bei der Festlegung von branchenspezifischen Standards durch das Bundesamt für Sicherheit in der Informationstechnik (BSI) (vgl. § 8 Absatz 1 Satz 1) bei Eignung anerkannt werden sollen (§ 8a Abs. 2). Betreiber die bereits vergleichbaren Anforderungen aufgrund anderer Sicherheitskataloge unterliegen, wie etwa Energie - oder Telekommunikationsanbieter sollen hingegen von dieser Verpflichtungen ausgenommen werden.
Der Referentenentwurf sieht außerdem vor, anstatt die Unternehmen regelmäßig hinsichtlich der Erfüllung der durch das IT-Sicherheitsgesetz vorgeschriebenen Anforderungen zu überprüfen, eine Verpflichtung zum Nachweis der Erfüllung durch die Betreiber einzuführen.
Hinsichtlich der Informationspflichten der Betreiber bei Beeinträchtigungen ihrer Systeme an die vom BSI einzurichtende zentrale Meldestelle für Betreiber kritischer Infrastrukturen, wird im Gegensatz zum vorherigen Gesetzesentwurf die Einschränkung auf schwerwiegende Beeinträchtigungen gestrichen, um eine weitgehende Informationspflicht sicherzustellen, wobei auch hierbei diejenigen Betreiber ausgenommen werden sollen, die bereits anderweitigen Meldepflichten unterliegen. Die Kritik am vorherigen Entwurf seitens der Wirtschaft, dass Meldungen von Vorfällen dem Image der Unternehmens erheblich schaden würden, wurde dahingehend berücksichtigt, dass laut dem einzuführenden § 8a Abs. 4 bei lediglich potentiellen Vorfällen ohne tatsächliche Beeinträchtigung oder Ausfälle eine anonyme Meldung möglich sein soll.
Hinsichtlich der geplanten Änderungen des Telemedien- und des Telekommunikationsgesetzes (TMG/TKG) sieht sich der Referentenentwurf erheblicher Kritik ausgesetzt, soweit in § 15 Absatz folgender Absatz 9 eingefügt werden soll:
"(9) Soweit erforderlich, darf der Diensteanbieter Nutzungsdaten zum Erkennen, Eingrenzen oder Beseitigen von Störungen seiner für Zwecke seines Telemedienangebotes genutzten technischen Einrichtungen erheben und verwenden."
Auch wenn Anbieter diese Daten nur erheben und verwenden dürfen sollen, um Angriffe auf ihre Systeme zu erkennen oder Störungen zu beseitigen, sieht der Arbeitskreis Vorratsdatenspeicherung hier die Gefahr der Einführung einer Vorratsdatenspeicherung durch die Hintertür und kritisiert den Entwurf heftig.
Das Innenministerium weist diese Kritik bislang unter dem Hinweis darauf zurück, dass nur Daten erhoben und verwendet werden dürfen, die ein Anbieter tatsächlich braucht, um Hacker-Angriffe zu erkennen und abzuwehren und dass hierdurch insbesondere keine staatlichen Eingriffsbefugnisse geschaffen würden.
Welche Daten das seien sollen, die ein Anbieter tatsächlich zur Abwehr braucht, bleibt allerdings fraglich.
Beatrice Goihl - ecambria experts, Köln
Am 7.7.2014 veröffentliche BITKOM eine gemeinsam mit anderen Verbänden in Auftrag gegebene Studie zum geplanten IT-Sicherheitsgesetz. Ausgeführt von KPMG unter Beteiligung der Wirtschaft und insbesondere der IT-Branche wurden hier konkrete Vorschläge zur Umsetzung der geplanten Meldepflicht, der Mindeststandards und weiteren legislativen Maßnahmen unterbreitet.
Am 5.3.2013 hatte das Bundesministerium des Innern einen Referentenentwurf für ein IT-Sicherheitsgesetz vorgelegt. Das Thema hat nun auch Eingang in den Koalitionsvertrag gefunden und sollte daher in der kommenden Legislaturperiode weiter vorangetrieben werden.
Ziel des Gesetzes ist es, den Schutz der Integrität und Authentizität datenverarbeitender Systeme zu verbessern und der - aufgrund vermehrter Angriffe auf IT-Systeme - gestiegenen Bedrohungslage anzupassen. Der Entwurf sieht mehrere Änderungen und Erweiterungen in den einschlägigen Gesetzen vor.
In § 2 des BSI-Gesetzes soll ein Absatz 10 eingefügt werden. Dieser enthält eine Begriffsbestimmung für die kritischen Infrastrukturen. Generell sollen dies verschiedene Arten von Einrichtungen sein, die von hoher Bedeutung für das Gemeinwesen sind und durch deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe oder erhebliche Störungen der öffentlichen Sicherheit eintreten würden.
Gesammelte Informationen über Sicherheitsrisiken sollen vom Bundesamt für Sichehreit in der Informationstechnik in Zukunft auch Dritten (vorher: "andere Stellen") zur Verfügung gestellt werden können. Betreiber von kritischen Infrastrukturen sollen verpflichtet werden, dem Stand der Technik entsprechende Sicherheitsvorkehrungen zu treffen. Zur Überprüfung der Vorkehrungen sind Sicherheitsaudits durchzuführen, deren Ergebnisse mindestens alle zwei Jahre an das BSI übermittelt werden müssen. Bei Sicherheitsmängeln kann das BSI unverzügliche Beseitigung selbiger verlangen. Darüber hinaus soll das BSI Informationen über aktuelle Gefährdungspotentiale in der Informationstechnik sammeln und auswerten. Die Betreiber haben Warn- und Alarmierungskontakte zu benennen, damit die Betroffenen bei schwerwiegenden Beeinträchtigungen informiert werden können. Umgekehrt müssen sie im Falle von Beeinträchtigungen ebenfalls Meldung beim BSI erstatten.
Ferner ist im Entwurf eine Änderung des TMG vorgesehen. Für Anbieter von entgeltlichen Telemediendiensten soll der Pflichtenkatalog des § 13 TMG erweitert werden. Sie sollen dem Stand der Technik entsprechende Sicherheitsvorkehrungen oder sonstige Maßnahmen treffen, um unerlaubte Zugriffe zu vermeiden, soweit dies technisch möglich und zumutbar ist.
Auch im TKG sollen die Betreiber von öffentlichen Kommunikationsnetzen oder öffentlich zugänglichen Telekommunikationsdiensten verpflichtet werden, die Bundesnetzagentur unverzüglich zu informieren, wenn Beeinträchtigungen, die zu einer Störung der Verfügbarkeit der Netze oder zu einem unerlaubten Zugriff auf Telekommunikations- und Datenverarbeitungssysteme der Nutzer oder Teilnehmer führen können, vorliegen. Die Bundesnetzagentur soll die Informationen dann wiederum an das BSI weitergeben.
Der Entwurf ist vom Branchenverband BITKOM kritisiert worden. Für die vorgesehenen Meldepflichten von IT-Sicherheitsvorfällen müsse klar gestellt werden, welche Unternehmen betroffen und welche Ereignisse meldepflichtig seien. In diesen Punkten ist der Entwurf nach Ansicht des Verbandes zu ungenau. Weiter setze man sich für eine freiwillige Meldung von IT-Sicherheitsvorfällen ein. Auch der Verband eco übt Kritik an dem Entwurf. ITK-Sicherheit sei für die Internetwirtschaft bereits seit Jahren eine Selbstverständlichkeit. Gesetzliche Maßnahmen zur Implementierung eines Mindestsicherheitsstandards, wie sie der Entwurf vorsehe, erscheinen überholt, allenfalls sachfremd.
Auf Seite 147 des Koalitionsvertrages zwischen CDU, CSU und SPD heißt es: "Wir schaffen ein IT-Sicherheitsgesetz mit verbindlichen Mindestanforderungen an die IT-Sicherheit für die kritischen Infrastrukturen und der Verpflichtung zur Meldung erheblicher IT-Sicherheitsvorfälle."
Inwieweit der bisherige Entwurf als Vorlage dienen und ob die bisherige Kritik berücksichtigt wird, wird sich in der kommenden Legislaturperiode zeigen.
Autor: Ass.iur. Jan Leiterholt, Institut für Rechtsinformatik, Hannover
2015-7: BGBl. 2015 Teil I Nr. 31, S. 1324 |
2015-6: Empfehlungen des Innenausschusses v. 10.6.2015, Drs.: 18/5121 |
2015-2: Gesetzesentwurf der Bundesregierung v. 25.2.2015 - Drs.:18/4096 |
2015-2: Stellungnahme des ULD v. 13.2.2015 |
2015-2: Stellungnahme des Bundesrates v. 6.2.2015 |
2015-2: Antrag des Landes NRW v. 4.2.2015 |
2015-1: Empfehlungen der Ausschüsse v. 27.1.2015 |
2014-12: Gesetzesentwurf der Bundesregierung v. 29.12.2014, Drs.: 643/14 |
2014-12: Gesetzesentwurf der Bundesregierung v. 17.12.2014 |
2014-12: Stellungnahme des DAV zum IT-Sicherheitsgesetz |
2014-11: Referentenentwurf IT-Sicherheitsgesetz v. 6.11.2014 |
2014-11: Lagebericht des BSI zur IT-Sicherheit in Deutschland |
2014-8: Referentenentwurf IT-Sicherheitsgesetz v. 18.8.2014 |
2014-7: BITKOM Studie zur IT-Sicherheit in Deutschland v. 7.7.2014 |
2014-4: Stellungnahme des Deutschen Anwaltvereins v. 21.4.2014 |
2013-3: Referentenentwurf IT-Sicherheitsgesetz v. 5.3.2013 |
2007: BSI Leitfaden: Bedrohung der Informationssicherheit durch den gezielten Einsatz von Schadprogrammen - Teil I |
2007: BSI Leitfaden: Bedrohung der Informationssicherheit durch den gezielten Einsatz von Schadprogrammen - Teil II |
2007: BSI Leitfaden: Bedrohung der Informationssicherheit durch den gezielten Einsatz von Schadprogrammen - Teil III |
2007: BSI Leitfaden: Bedrohung der Informationssicherheit durch den gezielten Einsatz von Schadprogrammen - Teil IV |