Autoren: Caroline Heinickel, LL.M. (Baker & McKenzie Frankfurt) und Dr. Lukas Feiler, SSCP (Baker & McKenzie Wien)
Am 4.11.2014 wurde ein neuer Referentenentwurf zum IT-Sicherheitsgesetz vorgelegt („IT-SiG-E“). Die wichtigsten Änderungen im Verhältnis zu dem Vorgängerentwurf lassen sich wie folgt zusammenfassen:
Sektorspezifische Meldepflicht:Â
Für Betreiber von Energieversorgungsnetzen oder Energieanlagen im Sinne des Energiewirtschaftsgesetzes, welche eine kritische Infrastruktur (KI) betreiben, wird in § 11 Abs. 1b und 1c Energiewirtschaftsgesetz i.d.F. IT-SiG-E eine sektorspezifische Pflicht zur Meldung von Sicherheitsvorfällen aufgenommen. Da § 11 Abs. 1a EnWG bereits eine sektorspezifische Regelung für den Energiebereich enthält, ist es konsequent, diese Regelung zu ergänzen und die unter diese Regelung fallenden KI-Betreiber von den allgemeinen Verpflichtungen nach dem BSIG auszunehmen.
Ausnahme Telematikinfrastrukturen:
Die Pflichten zur Implementierung von Sicherheitsmaßnahmen sowie zur Meldung von Sicherheitsvorfällen (§§ 8a, 8b BSIG i.d.F. IT-SiG-E) sollen keine Anwendung finden auf Betreiber von Telematikinfrastrukturen nach § 291a des Sozialgesetzbuchs Fünftes Buch (§ 8c Abs. 2 und 3 BSIG i.d.F. IT-SiG-E).
Sicherheitsmängel-Beseitungs-Anordnung durch BSI und jeweilige Aufsichtsbehörde:
Die Befugnis, die Beseitigung von Sicherheitsmängeln anzuordnen, soll das BSI gemäß § 8a Abs. 3 BSIG i.d.F. IT-SiG-E nun im Benehmen mit der für den KI-Betreiber zuständigen Aufsichtsbehörde haben. Diese Änderung ist zu begrüßen, da so ein kohärentes Vorgehen der Aufsichtsbehörde und des BSI sichergestellt wird.
Pflicht zu pseudonymer Sicherheitsvorfall-Meldung bei „bedeutender Störung“:
Wie bereits der Vorgängerentwurf vom August 2014 sieht der aktuelle IT-SiG-E v. 4.11.2014 ebenso eine verpflichtende Meldung gewisser Sicherheitsvorfälle ohne Nennung des Namens des Betreibers (pseudonyme Meldung) sowie in Fällen, in denen eine Beeinträchtigung der KI eintritt, eine Meldung unter Namensnennung (personalisierte Meldung) vor (§ 8b Abs. 4 BSIG i.d.F. IT-SiG-E). Auslöser für die verpflichtende pseudonyme Meldung ist nicht mehr eine nicht näher definierte „Beeinträchtigung“ informationstechnischer Systeme, die zu einer Beeinträchtigung der KI führen kann, sondern eine „bedeutende Störung“ informationstechnischer Systeme, sofern diese zu einer Beeinträchtigung der KI führen kann. Der Begründung des IT-SiG-E ist zu entnehmen, dass eine Störung iSd Gesetzes dann vorliegt
„wenn die eingesetzte Technik die ihr zugedachte Funktion nicht mehr richtig oder nicht mehr vollständig erfüllen kann oder versucht wurde, entsprechend auf sie einzuwirken. Dazu zählen insbesondere Fälle von Sicherheitslücken, Schadprogrammen und erfolgten, versuchten oder erfolgreich abgewehrten Angriffen auf die Sicherheit in der Informationstechnik sowie außergewöhnliche und unerwartete technische Defekte mit IT-Bezug (z.B. nach Softwareupdates oder ein Ausfall der Serverkühlung).“
Diese Definition ist aus zwei Gründen problematisch und unpraktikabel:
- Meldepflicht auch bei Versuch: Erstens soll auch ein versuchter Angriff eine Meldepflicht begründen. Derartige Angriffsversuche sind jedoch außerordentlich häufig (in vielen Fällen hunderte pro Tag). So ist jeder mit dem Internet verbundene Computer regelmäßig mit Anfragen diverse Schadsoftware konfrontiert. Ob es sich bei diesen Angriffsversuchen um solche handelt, welche die KI beeinträchtigen können – und damit eine pseudonyme Meldung erfordern – lässt sich allerdings kaum feststellen.
- Meldepflicht auch bei Sicherheitslücken: Zweitens sollen auch „Fälle von Sicherheitslücken“ eine Störung darstellen. Neue Sicherheitslücken in Standard-Software werden jedoch nahezu im Monats-Rhythmus entdeckt (und innerhalb kurzer Zeit durch Updates des Softwareherstellers geschlossen). Es erscheint daher wenig praktikabel, jedes Bekanntwerden einer Sicherheitslücke, welche potentiell zu einer Beeinträchtigung der KI führen kann, einer (pseudonymen) Meldepflicht zu unterwerfen.
Fazit
Die Neufassung des IT-SiG-E bringt zwar einige Verbesserungen im Sinne der Rechtssicherheit, weist aber immer noch eine Vielzahl der Schwachstellen auf, welche in folgendem Aufsatz im Novemberheft CRÂ anschaulich aufgezeigt sind:
Heinickel/Feiler, „Der Entwurf für ein IT-Sicherheitsgesetz – europarechtlicher Kontext und die (eigentlichen) Bedürfnisse der Praxis“, CR 2014, 708-714.
Diese sollten im weiteren Verlauf des Gesetzgebungsverfahrens behoben werden, um Cybersecurity „mit Augenmaß“ zu gewährleisten.