Upgrade fürs BSI : Das „IT-Sicherheitsgesetz 2.0“ sieht deutliche Kompetenzerweiterungen für das Bundesamt vor

Von Stefan Jaeger, Wiesbaden

Bereits vor knapp 30 Jahren, als der Autor begann sich für IT-Kriminalität zu interessieren, war beim Blick in die Zukunft absehbar, dass durch eine zunehmende Automatisierung der Mensch und die Gesellschaft immer mehr von der automatisierten Bearbeitung von Bits und Bytes abhängig würden. Das damit verbundene Bedrohungsszenario hatte man offenbar auch aufseiten des Gesetzgebers früh erkannt und unter anderem durch das Bundesamt für Sicherheit in der Informationstechnik (BSI) eine Behörde geschaffen, die dieser Bedrohung etwas entgegensetzen sollte – was auch geschah und geschieht: durch Begleitung, Informationen, Empfehlungen und Warnungen.

An der Schwelle zum „Smart Home“ und einem allgegenwärtigen Internet of Things (IoT) scheint sich das Innenministerium nun das Motto „Nicht kleckern, sondern klotzen!“ gesetzt zu haben. Man hat offenbar eine Vielzahl bedrohter Strukturen ausgemacht und will nun mit der zweiten Fassung und Ausweitung des IT-Sicherheitsgesetzes („IT-SiG 2.0“) eine gesetzliche Grundlage schaffen, um wirksam eingreifen zu können. Endlich wartet dabei der deutsche Gesetzgeber einmal nicht ab, bis die EU eine Richtlinie vorlegt, an der man sich orientiert, sondern geht aktiv in die Vorreiterrolle – zum Beispiel wenn es um die Verpflichtung von Inhaltsanbietern wie Host-Providern oder Google, aber auch Facebook oder Instagram geht, bei denen rechtswidrige Inhalte einstehen, deren Löschung nur der Provider selbst veranlassen kann.

Die EU hängt hier mit ihren Initiativen noch hinterher – teils auch wegen erheblicher rechtlicher Bedenken. So kommentierte etwa der UN-Sonderberichterstatter David Kaye den umstrittenen Artikel 13 der europäischen Urheberrechtsreform: „Artikel 13 der vorgeschlagenen Richtlinie scheint dazu bestimmt zu sein, Internetplattformen zur Überwachung und Einschränkung von nutzergenerierten Inhalten sogar zum Zeitpunkt des Hochladens zu bewegen. Ein so umfassender Druck zur Filterung vor der Veröffentlichung ist weder eine Notwendigkeit noch eine verhältnismäßige Antwort auf Online-Urheberrechtsverstöße.“

BSI als Superbehörde

Der vorliegende Referentenentwurf des Bundesministeriums des Innern, für Bau und Heimat (BMI) eines „Zweiten Gesetzes zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz 2.0 – IT-SiG 2.0)“ stammt vom 27. März 2019 und wurde zeitnah unter anderem von netzpolitik.org und intrapol.org im Volltext veröffentlicht (http://intrapol.org/wp-content/uploads/2019/04/IT-Sicherheitsgesetz-2.0-_-IT-SiG-2.0.pdf).

Dem Entwurf zufolge sollen die Aufgaben des BSI erheblich ausgeweitet werden – 864 neue Planstellen sollen dabei helfen, die neuen Aufgaben zu erledigen. So sollen alleine 8 Planstellen zur Bekämpfung von Identitätsdiebstählen dienen, 168 Planstellen bei der Zertifizierung neuer 5G-Komponenten tätig werden und 169 Planstellen Verbraucher informieren, sensibilisieren und insgesamt dafür sorgen, dass sichere Produkte eingesetzt werden.

Um Gefahren für die Kommunikationstechnik staatlicher Stellen besser zu begegnen, soll das BSI zusätzliche 64 Planstellen bekommen. Weitere Ressourcen erfordert unter anderem die Einrichtung einer Meldestelle sowie die Aufstockung der „Mobile Incident Response Teams“ (MIRT) als „eine Art GSG 9“ für akute Zwischenfälle und für die Bewältigung der weiteren neuen Aufgaben. Der Entwurf macht bei näherer Betrachtung das BSI zu einer Art Superbehörde, was IT-Sicherheit und Bekämpfung von IT-Kriminalität angeht.

So befindet sich beispielsweise im neu zu schaffenden § 4a BSIG (E) eine sehr weitgehende Kontrollmöglichkeit der Kommunikationstechnik des Bundes durch das BSI. Das Amt soll hiernach befugt sein, die Sicherheit der Kommunikationstechnik des Bundes und ihrer Komponenten einschließlich technischer Infrastrukturen, die zu deren Betrieb erforderlich sind, zu überprüfen und zu kontrollieren. Es kann hierzu nicht nur die Bereitstellung aller erforderlichen Informationen fordern, sondern hat quasi ein Einsichtsrecht in die komplette technische Infrastruktur, deren Unterlagen und Datenträger – das BSI erhielte nach § 4a Abs. 2 BSIG (E) sogar ein jederzeitiges Zutrittsrecht zu den üblichen Öffnungszeiten der jeweiligen Behörde. Gibt es Schnittstellen zu Dritten, hat das BSI auch hier weitgehende Rechte, denn nach Abs. 3 darf es auch dort die Sicherheit der Schnittstellen überprüfen und kontrollieren sowie notwendige Informationen und Unterlagen einsehen.

Nach § 4b BSIG (E) wird das BSI zudem zu einer zentralen Meldestelle, indem es zur Aufgabe hat, Informationen über Sicherheitsrisiken in der Informationstechnik zu sammeln und auszuwerten. Die gesammelten Informationen darf das BSI vor allem verarbeiten, um Dritte über bekannt gewordene Sicherheitslücken und Sonstiges zu informieren oder auch die Öffentlichkeit zu warnen.

Um seine Arbeit effektiv ausführen zu können, dürfte das BSI zukünftig nach § 5a BSIG (E) auch behördeninterne Protokollierungsdaten erheben und auch automatisiert auswerten. § 5c BSIG (E) soll die Sicherheit und Funktionsfähigkeit informationstechnischer Systeme im Falle erheblicher Störungen verbessern und ermächtigt dazu das Amt, im Einvernehmen mit dem Bundesamt für Bevölkerungsschutz und Katastrophenhilfe sowie der jeweils zuständigen Aufsichtsbehörde des Bundes Krisenreaktionspläne aufzustellen, um im Fall einer erheblichen Störung Versorgungsengpässe oder Gefährdungen für die öffentliche Sicherheit auszuschließen oder ihnen zumindest wirksam entgegenzutreten.

Nach dem neu geschaffenen § 5d soll das BSI die Möglichkeit erhalten, von jedem, der geschäftsmäßig Telekommunikationsdienste erbringt oder daran mitwirkt, Auskunft über Bestandsdaten der Telekommunikationsanbieter zu verlangen, wenn eine solche unmittelbare Kontaktaufnahme notwendig ist, um im Einzelfall weitergehende Angriffe auf die Sicherheit oder auf die Funktionsfähigkeit informationstechnischer Systeme zu verhindern oder sonstige Schäden von Dritten abzuwenden. Soweit in § 5d Abs. 2 steht „Die Auskunft nach Absatz 1 darf auch anhand einer zu einem bestimmten Zeitpunkt zugewiesenen Internetprotokoll-Adresse verlangt werden…“, ist dies zwar vielleicht etwas schräg formuliert, besagt aber letztlich nichts anderes, als dass Auskünfte verlangt werden dürfen, wenn lediglich die einem Anschlussinhaber zu einem bestimmten Zeitpunkt zugewiesene IP-Adresse vorliegt. Damit wird es dem BSI praktisch möglich sein, zu einer IP-Adresse den dahinterstehenden Anschlussinhaber zu ermitteln.

Schon bisher durfte das BSI nach § 7a BSIG zur Erfüllung seiner Aufgaben auf dem Markt bereitgestellte oder zur Bereitstellung auf dem Markt vorgesehene informationstechnische Produkte und Systeme untersuchen und die Ergebnisse zur Erfüllung bestimmter Aufgaben nutzen. Gemäß der Neufassung von § 7a Abs. 2 BSIG (E) darf das Amt von Herstellern notwendige Auskünfte im Rahmen solcher Untersuchungen auch über technische Details verlangen. Diese Auskunft ist mittels einer festgelegten Frist zu erteilen, ansonsten kann die Nichtauskunft als Ordnungswidrigkeit mit einer Geldbuße von bis zu 10 Mio. € oder bis zu 2 % des gesamten weltweit erzielten jährlichen Unternehmensumsatzes des vorangegangenen Geschäftsjahres geahndet werden, je nachdem welcher Betrag höher ist (§ 14 Abs. 1 Ziffer 3 BSIG E).

Einem neu zu schaffenden § 7b zufolge kann das BSI zudem zur Erfüllung seiner Aufgaben Maßnahmen zur Detektion und Auswertung von Schadprogrammen, Sicherheitslücken und anderen Sicherheitsrisiken in öffentlich erreichbaren informationstechnischen Systemen durchführen, wenn sich Anhaltspunkte ergeben, dass diese ungeschützt sind und dadurch in ihrer Sicherheit oder Funktionsfähigkeit gefährdet sein können. Werden hierbei zufällig Fernmeldegeheimnisse erlangt, dürfen diese nur entsprechend § 5 Abs. 5 und 6 BSIG übermittelt werden. Als „ungeschützt“ im Sinne dieses Paragrafen gilt ein System dann, wenn öffentlich bekannte Sicherheitslücken bestehen und wenn aufgrund offensichtlich unzureichender Sicherheitsvorkehrungen von unbefugten Dritten auf das System zugegriffen werden könnte. Wird eine solche Beeinträchtigung erkannt, so sind die hierfür Verantwortlichen oder der betreibende Dienstleister des jeweiligen Netzes oder Systems unverzüglich davon zu unterrichten. Das BSI hätte dann auch die Anordnungsbefugnis für Maßnahmen gemäß Telekommunikationsgesetz (§ 109a Abs. 4 TKG).

KRITIS-Kernkomponenten

Betreiber kritischer Infrastrukturen (KRITIS) sind nach § 8a Abs. 1a BSIG (E) verpflichtet, angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität, Authentizität oder Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse zu treffen, die für die Funktionsfähigkeit der von ihnen betriebenen Infrastrukturen maßgeblich sind. Dies umfasst auch den Einsatz von Systemen zur Angriffserkennung – für die Verarbeitung hierzu erforderlicher Daten schafft der Entwurf eine Rechtsgrundlage.

KRITIS-Kernkomponenten dürfen zudem nur von solchen Herstellern bezogen werden, die vor dem erstmaligen Einsatz der Komponenten eine Vertrauenswürdigkeitserklärung abgegeben haben. Betreiber sind ferner verpflichtet, kritische Infrastrukturen im Sinne des § 2 Abs. 10 in Verbindung mit der Rechtsverordnung nach § 10 Abs. 1 beim BSI zu registrieren und eine Kontaktstelle zu benennen. Sie müssen hierüber jederzeit erreichbar sein.

Im Einzelfall können die Pflichten nach §§ 8a und 8b BSIG (E) auch Betreibern von Anlagen(teilen) auferlegt werden, die den Sektoren Energie, Informationstechnik und Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung sowie Finanz- und Versicherungswesen angehören und die von hoher Bedeutung für das Funktionieren des Gemeinwesens sind, weil durch ihren Ausfall oder ihre Beeinträchtigung wesentliche Versorgungsengpässe oder Gefährdungen für die öffentliche Sicherheit eintreten würden (§ 2 Abs. 10 Ziffer 1 und 2 BSIG E).

Wer IT-Produkte für solche Anlagen herstellt, wäre künftig nach § 8h BSIG (E) verpflichtet, Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit unverzüglich dem BSI zu melden, wenn die Anwendung dieses IT-Produktes zu einem Ausfall oder zumindest zu einer erheblichen Beeinträchtigung solcher Anlagen führen kann – Gleiches gilt für Hersteller von KRITIS-Kernkomponenten.

Für verschiedene Produktkategorien, die in einer Rechtsverordnung aufzuführen sind, könnte ein IT-Sicherheitskennzeichen zum Einsatz kommen, dessen Nutzung allerdings für die Hersteller freiwillig ist. Das Kennzeichen umfasst eine sogenannte Herstellererklärung und eine BSI-Sicherheitsinformation. Erfüllt ein Produkt die Anforderungen für die Verwendung des IT-Sicherheitskennzeichens, dürfte es auch für Werbung genutzt werden.

Bestimmte Verstöße gegen die neu aufgestellten Verpflichtungen können nach § 14 BSIG (E) als Ordnungswidrigkeit – nach dem Vorbild der EU-Datenschutzgrundverordnung (DSGVO) – mit einer Geldbuße bis zu 10 Mio. € (alternativ bis zu 2 % des gesamten weltweit erzielten jährlichen Unternehmensumsatzes des vorangegangenen Geschäftsjahres) oder mit einer Geldbuße bis zu 20 Mio. € und entsprechend 4 % des Umsatzes geahndet werden.

Schutz des Betriebsgeheimnisses

Eine weitgehende Änderung erführe dem Entwurf zufolge auch § 99 des Strafgesetzbuchs (StGB), der eine geheimdienstliche Agententätigkeit sanktioniert. Wenn künftig fremde Geheimnisse (namentlich ein Betriebs- oder Geschäftsgeheimnis) oder Tatsachen, Gegenstände oder Erkenntnisse, die von einer amtlichen Stelle oder auf deren Veranlassung geheim gehalten werden, betroffen sind oder falls in ein informationstechnisches System, in dem ein solches Geheimnis gespeichert ist, eingedrungen wird oder durch die Tat die Gefahr eines schweren Nachteils für die Bundesrepublik Deutschland herbeigeführt würde, so definiert der Entwurf dies als eine besonders schwere Tat, die mit Freiheitsstrafe von 1 Jahr bis zu 10 Jahren sanktioniert werden kann.

Neu eingeführt würde § 126a StGB, der es unter Strafe stellt, Leistungen zur Begehung von Straftaten internetbasiert zugänglich zu machen. Ebenfalls neu wäre § 200e StGB, wonach mit Freiheitsstrafe bis zu einem Jahr bestraft werden kann, wer sich oder einem Dritten unbefugt Zugang zu einem informationstechnischen System verschafft, ein informationstechnisches System unbefugt in Gebrauch nimmt oder einen Datenverarbeitungsvorgang oder einen informationstechnischen Ablauf auf einem informationstechnischen System unbefugt beeinflusst oder in Gang setzt. Hierbei ist nach Abs. 2 bereits der Versuch strafbar. Der neu eingeführte § 202f StGB definiert zudem besonders schwere Fälle einer Straftat gegen die Vertraulichkeit oder Integrität informationstechnischer Systeme.

In die Strafprozessordnung würde § 163g StPO neu aufgenommen, wonach die Staatsanwaltschaft sowie die Behörden und Beamten des Polizeidienstes auch gegen den Willen des Inhabers auf Nutzerkonten oder Funktionen zugreifen dürfen, die Anbieter von Telekommunikations- oder Telemediendiensten dem Verdächtigen zur Verfügung stellen oder mittels derer er eine dauerhafte virtuelle Identität unterhält. Voraussetzung wäre, dass bestimmte Tatsachen den Verdacht begründen, dass jemand Täter oder Teilnehmer einer Straftat im Sinne der umfangreichen Auflistung schwerer Straftaten gemäß § 100g Abs. 1 StPO ist (i. V. m. § 100a Abs. 2 StPO).

Fazit

Noch handelt es sich um einen Referentenentwurf, der allerdings sehr weitreichende Auswirkungen auf die Strafverfolgung und die Kompetenzen des BSI hätte. Ob und inwieweit einzelne Regelungen des Entwurfes zu weit gehen und gegebenenfalls sogar gegen das Grundgesetz verstoßen, würde nach seinem Inkrafttreten wohl noch jahrelang die Gerichte beschäftigen.

Anzuerkennen und besonders hervorzuheben ist jedoch, dass dieses Gesetz in relativ überschaubarer, leicht und verständlich formulierter Form oft recht komplizierte Sachverhalte in gesetzliche Regelsprache transferiert – so etwas ist dem Gesetzgeber in den letzten Jahren kaum noch gelungen. Denjenigen, die dieses Gesetz als Entwurf formuliert haben, gebührt allein dafür schon Anerkennung.

Die <kes>-Rubrik „Recht“ gibt Tipps zu Rechtsfragen der ITK sowie der Informationssicherheit und informiert über
aktuelle Urteile aus diesem Bereich. Rechtsanwalt Stefan Jaeger betreut diese Kolumne seit 2013. Er ist Partner bei SIMON und Partner und referiert über IT-Rechtsfragen seit Jahren an der Deutschen Richterakademie und beim Deutschen Richterbund. Er ist darüber hinaus Referatsleiter Datenschutz bei der GenoServ eG.