IT-Sicherheitsgesetz 2.0 – Die Neuerungen im Überblick – Teil 2: KRITIS, UNBÖFI, kritische Komponenten und Sicherheitskennzeichen

Von Dennis-Kenji Kipker, Bremen

Nachdem sich der erste Teil des Überblicks zum neuen IT-Sicherheitsgesetz (IT-SiG 2.0) auf die Rolle und weitere Stärkung des Bundesamts für Sicherheit in der Informationstechnik (BSI) fokussiert hat, behandelt der vorliegende zweite Teil alle weiteren Änderungen und Ergänzungen.

Betreiber kritischer Infrastrukturen (KRITIS)

Während das erste IT-Sicherheitsgesetz 2015 einen Schwerpunkt auf die Einführung von Betreiberpflichten für kritische Infrastrukturen gelegt hat, sieht das IT-SiG 2.0 in diesem Bereich nur einige punktuelle Ergänzungen vor. Zwei zentrale Änderungen betreffen in diesem Zusammenhang die Pflicht zu technisch-organisatorischen Vorkehrungen (TOV, § 8a BSIG) und den organisatorischen Rahmen der Melderegelung (§ 8b BSIG):

• Ab dem 1. Mai 2023 umfasst die Pflicht zu TOV auch den Einsatz von Systemen zur Angriffserkennung: Die demnach eingesetzten Systeme müssen geeignete Parameter und Merkmale aus dem laufenden Betrieb kontinuierlich und automatisch erfassen und auswerten. Außerdem sollten sie in der Lage sein, fortwährend Bedrohungen zu identifizieren und zu vermeiden sowie für eingetretene Störungen geeignete Beseitigungsmaßnahmen vorzusehen. Systeme zur Angriffserkennung sind in § 2 Abs. 9b BSIG legaldefiniert: Hierunter sind durch technische Werkzeuge und organisatorische Einbindung unterstützte Prozesse zur Erkennung von Angriffen auf IT-Systeme zu verstehen. Die Angriffserkennung erfolgt dabei durch den Abgleich der in einem IT-System verarbeiteten Daten mit Informationen und technischen Mustern, die auf Angriffe hindeuten. Sollte es zu einer erheblichen Störung kommen, kann das BSI vom Betreiber außerdem die Herausgabe der zur Bewältigung der Störung notwendigen Informationen verlangen, wozu auch personenbezogene Daten gehören können (§ 8b Abs. 4a BSIG).
• Für das KRITIS-Meldeverfahren ergeben sich mit der Neufassung des § 8b Abs. 3 BSIG ebenfalls Änderungen: So sind erfasste Betreiber nicht nur wie bisher dazu verpflichtet, für den Informationsfluss mit dem BSI eine Kontaktstelle zu benennen, sondern es besteht darüber hinaus nun auch eine Registrierungspflicht. Die Registrierung erfordert die Angabe zusätzlicher Informationen zur kritischen Infrastruktur, um dem BSI eine bessere Einschätzung von Lage und Bedürfnissen des Betreibers zu ermöglichen. Im Wege der Ersatzvornahme kann das BSI die Registrierung auch selbst vornehmen, sollte der Betreiber seiner Pflicht nicht nachkommen.

Außerdem wird die Legaldefinition für kritische Infrastrukturen in § 2 Abs. 10 BSIG erweitert: Die Siedlungsabfallentsorgung tritt aufgrund der damit verbundenen Seuchengefahr als neuer KRITIS-Sektor hinzu.

Unternehmen im besonderen öffentlichen Interesse (UNBÖFI)

Die Neuregelung für die „UNBÖFI“ hat während des Gesetzgebungsprozesses zum IT-SiG 2.0 erhebliche Aufmerksamkeit auf sich gezogen, da sie den Anwendungsbereich des BSIG erheblich ausweitet. Mehrfach wurden daher auch die begrifflichen Bestimmungen in § 2 Abs. 14 BSIG geändert – wobei explizit festgestellt wird, dass es sich bei ihnen nicht um Betreiber kritischer Infrastrukturen handelt. Nunmehr lassen sich in der verabschiedeten Fassung des Gesetzes die UNBÖFI in drei Kategorien einordnen:

(1) Unternehmen, die Waffen, Munition und Rüstungsmaterial (§ 60 Abs. 1 Nr. 1 Außenwirtschaftsverordnung – AWV) oder BSI-zugelassene Produkte mit IT-Sicherheitsfunktionen zur Verarbeitung staatlicher Verschlusssachen (oder wesentliche Komponenten für die IT-Sicherheitsfunktion solcher Produkte – § 60 Abs. 1 Nr. 3 AWV) herstellen oder entwickeln (§ 2 Abs. 14 Satz 1 Nr. 1 BSIG)

(2) Unternehmen, die nach ihrer inländischen Wertschöpfung zu den größten Unternehmen in Deutschland gehören und daher von erheblicher volkswirtschaftlicher Bedeutung sind oder die für solche Unternehmen als Zulieferer wegen ihrer Alleinstellungsmerkmale von wesentlicher Bedeutung sind (§ 2 Abs. 14 Satz 1 Nr. 2 BSIG)

(3) Unternehmen, die Betreiber eines Betriebsbereichs der oberen Klasse im Sinne der Störfall-Verordnung in der jeweils geltenden Fassung oder diesen nach § 1 Abs. 2 der Störfall-Verordnung gleichgestellt sind (§ 2 Abs. 14 Satz 1 Nr. 3 BSIG)

Vor allem die größten Unternehmen nach inländischer Wertschöpfung mitsamt ihren wesentlichen Zulieferern dürften zu einer deutlichen Ausweitung des Adressatenkreises der BSI-Regelungen beitragen. Konkrete Vorgaben, welche Unternehmen im Einzelnen unter diese Regelung fallen, macht das Gesetz aber nicht – vielmehr wird dies einer noch zu schaffenden Rechtsverordnung überantwortet, welche die hierfür heranzuziehenden wirtschaftlichen Kennzahlen sowie die maßgeblichen Alleinstellungsmerkmale für Zulieferer solcher Unternehmen definieren soll.

Die Schwellenwerte sollen sich dabei am Hauptgutachten der Monopolkommission orientieren – für 2020 wären die 10 größten Unternehmen nach inländischer Wertschöpfung die folgenden Konzerne: Volkswagen AG, Daimler AG, Bayerische Motoren Werke AG, Deutsche Bahn AG, Robert Bosch GmbH, Siemens AG, Deutsche Telekom AG, INA-Holding Schaeffler GmbH & Co. KG, Deutsche Post AG und Bayer AG.

Sollten Tatsachen die Annahme rechtfertigen, dass ein solcher „Wertschöpfungsgigant“ seinen Pflichten nicht nachkommt, kann das BSI Nachweise verlangen: entweder eine rechnerische Darlegung der inländischen Wertschöpfung oder die Bestätigung einer anerkannten Wirtschaftsprüfungsgesellschaft, dass das Unternehmen nicht unter die Regelung des § 2 Abs. 14 Satz 1 Nr. 2 BSIG fällt.

Die von den UNBÖFI umzusetzenden zusätzlichen Anforderungen an die IT-Sicherheit ergeben sich aus dem ebenfalls neu in das Gesetz eingefügten § 8f BSIG: Die zu treffenden Maßnahmen sind dabei geringer als die Rahmenbedingungen für kritische Infrastrukturen, weshalb hier nicht selten auch die irreführende Bezeichnung „KRITIS light“ verwendet wird. Außerdem differenziert die Bestimmung noch zwischen den unterschiedlichen Kategorien der UNBÖFI: Im Kern sind UNBÖFI gemäß (1) und (2) der obigen Aufzählung dazu verpflichtet, mindestens alle zwei Jahre eine Selbsterklärung zur IT-Sicherheit beim BSI vorzulegen – genaue inhaltliche Anforderungen daran stehen zurzeit aber noch nicht fest, das BSI kann jedoch hierfür zu verwendende Formulare erstellen.

Aus der Selbsterklärung zur IT-Sicherheit kann wahlweise hervorgehen:

• welche Zertifizierungen im Bereich der IT-Sicherheit in den letzten zwei Jahren durchgeführt und welche Prüfgrundlage sowie welcher Geltungsbereich hierfür festgelegt wurden,
• welche sonstigen Sicherheitsaudits oder Prüfungen im Bereich der IT-Sicherheit in den letzten zwei Jahren durchgeführt sowie welche Prüfgrundlage und welcher Geltungsbereich hierfür festgelegt wurden oder
• wie sichergestellt wird, dass die für das Unternehmen besonders schützenswerten IT-Systeme, Komponenten und Prozesse angemessen geschützt werden, und ob dabei der Stand der Technik eingehalten wird.

Weitere Differenzierungen zwischen den unterschiedlichen Klassen der UNBÖFI ergeben sich wie folgt:

• Unternehmen gemäß (1) der obigen Aufzählung: Die Pflicht zur Selbsterklärung besteht nicht vor dem 1. Mai 2023, die Registrierungspflicht beim BSI besteht zeitgleich zur Vorlage der ersten Selbsterklärung und Benennung einer zu den üblichen Geschäftszeiten erreichbaren Stelle; ab dem Zeitpunkt der Pflicht zur Vorlage der Selbsterklärung besteht eine unverzügliche Meldepflicht bei Störungen der IT-Sicherheit.
• Unternehmen gemäß (2): Die Pflicht zur Selbsterklärung besteht frühestens zwei Jahre nach Inkrafttreten der konkretisierenden Rechtsverordnung, die Registrierungspflicht beim BSI zeitgleich mit Vorlage der ersten Selbsterklärung und Benennung einer zu den üblichen Geschäftszeiten erreichbaren Stelle; die unverzügliche Meldepflicht bei Störungen der IT-Sicherheit gilt ab dem Zeitpunkt der Pflicht zur Vorlage der Selbsterklärung.
• Unternehmen gemäß (3): Die Registrierung beim BSI und Benennung einer zu den üblichen Geschäftszeiten erreichbaren Stelle ist freiwillig; unverzügliche Meldepflicht bei Störungen der IT-Sicherheit gilt spätestens ab dem 1. November 2021.

Einsatz kritischer Komponenten

Mit der „Lex Huawei“ wurde eine Regelung zur Untersagung des Einsatzes sogenannter kritischer Komponenten geschaffen (§ 9b BSIG) – hierbei handelt es sich mit Sicherheit um eine der strittigsten Vorschriften im gesamten IT-SiG 2.0, aus der sich verschiedene Pflichten für KRITIS-Betreiber und mittelbar auch für die Hersteller von Komponenten ergeben, die in kritischen Infrastrukturen eingesetzt werden.

Schlüsselbegriff dabei ist die „kritische Komponente“, deren Definition im Laufe des Gesetzgebungsverfahrens mehrfach überarbeitet wurde. Die verabschiedete Fassung des IT-SiG 2.0 definiert kritische Komponenten über § 2 Abs. 13 BSIG nunmehr definiert als IT-Produkte,

• die in kritischen Infrastrukturen eingesetzt werden,
• bei denen Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit zu einem Ausfall oder zu einer erheblichen Beeinträchtigung der Funktionsfähigkeit kritischer Infrastrukturen oder zu Gefährdungen für die öffentliche Sicherheit führen können und
• die aufgrund eines Gesetzes unter Verweis auf die Vorschrift als kritische Komponente bestimmt werden oder eine aufgrund eines Gesetzes als kritisch bestimmte Funktion realisieren.

Die Formulierung „aufgrund eines Gesetzes“ verweist sowohl an dieser Stelle als auch an verschiedenen weiteren Orten im IT-SiG 2.0 für die Konkretisierung einer zentralen Vorgabe auf untergesetzliche Rechtsvorschriften, was ein erhöhtes Maß an Unbestimmtheit der eigentlichen gesetzlichen Regelung zur Folge hat. Sollten für einen KRITIS-Sektor keine kritischen Komponenten und keine kritischen Funktionen, aus denen kritische Komponenten abgeleitet werden können, aufgrund eines Gesetzes bestimmt werden, gibt es ergo in diesem Sektor auch keine kritischen Komponenten im Sinne der „Lex Huawei“.

Soweit solche kritischen Komponenten erstmalig vom Betreiber einer kritischen Infrastruktur eingesetzt werden sollen, hat dieser den Einsatz im Vorfeld gegenüber dem Bundesministerium des Innern, für Bau und Heimat (BMI) anzuzeigen – in dieser Anzeige sind die kritische Komponente und die geplante Art ihres Einsatzes anzugeben. Die Anzeigepflicht für den erstmaligen Einsatz gilt allerdings nicht, wenn ein KRITIS-Betreiber den Einsatz einer anderen kritischen Komponente desselben Typs für dieselbe Art des Einsatzes bereits angezeigt hat und ihm dieser nicht untersagt wurde.

Untersagungsvorbehalt des BMI

Das BMI hat die Befugnis, den geplanten erstmaligen Einsatz der kritischen Komponente unter anderem im Benehmen mit dem Auswärtigen Amt bis zum Ablauf von zwei Monaten nach Eingang der Anzeige durch den Betreiber zu untersagen, wenn der Einsatz voraussichtlich die öffentliche Ordnung oder Sicherheit beeinträchtigt. Hierzu hat der Gesetzgeber einen Kriterienkatalog entwickelt, dessen Voraussetzungen alternativ vorliegen können. In diesem Zusammenhang ist etwa zu berücksichtigen, ob der Hersteller unmittelbar oder mittelbar von der Regierung eines Drittstaates kontrolliert wird, ob er bereits in der Vergangenheit an Aktivitäten mit nachteiligen Auswirkungen auf die öffentliche Sicherheit oder Ordnung beteiligt war oder ob der Einsatz der kritischen Komponente mit sicherheitspolitischen Zielen im Einklang steht. Die zweimonatige Prüffrist des BMI, vor deren Ablauf die Komponente nicht verwendet werden darf, kann bei besonders schwieriger Prüfung um weitere zwei Monate verlängert werden.

Außerdem schreibt § 9b BSIG fest, dass kritische Komponenten nur eingesetzt werden dürfen, wenn der Hersteller eine sogenannte Garantieerklärung, also eine Erklärung über seine Vertrauenswürdigkeit, gegenüber dem Betreiber der kritischen Infrastruktur abgegeben hat, die der Anzeige gegenüber dem BMI vor erstmaligem Einsatz beizufügen ist. Dieser Lieferkettennachweis ist hochproblematisch und wurde in den unterschiedlichen Entwurfsfassungen des IT-SiG 2.0 daher massiv kritisiert – dennoch hat er Eingang in das Gesetz gefunden.

Aus der Garantieerklärung „muss hervorgehen, wie der Hersteller sicherstellt, dass die kritische Komponente nicht über technische Eigenschaften verfügt, die spezifisch geeignet sind, missbräuchlich, insbesondere zum Zwecke von Sabotage, Spionage oder Terrorismus auf die Sicherheit, Vertraulichkeit, Integrität, Verfügbarkeit oder Funktionsfähigkeit der kritischen Infrastruktur einwirken zu können.“ Was mit diesen Festsetzungen im Einzelnen gemeint ist, konkretisiert das Gesetz nicht – außer dass erneut auf die Schutzziele der IT-Sicherheit und auf aus der Sphäre des Herstellers herrührende Gefahren für die öffentliche Sicherheit und Ordnung verwiesen wird. Die Anforderungen sollen vielmehr vom BMI in Abstimmung mit weiteren Ressorts und dem Auswärtigen Amt im Wege einer Allgemeinverfügung festgesetzt werden.

Abschließend trifft das Gesetz noch eine Regelung zum Vertrauensschutz: So gelten die Vorgaben zur Garantieerklärung erst ab Bekanntmachung der konkretisierenden Allgemeinverfügung und nicht für bereits vor diesem Zeitpunkt eingesetzte kritische Komponenten. Und nachträgliche Änderungen der Allgemeinverfügung sind wiederum für bereits abgegebene Garantieerklärungen unbeachtlich.

Das BMI hat gemäß § 9b Abs. 4 BSIG überdies die Befugnis, den weiteren Einsatz einer kritischen Komponente zu untersagen, wenn dieser die öffentliche Ordnung oder Sicherheit voraussichtlich beeinträchtigt. Das gilt besonders dann, wenn der Hersteller der kritischen Komponente nicht vertrauenswürdig ist, wofür das Gesetz als mögliche Anhaltspunkte nennt:

• Der Hersteller hat gegen die in der Garantieerklärung eingegangenen Verpflichtungen verstoßen.
• Die in der Garantieerklärung angegebenen Tatsachenbehauptungen sind unwahr.
• Der Hersteller hat Sicherheitsüberprüfungen und Penetrationsanalysen an seinem Produkt und in der Produktionsumgebung nicht im erforderlichen Umfang in angemessener Weise unterstützt.
• Der Hersteller hat Schwachstellen oder Manipulationen nicht unverzüglich, nachdem er davon Kenntnis erlangt, beseitigt und dem Betreiber der kritischen Infrastruktur gemeldet.
• Die kritische Komponente weist aufgrund von Mängeln ein erhöhtes Gefahrenpotenzial auf, das die IT-Sicherheit der kritischen Infrastruktur beeinträchtigen kann.
• Die kritische Komponente verfügt über technische Eigenschaften, die spezifisch geeignet sind, in negativer Weise auf die IT-Sicherheit der kritischen Infrastruktur einzuwirken.

Besonders schwerwiegende Sanktionen für den Einsatz von kritischen Komponenten werden in § 9b Abs. 6 und Abs. 7 BSIG bestimmt: So kann das BMI, falls der Einsatz der kritischen Komponente mangels Vertrauenswürdigkeit untersagt wurde, auch den geplanten Einsatz weiterer kritischer Komponenten desselben Typs und desselben Herstellers untersagen sowie den weiteren Einsatz kritischer Komponenten desselben Typs und desselben Herstellers unter Einräumung einer angemessenen Frist untersagen. Bei schwerwiegenden Fällen mangelnder Vertrauenswürdigkeit kann das BMI sogar den Einsatz aller kritischen Komponenten eines Herstellers untersagen.

Freiwilliges IT-Sicherheitskennzeichen

Eine Regelung, die sämtliche Entwurfsfassungen des IT-SiG 2.0 nahezu unverändert überstanden hat, ist das „freiwillige IT-Sicherheitskennzeichen“ (§ 9c BSIG). Mit dem einheitlichen Kennzeichen, das ausdrücklich keine Zertifizierung ist und ebensowenig eine Aussage über den Datenschutz trifft, soll Verbraucher:inne:n der Zugang zu sicheren IT-Produkten besser als bisher eröffnet werden. Schon im Gesetzgebungsverfahren wurden allerdings Sinn und Zweck und nicht zuletzt auch der Bedarf für ein solches IT-Sicherheitskennzeichens infrage gestellt.

Das Kennzeichen besteht aus zwei Elementen:

• Herstellererklärung: eine Zusicherung des Herstellers oder Diensteanbieters, dass das Produkt für eine festgelegte Dauer bestimmte IT-Sicherheitsanforderungen erfüllt.
• Sicherheitsinformation: eine Information des BSI über sicherheitsrelevante IT-Eigenschaften des Produkts

Vorrangig ergeben sich die IT-Sicherheitsanforderungen für die Herstellererklärung aus Normen, Standards und branchenabgestimmten IT-Sicherheits-Vorgaben. Das genaue Verfahren wird durch Rechtsverordnung bestimmt; erst sekundär leiten sich die Anforderungen aus technischen Richtlinien (TR) des BSI ab. Der Referentenentwurf einer „Rechtsverordnung zum IT-Sicherheitskennzeichen des BSI“ (BSI-ITSiKV) wurde Ende Juli zur Kommentierung veröffentlicht; insgesamt enthält die Entwurfsfassung keine nennenswerten Überraschungen und orientiert sich inhaltlich an der gesetzlichen Grundlage.

Die Verwendung des IT-Sicherheitskennzeichens für ein Produkt muss durch das BSI freigegeben werden, nachdem der Hersteller einen entsprechenden Antrag gestellt hat. Dieser umfasst die Herstellererklärung sowie alle Unterlagen, welche deren Aussagen belegen. Durch das BSI findet dabei nur eine Plausibilitätsprüfung statt.

Erteilt das BSI die Freigabe zur Verwendung des IT-Sicherheitskennzeichens, kann es auf dem Produkt oder dessen Umverpackung angebracht werden. Eine elektronische Veröffentlichung ist ebenso möglich – auch hier folgen konkrete Anforderungen aber erst durch eine Rechtsverordnung. Die Verwendungsmöglichkeit für das IT-Sicherheitskennzeichen erlischt entweder nach Ablauf einer festgelegten Dauer oder falls das BSI nach Prüfung feststellt, dass die Anforderungen an die Freigabe des IT-Sicherheitskennzeichens nicht mehr eingehalten werden – in diesem Fall kann das BSI es widerrufen.

Bußgeldvorschriften

Die Bußgeldvorschriften im neu gefassten BSIG waren ebenfalls Gegenstand mehrerer Änderungen: War beispielsweise im zweiten Referentenentwurf noch ein Gleichlauf mit der EU Datenschutzgrundverordnung (DSGVO) vorgesehen, hat man sich nunmehr auf folgende Abstufung für Verstöße je nach Schweregrad und Relevanz geeinigt: 2 Mio. e, 1 Mio. e, 500 Tsd. e und 100 Tsd. e. Über einen Verweis in § 30 Abs. 2 Satz 3 Ordnungswidrigkeitengesetz (OWiG) kann die Maximalsumme bis zu 20 Mio. e betragen – auch diese Regelung hat mit Blick auf die Ausdehnung des Adressatenkreises im IT-SiG 2.0 auf KMU verschiedentlich Kritik erfahren.

Fazit

Es wäre schön, wenn man nach nunmehr knapp zweieinhalb Jahren Gesetzgebungstätigkeit zum IT-SiG 2.0 sagen könnte: Raus aus dem Politischen, rein in die Umsetzung! Leider sind wir aktuell noch nicht so weit – und es bleibt fraglich, ob man eine solche Feststellung für das IT-SiG 2.0 jemals wird treffen können. Nicht nur, dass (zu) viele zentrale Festlegungen untergesetzlich erfolgen und damit letztlich auch für die betroffenen Unternehmen eine „Black Box“ im Bundesgesetzblatt veröffentlicht wurde – schlimmer noch: An zu vielen Stellen eines Gesetzes, in dem es vor allem um inhaltliche und fachliche Fragestellungen gehen sollte, schwingt der dem Zeitgeist entsprechende politische Wille mit.

All das ist weder gut für die IT-Sicherheit, noch für die Rechtssicherheit der vielen alten und neuen Adressaten der Regelungen. Und mit Blick auf die zahlreichen adressierten Ressorts und Behörden, die im ITSiG 2.0 aufgeführt werden und in Entscheidungs- und Abstimmungsprozesse eingebunden sind, fühlt man sich einmal mehr an das alte Sprichwort „Viele Köche verderben den Brei“ erinnert – und das gilt ebenfalls für die IT-Sicherheit.

Prof. Dr. iur. Dennis-Kenji Kipker ist Honorarprofessor für IT-Sicherheitsrecht an der Fakultät für Elektrotechnik und Informatik der Hochschule Bremen (HSB), Legal Advisor im Competence Center Information Security und CERT des VDE, Vorstandsmitglied der Europäischen Akademie für Informationsfreiheit und Datenschutz (EAID) sowie Geschäftsführer der Certavo-Beratungsgesellschaft in Bremen (https://denniskenjikipker.de/).