IT-Sicherheitsgesetz 2.0 : Die Neuerungen im Überblick : Teil 1: Die Rolle des BSI

Von Dr. Dennis-Kenji Kipker, Bremen

Über das „Zweite Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme“ (IT-SiG 2.0) wurde lange gestritten – manch einer glaubte schon, es würde gar nicht mehr kommen. Seit der ersten Entwurfsfassung im März 2019 waren nicht nur zahlreiche weitere Entwürfe in zunehmend schnellerer Taktzahl produziert worden, sondern ebenso langwierig wurde über zentrale Fragen des Gesetzes gestritten: wie die Unabhängigkeit des BSI, einen nationalen Alleingang bei der Festlegung von technischen Anforderungen, den Datenschutz, die Aufdeckung und Weitergabe von Schwachstellen – und darüber, ob Garantieerklärungen zur IT-Sicherheit (Stichwort: „Lex Huawei“) und ein freiwilliges IT-Sicherheitskennzeichen für Verbraucher tatsächlich einen nennenswerten Mehrwert bieten.

Umso überraschender war dann, dass es seit dem Regierungsentwurf des IT-SiG 2.0 vom 16. Dezember 2020 deutlich schneller voranging, obwohl in einer denkwürdigen Anhörung im Ausschuss für Inneres und Heimat am 1. März 2021 kaum ein gutes Wort über den Entwurf zu hören war. Auch der Bundesrat billigte das IT-SiG 2.0 am 7. Mai 2021 – wenn auch verbunden mit der Kritik, dass die rechtliche Regulierung von IT-Sicherheit in einem funktionierenden Föderalismus eben doch nicht nur Sache des Bundes, sondern auch der Länder sei – und das ist mit dem IT-SiG 2.0 nicht unbedingt gelungen.

Aktuell gibt es somit ein brandneues Gesetz, das bereits mehrere Jahre vor seiner Verabschiedung inhaltlich und formal erhebliche Kritik einstecken musste, am Ende aber doch alle Gremien passiert hat. Wenig verwunderlich findet man etliche der kritisch kommentierten Aspekte nun auch in der Fassung des IT-SiG 2.0, die jetzt in Kraft getreten ist.

Als sogenanntes Artikelgesetz ändert das IT-SiG 2.0 – wie schon das erste IT-SiG von 2015 – zahlreiche Einzelvorschriften in verschiedenen Gesetzen: Betroffen sind das Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSIG), das Telekommunikationsgesetz (TKG), das Gesetz über die Elektrizitäts- und Gasversorgung (EnWG), die Außenwirtschaftsverordnung (AWV) und das Zehnte Buch Sozialgesetzbuch (SGBX). Der mit Abstand größte Teil der Regelungen bezieht sich dabei auf das BSIG, auf das dieser Beitrag daher gleichermaßen schwerpunktmäßig wie der Systematik des Gesetzes folgend eingeht.

Stärkung des BSI

Obwohl das Bundesamt für Sicherheit in der Informationstechnik (BSI) nach wie vor nicht den Status einer obersten Bundesbehörde erlangt hat und weiterhin dem Geschäftsbereich des Bundesministeriums des Innern, für Bau und Heimat (BMI) zugeordnet ist, hat man versucht, im Gesetz zumindest eine größere Unabhängigkeit des BSI zu formulieren – sicher auch aufgrund der in diesem Zusammenhang in den vergangenen Jahren vielfach geäußerten Kritik.

(Etwas) mehr Unabhängigkeit und Befugnisse

Neu hinzugetreten ist daher in § 1 BSIG die Vorgabe, dass das Amt seine Aufgaben „auf Grundlage wissenschaftlich-technischer Erkenntnisse“ durchführt – dies wohl auch, um ausdrücklich klarzustellen, dass die Behörde vor allem aus technisch notwendigen Erwägungen heraus handelt und nicht primär politische Vorgaben als Handlungsleitfaden ihren Entscheidungen zugrunde legt.

Damit gehen auch Änderungen in der Aufgabenbeschreibung des BSI in § 3 BSIG einher: So bestimmt Abs. 1 S. 1 ausdrücklich, dass das BSI die Sicherheit in der Informationstechnik mit dem Ziel fördert, die Verfügbarkeit, Integrität und Vertraulichkeit von Informationen und deren Verarbeitung zu gewährleisten.

Verschiedene neue Aufgaben sind in diesem Zusammenhang hinzugekommen, bestehende Aufgabenzuweisungen geändert worden:

• Das BSI übernimmt künftig die Rolle einer nationalen Behörde für die Cybersicherheitszertifizierung im Sinne des EU Cybersecurity Act (Verordnung EU 2019/881); dazu dient im Detail auch der neue § 9a BSIG.
• Das BSI berät und unterstützt Stellen des Bundes in Fragen der Sicherheit in der Informationstechnik.
• Eine weitere Funktion des BSI liegt in der Beratung, Information und Warnung von Stellen des Bundes, der Länder sowie von Herstellern, Vertreibern und Anwendern in Fragen der Sicherheit in der Informationstechnik – besonders unter Berücksichtigung der möglichen Folgen fehlender oder unzureichender Sicherheitsvorkehrungen.
• Die Aufgaben des BSI umfassen außerdem Verbraucherschutz und -information im Bereich der Sicherheit in der Informationstechnik, allem voran durch Beratung und Warnung von Verbrauchern und unter Berücksichtigung der möglichen Folgen fehlender oder unzureichender Sicherheitsvorkehrungen.
• Die Aufgabenwahrnehmung des BSI für kritische Infrastrukturen und digitale Dienste wurde nunmehr auch um Unternehmen im besonderen öffentlichen Interesse (UNBÖFI) ergänzt (§§ 8a–8c und 8f BSIG – siehe dazu Teil 2 dieses Beitrags in der nächsten <kes>).
• Außerdem kann das BSI Empfehlungen für Identifizierungs- und Authentifizierungsverfahren aussprechen sowie eine Bewertung dieser Verfahren im Hinblick auf die Informationssicherheit vornehmen.
• Eine weitere Neuerung betrifft die Beschreibung und Veröffentlichung eines „Stands der Technik“ bei sicherheitstechnischen Anforderungen an IT-Produkte unter Berücksichtigung bestehender Normen und Standards sowie unter Einbeziehung der betroffenen Wirtschaftsverbände. Speziell diese Regelung stellt gegenüber der Entwurfsfassung des Gesetzes einen Fortschritt dar, da die Festlegung des Stands der Technik damit nicht mehr ohne Weiteres im behördlichen und nationalen Alleingang erfolgen kann.

Mehr Kontrolle für die Kommunikationstechnik des Bundes

Ein neuer § 4a BSIG erweitert überdies den Befugnishorizont des BSI speziell für die Kontrolle der Kommunikationstechnik des Bundes einschließlich der zu ihrem Betrieb notwendigen technischen Infrastrukturen. Hierzu gehört ein umfassendes Auskunftsrecht der Behörde, das sich auch auf Unterlagen und Datenträger des Betreibers oder eines mit Betriebsleistungen beauftragten Dritten beziehen kann – allerdings können unter anderem Geheimschutzinteressen solchen Auskunftsersuchen entgegenstehen. Überdies hat das BSI zu Betriebszeiten Betretungsrechte für Grundstücke und Betriebsräume einschließlich der benötigten Datenverarbeitungsanlagen, soweit dies für die Kontrollzwecke erforderlich ist.

Die Kontrollbefugnis bezieht sich auch auf durch Dritte betriebene Schnittstellen zur Kommunikationstechnik des Bundes, wobei hier ein Zustimmungserfordernis seitens des Dritten besteht. Die Ergebnisse der Kontrollen können dem Betreiber und den jeweils fachlich zuständigen öffentlichen Stellen mitgeteilt werden. Ausnahmen der Kontrollbefugnisse sind grundsätzlich vorgesehen für die Auslandsinformations- und -kommunikationstechnik, sowie für Informations- und Kommunikationstechnik der Streitkräfte oder des Militärischen Abschirmdienstes (MAD). Diese Regelung tritt zum 1. Dezember 2021 in Kraft.

Im Zusammenhang mit der IT des Bundes ist ebenso der neu gefasste § 8 BSIG zu nennen, der die bislang bestehenden Vorgaben zur Festlegung von Mindeststandards um weitere Anforderungen ergänzt – auch diese Regelungen treten erst zum 1. Dezember 2021 in Kraft.

Ausbau der Meldestellenfunktion des BSI

Schon zuvor war das BSI zentrale Meldestelle für die Sicherheit in der Informationstechnik des Bundes – der neue § 4b BSIG erweitert diese Funktion auf eine allgemeine Meldestelle für die Sicherheit in der Informationstechnik. Damit ist das BSI ab dem 1. Dezember 2021 befugt, von Dritten Informationen über Sicherheitsrisiken in der Informationstechnik entgegenzunehmen und auszuwerten.

Hierzu richtet die Behörde entsprechende Meldemöglichkeiten ein – Meldungen können dabei auch anonym erfolgen. Falls eine Meldung personenbezogene Daten enthält, kann der Meldende grundsätzlich verlangen, dass die Daten nur anonymisiert weitergegeben werden. Dabei sind allerdings verschiedene Ausnahmetatbestände vorgesehen, zum Beispiel für Zwecke der Gefahrenabwehr oder Strafverfolgung.

Mit Blick auf seine zentrale Meldestellenfunktion übernimmt das BSI die folgenden Aufgaben:

• Information von Dritten über bekannt gewordene Sicherheitslücken, Schadprogramme, erfolgte oder versuchte Angriffe
• Warnung der Öffentlichkeit, besonders über sicherheitsrelevante Eigenschaften von Produkten und Diensten
• Unterrichtung der Bundesbehörden
• Unterrichtung von Betreibern kritischer Infrastrukturen und Unternehmen im besonderen öffentlichen Interesse

Neue/erweiterte Verarbeitungsbefugnisse für Protokoll- und Bestandsdaten

Hinsichtlich des Datenschutzes war das BSIG noch nie eine Vorbildregelung und hat die Interessenabwägung zwischen informationeller Selbstbestimmung und IT-Sicherheit regelmäßig zugunsten Letzterer ausschlagen lassen. Auch das IT-SiG 2.0 folgt dieser Linie, indem Verarbeitungsbefugnisse für (personenbezogene) Daten eine deutliche Ausweitung erfahren: Die bisherige maximale Speicherfrist für Protokolldaten, die beim Betrieb von Kommunikationstechnik des Bundes anfallen, wird mit der Neufassung des § 5 BSIG von drei auf 18 Monate ausgedehnt.

Ebenfalls neu ist § 5a BSIG, der das BSI ab 1. Dezember 2021 dazu befugt, zur Gefahrenabwehr für die Kommunikationstechnik des Bundes und ihrer Komponenten (inkl. technischer Infrastrukturen, die zum Betrieb der Kommunikationstechnik des Bundes erforderlich sind) Protokollierungsdaten zu verarbeiten, soweit dies für Zwecke der IT-Sicherheit erforderlich ist und dem keine Geheimschutz- oder Sicherheitsinteressen entgegenstehen. Protokollierungsdaten sind gemäß der Legaldefinition in § 2 Abs. 8a BSIG Aufzeichnungen über technische Ereignisse oder Zustände innerhalb von IT-Systemen.

Neu ist außerdem die Regelung zur Bestandsdatenauskunft in § 5c BSIG, nach der das Amt zu Zwecken der IT-Sicherheit von demjenigen, der geschäftsmäßig Telekommunikationsdienste erbringt oder daran mitwirkt, über die nach den §§ 95 und 111 TKG erhobenen Daten Auskunft verlangen kann. Der Anwendungsbereich der Bestandsdatenauskunft ist allerdings eingeschränkt: Sie darf nur zum Schutz der Versorgung der Bevölkerung in den KRITIS-Sektoren oder der öffentlichen Sicherheit verlangt werden, um eine Beeinträchtigung der IT-Sicherheit eines Betreibers kritischer Infrastruktur oder eines Unternehmens im besonderen öffentlichen Interesse abzuwenden. Außerdem müssen Tatsachen den Schluss auf ein hinreichend absehbares Gefahrenszenario zulassen – und die Daten müssen im Einzelfall erforderlich sein, um betroffene Betreiber bei der Vorfallsbewältigung zu unterstützen. Die Auskunft darf auch anhand einer zu einem bestimmten Zeitpunkt zugewiesenen Internetprotokoll-(IP)-Adresse verlangt werden. Eine Übermittlung von Daten durch das BSI an Sicherheits- und Nachrichtendienstbehörden ist dabei möglich.

Untersuchungen und Warnung der Öffentlichkeit

Schon bisher sahen die Regelungen im BSIG in den §§ 7 und 7a Befugnisse zur Untersuchung der IT-Sicherheit und entsprechende Warnungen an die Öffentlichkeit vor. Diese haben durch das IT-SiG 2.0 Modifikationen erfahren: Das BSI erhält damit die Befugnis, vor Sicherheitslücken in informationstechnischen Produkten und Diensten, vor Schadprogrammen und bei einem Verlust oder unerlaubten Zugriff auf Daten zu warnen sowie Informationen über sicherheitsrelevante IT-Eigenschaften von Produkten zu erteilen.

Außerdem wurden die Regelungen zur Einbeziehung der Hersteller neu formuliert: Diese sind aber nach wie vor grundsätzlich vor der Veröffentlichung einer Warnung zu informieren – es sei denn, hierdurch würde die Zweckerreichung gefährdet oder man kann berechtigterweise davon ausgehen, dass der Hersteller an der Benachrichtigung kein Interesse hat.

Neu gefasst ist § 7a BSIG, der die Untersuchung der Sicherheit in der Informationstechnik zum Gegenstand hat und nun eine deutlich größere Detaillierung als zuvor erfährt. Hiernach kann das BSI alle zur Durchführung der Untersuchung notwendigen Auskünfte vom Hersteller verlangen, die auch technische Details umfassen können. Soweit Behörden und Ressorts die erlangten Erkenntnisse benötigen, kann das BSI diese weitergeben. Wie bisher, ist dem Hersteller vor einer Veröffentlichung der Ergebnisse eine angemessene Frist zur Stellungnahme einzuräumen. Soweit der Hersteller seiner Mitwirkungspflicht nicht nachkommt, kann die Öffentlichkeit hierüber ebenfalls informiert werden.

Detektion von Sicherheitsrisiken und Angriffsmethoden – der „Hackerparagraf“

Eine der prominenteren – weil im Gesetzgebungsverfahren besonders viel diskutierten Regelungen – ist der neue § 7b BSIG – der sogenannte Hackerparagraf. Demgemäß ist das BSI befugt, zur Detektion von Sicherheitslücken und anderen Sicherheitsrisiken bei Einrichtungen des Bundes oder bei kritischen Infrastrukturen, digitalen Diensten und den Unternehmen im besonderen öffentlichen Interesse an den Schnittstellen öffentlich erreichbarer informationstechnischer Systeme zu öffentlichen Telekommunikationsnetzen Maßnahmen (Portscans) durchzuführen, wenn Tatsachen die Annahme rechtfertigen, dass diese ungeschützt sein können und dadurch möglicherweise in ihrer Sicherheit oder Funktionsfähigkeit gefährdet sind. Ungeschützt ist ein System dann, wenn darin öffentlich bekannte Sicherheitslücken vorliegen oder aufgrund sonstiger offensichtlich unzureichender Sicherheitsvorkehrungen Dritte unbefugt auf das System zugreifen können.

Besonders umstritten war hierbei im Gesetzgebungsverfahren zweierlei: die fehlende Vorankündigung der Portscans und der theoretisch unbegrenzte Adressbereich. In der verabschiedeten Fassung des IT-SiG 2.0 hat man sich zumindest des letzteren Problems angenommen: Demnach beziehen sich die gestatteten Portscans auf einen zuvor bestimmten Bereich von IP-Adressen, die regelmäßig der IT des Bundes oder den kritischen Infrastrukturen, digitalen Diensten und den Unternehmen im besonderen öffentlichen Interesse (UNBÖFI) zugeordnet sind (sog. weiße Liste). Diese Liste soll regelmäßig angepasst werden, um zwischenzeitliche Änderungen zu berücksichtigen.

Eine weitere Neuerung hat sich für den Umgang mit auf diese Weise erlangten Schwachstelleninformationen ergeben: Sahen ursprüngliche Entwurfsfassungen noch Ausnahmen von der Benachrichtigungspflicht bei entgegenstehenden überwiegenden Sicherheitsinteressen vor, so muss die Mitteilung an den Verantwortlichen nunmehr unverzüglich erfolgen.

Außerdem regelt § 7b BSIG die neue Befugnis des Bundesamts für Sicherheit in der Informationstechnik (BSI), Systeme und Verfahren einzusetzen, welche einem Angreifer einen erfolgreichen Angriff vortäuschen, um den Einsatz von Schadprogrammen oder anderen Angriffsmethoden zu erheben und auszuwerten. Das umfasst den Einsatz von Honeypots und die Umleitung auf sogenannte Sinkholes.

Recht IT-Sicherheitsgesetz 2.0 Anordnungen des BSI gegenüber Telekommunikations- und Telemediendiensteanbietern Die §§ 7c und 7d BSIG enthalten zudem neue Regelungen, die Anordnungen des BSI gegenüber Telekommunikations- und Telemediendiensteanbietern erlauben. Beim Vorliegen einer gesetzlich beschriebenen qualifizierten Gefahrenlage für die IT-Sicherheit wird das BSI damit grundsätzlich dazu ermächtigt, gegenüber Telekommunikationsdiensteanbietern mit mehr als 100.000 Kunden Anordnungen zur Einschränkung des Datenverkehrs zu treffen oder den Diensteanbieter dazu zu verpflichten, technische Befehle zur Bereinigung von Schadprogrammen an betroffene IT-Systeme zu verteilen. Dabei ist Einvernehmen mit der Bundesnetzagentur (BNetzA) und gegebenenfalls dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) herzustellen. Eine weitere Befugnis des BSI betrifft in diesem Zusammenhang die Anordnung zur Umleitung des Datenverkehrs an eine vom BSI benannte Anschlusskennung. §7d BSIG ermächtigt das BSI außerdem, in begründeten Einzelfällen von Anbietern die Herstellung eines ordnungsgemäßen IT-Sicherheitsniveaus zu verlangen, sofern dies zur Abwehr konkreter erheblicher Gefahren für IT-Systeme einer Vielzahl von Nutzern erfolgt, die von diesen Telemediendiensteanbietern aufgrund einer unzureichenden technisch-organisatorischen Absicherung ihrer Angebote ausgehen.

Der zweite Teil dieses Beitrags erläutert in der nächsten <kes> die Ergänzung der Anforderungen für Betreiber kritischer Infrastrukturen, für die zudem ein neuer Sektor definiert wurde. Außerdem geht es um die Sicherheit in der Informationstechnik bei Unternehmen im besonderen öffentlichen Interesse sowie die Untersagung des Einsatzes kritischer Komponenten, das freiwillige Sicherheitskennzeichen und Bußgeldvorschriften.

Dr. Dennis-Kenji Kipker ist Wissenschaftlicher Geschäftsführer des Instituts für Informations-, Gesundheits- und
Medizinrecht (IGMR) an der Universität Bremen, Vorstandsmitglied der Europäischen Akademie für Informationsfreiheit und Datenschutz (EAID), Legal Advisor im Competence Center Information Security and CERT des VDE sowie Executive Director der Certavo GmbH (https://denniskenjikipker.de/).