BSI erstarkt zur führenden Behörde für Deutschlands IT-Sicherheit
10. Juni 2020

ISSN 2699-8084

Artikel
Legal Tech
Lesezeit 5 Min.
Mareike Gehrmann
Salary Partnerin, Fachanwältin für Informationstechnologierecht | Taylor Wessing

Am 27. März 2019 legte das Bundesministerium des Innern, für Bau und Heimat (BMI) einen ersten Referentenentwurf zum IT-Sicherheitsgesetz 2.0 (IT-SIG 2.0) vor. Nach dem sog. Doxing-Skandal und weiteren Hackerangriffen hatte Bundesinnenminister Horst Seehofer versprochen, das IT-SIG 2.0 bereits im ersten Halbjahr 2019 zu verabschieden. Dies ist nicht gelungen. Bestenfalls wird eine Verabschiedung des IT-SIG 2.0 im zweiten Halbjahr 2020 erfolgen. Denn erst am 7. Mai 2020 veröffentlichte das BMI den zweiten überarbeiteten Referentenentwurf, der sich nun in der Ressortabstimmung befindet. Erst hiernach kann dieser ins Kabinett und anschließend ins parlamentarische Verfahren gehen. Hintergrund für die Verzögerung war vor allem, dass weder die Bundesregierung und noch die Unionsfraktion einen Konsens im Umgang mit dem Mobilfunkausrüster Huawei und seiner möglichen Beteiligung am künftigen 5G-Netzausbau in Deutschland gefunden hatten.

 

 

Neuer Entwurf – gleiches Konzept

Grundsätzlich enthält der Referentenentwurf nicht viel Neues, dennoch verstecken sich einige nicht unwesentliche Änderungen darin. Der Referentenentwurf wurde von 90 Seiten auf 73 entschlackt. Der Grundgedanke bleibt aber gleich.

Vor allem bleibt es dabei, dass zum Schutz der Wirtschaft zukünftig mehr Sektoren als Kritische Infrastrukturen (KRITIS) eingestuft und damit vom IT-SIG 2.0 erfasst werden, wie z.B. der Sektor Abfallentsorgung oder Unternehmen, die im öffentlichen Interesse stehen, wie die Verteidigungs- und Sicherheitsindustrie (§ 2 Abs. 14 BSIG-E). Auch die Einführung des IT-Sicherheitskennzeichens, des erweiterten Pflichtenkatalogs sowie des verschärften Bußgeldkatalogs bleiben erhalten.

Weitere Stärkung des BSI

Kritisch diskutiert wird bereits die weitere Stärkung des Bundesamtes für Sicherheit- und Informationstechnik (BSI), welches 583 neue Stellen aufgrund dessen erhalten soll. Bisher hat das BSI rund 1.100 Mitarbeiter.

So soll, wie bereits 2019 vorgesehen, das BSI zukünftig für den Verbraucherschutz im Bereich Informationssicherheit zuständig sein. Ferner wird das BSI berechtigt, aktiv nach Schadprogrammen, Sicherheitslücken und anderen Sicherheitsrisiken in öffentlich erreichbaren IT-Systemen und Netzen zu suchen und gefundene infizierte IT-Systeme aktiv, mittels Patch oder Löschung der Schadsoftware, zu verändern. Darüber hinaus soll das BSI auch Fallen für Cyberkriminelle, sog. Honeypots, auslegen dürfen (§ 7b BSIG-E).

Neu ist, dass das BSI nicht mehr nur IT-Produkte und -Systeme auf dem Markt auf deren IT-Sicherheit (§ 7a BSIG-E) untersuchen darf, sondern auch die Untersuchungsergebnisse unverzüglich an die zuständige Aufsichtsbehörde des Bundes oder an das zuständige Ressort weiterleiten soll, falls diese die Information zur Aufgabenerfüllung benötigen.

Neben vielen weiteren neuen Aufgaben ist zukünftig auch eine engere Vernetzung zwischen Bundeskriminalamt (BKA), Verfassungsschutzorgane und BSI vorgesehen. So soll das BSI befugt sein, auf Bitten des BKA, dieses bei der Detektion und Auswertung von Sicherheitslücken und der Analyse öffentlicher Quellen im Netz zu unterstützen (§ 7c BSIG-E).

 

Kein Huawei-Verbot

Im Rahmen des künftigen 5G-Netzausbaus in Deutschland war eine heftige Diskussion entbrannt, ob Huawei, ZTE oder andere chinesische Hardware-Lieferanten beim 5G-Netzaufbau beteiligt werden dürfen. Der Referentenentwurf enthält weder ein Verbot noch eine pauschale Erlaubnis. Vielmehr ist geplant, dass in besonders sensiblen Bereichen nur IT-Komponenten eingesetzt werden dürfen, die durch eine anerkannte Zertifizierungsstelle zertifiziert wurden (§ 109 Abs. 2 Satz 5 TKG-E). Zugleich regelt der neu eingefügte § 9b BSIG-E, dass der Einsatz solch kritischer Komponenten vom TK-Anbieter angezeigt werden muss und der Einsatz vom BSI untersagt werden kann, wenn der Hersteller nicht vertrauenswürdig ist (§ 9b Abs. 4 BSIG-E). Zusätzlich erhält das BMI ein Vetorecht für den Einsatz bestimmter IT-Komponenten.

 

Was ändert sich noch?

Die KRITIS-Betreiber sollen sog. Background Checks durchführen dürfen (§ 8a BSIG-E). Das bedeutet, dass sie Mitarbeiter, die in Bereichen tätig sind, in denen in besonderem Maße auf die Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit informationstechnischer Systeme, Komponenten oder Prozesse, die für die Funktionsfähigkeit der Kritischen Infrastruktur maßgeblich sind, auf ihre Vertrauenswürdigkeit hin überprüfen dürfen.

Auch erweitern sich die Meldepflichten für TK-Anbieter. § 109a TKG sieht bereits eine Benachrichtigungspflicht der Bundesnetzagentur und des Bundesbeauftragten für den Datenschutz und die Informationsfreiheit bei Cybervorfällen vor. Nach Ansicht des BMI genügt eine solche Meldepflicht nicht, um auch eine schnelle Strafverfolgung und Gefahrenabwehr sicherzustellen. Deshalb soll zukünftig auch das BKA informiert werden (§ 109a Abs. 1a TKG-E). Auch darüber hinaus ist eine engere Vernetzung zwischen BKA, Verfassungsschutzorgane und BSI vorgesehen. So soll das BSI befugt sein, auf Bitten des BKA, dieses bei der Auswertung von Sicherheitslücken und der Analyse öffentlicher Quellen im Netz zu unterstützen (§ 7c BSIG-E).

Am bemerkenswertesten dürfte jedoch die Änderung des Referentenentwurfs bezüglich des Cyberstrafrechts sein. So sah dieser 2019 noch eine Änderung des Strafgesetzbuches (StGB) vor. Unter anderem sollte die „unbefugte Nutzung informationstechnischer Systeme“ (§ 200e StGB-E) unter Strafe gestellt werden. Diese Vorschläge wurden alle ersatzlos gestrichen. Ob im weiteren Verlauf des Gesetzgebungsverfahrens doch noch strafrechtliche Sanktionen für Cyberkriminalität eingeführt werden, bleibt abzuwarten.

 

Ausblick

Der neue Referentenentwurf hat einige Änderungen mit sich gebracht. Das BSI wird zum Zentrum des IT-sicherheitsrechtlichen Verwaltungsapparats. Allerdings ist mit der Verabschiedung des IT-SIG 2.0 nicht mehr vor der Sommerpause des Bundestages zu rechnen. Dadurch geht erneut wichtige Zeit in der Bekämpfung von Cyberkriminalität verloren . Ob es bei dem Referentenentwurf bleiben wird oder, ob noch weitere Änderungen vorgenommen werden, bleibt abzuwarten.