Stellungnahme zum Referentenentwurf „IT-Sicherheitsgesetz 2.0“ – in der Fassung vom 09.12.2020 – des Bundesministeriums des Innern, für Bau und Heimat

Beitrag

A. Gesamtkritik

Im Vergleich zum Referentenentwurf vom 27. März 2019[3] ist bei der vorliegenden Fassung vom 9. Dezember 2020 zu begrüßen, dass die Änderungen zum StGB und StPO – und hier im Besonderen § 126a StGB, § 202e StGB, § 202f StGB und § 163g StPO – wie in der vorläufigen Bewertung vom 8. Mai 2019 angeregt[4], ersatzlos gestrichen worden sind. Nach gesicherten rechtswissenschaftlichen Erkenntnissen ist eine Verschärfung des Strafrechts kein geeignetes bzw. effektives Mittel zur Reduktion von Straftaten[5] und hätte in diesem Kontext daher auch nicht zu mehr IT-Sicherheit beigetragen.

Im Vergleich zum Referentenentwurf vom 7. Mai 2020[6] ist bei der vorliegenden Fassung vom 9. Dezember zu begrüßen, dass durch Auslassung des Begriffs „Infrastruktur im besonderen öffentlichen Interesse“ mehr Klarheit bei der Terminologie geschaffen wurde (vgl. 4. Unternehmen im besonderen öffentlichen Interesse), wie in der vorläufigen Bewertung vom 9. Juni 2020 angeregt. Weiterhin ist zu begrüßen, dass – wie auch in der vorläufigen Bewertung angeregt – die Norm § 7a BSIG-E Absatz 1 Satz 2 auf Nummern 1, 14, 14a, 17 und 18 verengt wurde (vgl. 6. Untersuchung der Sicherheit in der Informationstechnik).

Im Vergleich zum Referentenentwurf vom 1. Dezember 2020[7] ist bei der vorliegenden Fassung vom 9. Dezember zu begrüßen, dass die Änderungen der Norm § 15 TMG ersatzlos gestrichen worden sind. Weiterhin ist zu begrüßen, dass, wie u. a. in den vorläufigen Bewertungen vom 9. Juni und 1. Dezember 2020 angeregt, die Evaluation der Effektivität dieser Gesetzesänderungen untersucht werden muss (vgl. „zu Artikel 6 (Evaluierung)“) um Anpassungsbedarf zu ermitteln.

Vor der Analyse spezifischer Einzelpunkte des Gesetzesentwurfs wird übergeordnet angeregt, dass sich der Bundestag in seiner Befassung allen Normen des vorliegenden Gesetzestextes widmet und nicht ausschließlich der Vertrauenswürdigkeitserklärung für Hersteller kritischer Komponenten u. a. § 9b BSIG-E („5G-Debatte“).

Diese Analyse des Gesetzesentwurfs mit angeschlossenen Empfehlungen befasst sich mit den folgenden Einzelpunkten:

IT-Sicherheit für die Gesellschaft durch Verbraucherschutz
Evaluierung der bisherigen IT- und Cybersicherheitsmaßnahmen
Mobile Incident Response Teams
Unternehmen im besonderen öffentlichen Interesse und Parteien
Schwachstellenmanagement und -meldewesen
Untersuchung der Sicherheit in der Informationstechnik
IT-Sicherheit in Digitalisierungsvorhaben
Kritische Komponenten und vertrauenswürdige Hersteller
Eingriff der Diensteanbieter in die Integrität von Kundensystemen
Anordnungsbefugnis gegenüber Diensteanbietern
Sonderrolle von Auswärtigem Amt und Bundeswehr
Staatliche Cybersicherheitsarchitektur

Allgemein ist zu kritisieren, dass die Aktualisierung des Gesetzes ohne eine Evaluierung des vorangegangenen ersten IT-Sicherheitsgesetzes geplant wird, vor allem da ohne jegliche Evidenz von „Erfahrungen mit der Anwendung der im ersten IT-Sicherheitsgesetz geregelten Befugnisse“ (s. A. Allgemeiner Teil, II. Wesentlicher Inhalt des Entwurfs) gesprochen wird. Bereits bei dem Entwurf der Cybersicherheitsstrategie für Deutschland 2016 gab es keine Evaluierung der Cybersicherheitsstrategie 2011. Dieses Versäumnis wiegt in dem vorliegenden Vorhaben zum IT-Sicherheitsgesetz 2.0 noch weitaus schwerer, da im Vorgängergesetz sogar eine Teilevaluierung rechtlich verankert wurde.[8] Die Evaluierung von Maßnahmen ist ein elementarer Bestandteil staatlichen Handelns und sollte auch bei diesem Gesetzgebungsvorhaben durchgeführt werden, bevor eine Kompetenz- und Anforderungsausweitung verabschiedet wird. Offensichtlich wird im Bereich der IT- und Cybersicherheitspolitik weiterhin versucht, sicherheitsbehördliche Kompetenzen auszubauen, ohne die Effektivität existierender Kompetenzen vorher zu evaluieren.

Der aktuelle Gesetzesentwurf ignoriert weiterhin die im Koalitionsvertrag[9] festgelegte "gleichzeitige und entsprechende Ausweitung der parlamentarischen Kontrolle" bei Ausweitung der Befugnisse der Sicherheitsbehörden. Das ist höchst problematisch, da die Bundesregierung bislang noch immer nicht die vom Bundesverfassungsgericht 2010 angeregte Gesamtschau der staatlichen Überwachungsmaßnahmen ("Überwachungsgesamtrechnung")[10] vorgelegt hat. Eine Befugnis-Erweiterung der Sicherheitsbehörden im IT-Sicherheitsgesetz 2.0 sollte unbedingt durch geeignete und angemessene Schutzmechanismen und Kontrollmaßnahmen begrenzt werden.

Auch auf die im Koalitionsvertrag vereinbarte Stärkung des Bundesamts für Sicherheit in der Informationstechnik "in seiner Rolle als unabhängige und neutrale Beratungsstelle für Fragen der IT-Sicherheit"[11] wird in dem Entwurf nicht eingegangen. Der Entwurf sollte zumindest eine Prüfung unterschiedlicher Unabhängigkeitsmodelle vorsehen.[12]

Zu dem Mangel empirischer Evidenz bei der Normengestaltung[13] und fehlender Berücksichtigung der Vorgaben aus dem Koalitionsvertrag kommen weitere Defizite, auf die im Folgenden eingegangen wird. Eine weitere Überarbeitung des Referentenentwurfs wäre daher zielführend, um die Cyber- und Informationssicherheit in Deutschland nachhaltig zu stärken.

B. Einzelkritik (nicht abschließend)

1. IT-Sicherheit für die Gesellschaft durch Verbraucherschutz

A. „Problem und Ziel“ in Verbindung mit „B. Lösung“ und Verweis auf §§ 3 und 9c BSIG-E

Der Entwurf definiert den Schutz von Gesellschaft als eines der Kernziele des Gesetzes. Als Hauptmaßnahme zum Schutz der Bürger:innen, und der damit verbundenen größten Personalaufwendung, führt der Entwurf die Einführung des „IT-Sicherheitskennzeichens“ an. Allerdings wird das IT-Sicherheitskennzeichen nicht direkt zu einer Erhöhung der IT- und Cybersicherheit in Deutschland führen. Eine indirekte Erhöhung der IT- und Cybersicherheit wäre bei verpflichtenden IT-Sicherheitssiegeln zumindest durch die Beeinflussung der Kaufentscheidung und des damit einhergehenden Einflusses auf Hersteller, die sich um eine verbesserte IT-Sicherheit ihrer Produkte bemühen müssten, gegeben.[14] Wenn eine Kennzeichnung mit dem IT-Sicherheitskennzeichen in Verbindung mit dem elektronischen Beipackzettel freiwillig ist, signalisiert es nur, wie (un)sicher ein Produkt ist. Weder die Produkte noch die Bürger:innen/Gesellschaft werden damit direkt sicherer. Zugespitzt bedeutet dies, dass IT-Produkte, deren Schutzmechanismen im Entwurf selbst als „faktisch wirkungslos“ bezeichnet werden, weiterhin verkauft werden dürften und nur auf Basis von Freiwilligkeit des Herstellers ein entsprechendes IT-(Un)Sicherheitskennzeichen auf der Verpackung tragen würden. Gleichzeitig entsteht durch die in §§ 9c und 3 Absatz 14 BSIG-E erwähnten Aufgaben ein hoher Mehraufwand für das Bundesamt für Sicherheit in der Informationstechnik. Es ist zu bezweifeln, dass der Ertrag den Aufwand beim freiwilligen IT-Sicherheitskennzeichen rechtfertigt. Die Maßnahme ist möglicherweise effektiv, aber keineswegs effizient. Vor dem Hintergrund der nach wie vor herrschenden Knappheit an IT-Sicherheitsfachkräften im öffentlichen Dienst sollte diese Maßnahme dringend überdacht werden.

Empfehlung: Die Bundesregierung sollte darauf hinarbeiten, dass bekanntermaßen unsichere und nicht mehr absicherbare IT-Produkte überhaupt nicht in den Handel gelangen dürfen.[15] Weiterhin sollten konkrete Maßnahmen ergriffen werden, die direkt für eine höhere Sicherheit der Bürger:innen sorgen, wie z. B. eine voreingestellte Netzwerksegmentierung bei Routern (Heimnetz/ IoT-Geräte). Die Idee des IT-Sicherheitskennzeichens sollte stattdessen direkt auf EU-Ebene angegangen werden, damit der Einsatz von verpflichtenden statt nur freiwilligen Siegeln ermöglicht werden kann (siehe „Warenverkehrsfreiheit“). Gleichzeitig muss sichergestellt werden, dass ein (freiwilliges) IT-Sicherheitskennzeichen nicht mit höherwertigen Zertifizierungen von Produkten vermischt wird.

2. Evaluierung der bisherigen IT- und Cybersicherheitsmaßnahmen

„A. Problem und Ziel“ in Verbindung mit „C. Alternativen“

Als sehr weit gefasste Zielvorgabe gibt der Entwurf vor, dass „die Gewährleistung der Cyber- und Informationssicherheit [ein] Schlüsselthema für Staat, Wirtschaft und Gesellschaft [ist]“. Eine Alternative zu allen im Entwurf vorgeschlagenen Normen wird nicht genannt. Es ist schwer nachvollziehbar, dass bei einer so umfassenden Zielvorgabe keine einzige Alternative genannt werden kann. Dies ist möglicherweise auf die fehlende Evaluierung der Effektivität der bisher implementierten staatlichen Maßnahmen zur Erhöhung der Cyber- und IT-Sicherheit in Deutschland zurückzuführen.

Empfehlung: Die Bundesregierung sollte die Effektivität der bisher getroffen Cyber- und IT-Sicherheitsmaßnahmen evaluieren und unter Einbeziehung der Expertise aus Wirtschaft, Wissenschaft und Zivilgesellschaft Alternativen entwerfen, bevor der vorliegende Gesetzestext als alternativlos bezeichnet wird.

3. Mobile Incident Response Teams

„E.3 Erfüllungsaufwand der Verwaltung“ in Verbindung mit § 5b BSIG-E

Die Mobile Incident Response Teams (MIRTs) des Bundesamtes für Sicherheit in der Informationstechnik sind ein Kernelement reaktiver Maßnahmen in der deutschen Cyber- und IT-Sicherheitspolitik. Der Mehrwert der MIRTs für die deutsche Cyber- und IT-Sicherheitspolitik ist für die Öffentlichkeit nachvollziehbar, wie u. a. der Fall des Lukaskrankenhauses in Neuss[16] gezeigt hat.

Empfehlung: Ein Ausbau der MIRTs ist zu unterstützen, da für diese eine breite Fachexpertise – zum Beispiel für die unterschiedlichen Systeme Kritischer Infrastrukturen – bereitgehalten werden muss. Der genannte Ausbau der Teams wäre eine effiziente Investition der im Entwurf insgesamt vorgesehenen Personalressourcen. Es ist dabei jedoch unklar, wie viele MIRTs notwendig sind, u. a. wegen Bereitschaftszeiten und Spezialexpertise. Es sollte daher dargelegt werden, welcher Plan hinter dem Ausbau der MIRTs steht und wie viele dieser Teams zu welchem Zeitpunkt für welche Einsatzgebiete (Regierung, KRITIS o. ä.) bereitstehen müssen. Dieser Plan sollte auch Transparenz über Einsatzstatus, Aufgabenteilung und Einsatzgebiete der „Quick Reaction Forces“ des Bundeskriminalamts, der „Mobile Cyber-Teams“ des Bundesamts für Verfassungsschutz und analoger Teams des Militärischen Abschirmdiensts und Bundesnachrichtendiensts herstellen.[17] Zudem sollte eine Einbettung des Konzepts des Cyber-Hilfswerks[18] in diesen Plan geprüft werden.

4. Unternehmen im besonderen öffentlichen Interesse und Parteien

§ 2 Absatz 14 BSIG-E in Verbindung mit §§ 2 Absatz 3 Satz 2, 8, 8f und 10 Absatz 5 BSIG-E

Es ist unklar, in welchem Verhältnis die bestehenden „Institutionen im besonderen staatlichen Interesse" (INSI)[19] zu den im Entwurf erstmals erwähnten „Unternehmen im besonderen öffentlichen Interesse" gem. § 8f BSIG-E und der „Infrastruktur im besonderen öffentlichen Interesse“ gem. § 109a Abs 8 TKG-E stehen. Weder in der EU NIS-Richtlinie[20] noch in dem entsprechenden Umsetzungsgesetz[21] finden sich diese Begrifflichkeiten wieder. Im Umsetzungsgesetz wird lediglich einmal von „informationstechnischen Systemen von besonderem öffentlichem Interesse" gesprochen (§ 5a Absatz 2 BSIG). Diese Inkonsistenzen wirken einer Harmonisierung entgegen und verstärken die Komplexität durch die unilaterale Einführung einer weiteren „Schutzklasse“.

Empfehlung: Die Bundesregierung muss Transparenz bzgl. der „Institutionen im besonderen staatlichen Interesse“ im Vergleich zu „Unternehmen im besonderen öffentlichen Interesse“ schaffen. Gleichzeitig sollten die Kategorien der deutschen Gesetzgebung nicht von der EU-Harmonisierung abweichen, weshalb eine zusätzliche, unilaterale Einführung der „Unternehmen im besonderen öffentlichen Interesse“ o. ä. verworfen werden sollte. Auch inhaltlich erscheint diese zusätzliche Kategorie nicht sinnvoll: Entweder werden Unternehmen als kritisch genug betrachtet, um sie bzgl. IT-Sicherheit zu regulieren und folglich unter der KRITIS-Regulierung zu subsumieren, oder aber sie werden als nicht relevant genug eingeordnet, um bzgl. IT-Sicherheit reguliert zu werden. In diesem Fall können sie dann unter den bestehenden, unbestimmten Rechtsbegriff der „Institutionen im besonderen staatlichen Interesse“ fallen. Eine Ausdifferenzierung kann bei Aufnahme in die KRITIS-Regulierung über die branchenspezifischen Sicherheitsstandards[22] stattfinden.

Darüber hinaus ist zu prüfen, ob politische Parteien ab einer bestimmten Mitgliederanzahl wegen ihrer Relevanz für das Funktionieren des deutschen Staates in die KRITIS-Regulierung aufgenommen werden sollten.[23] Vor dem Hintergrund der Gewaltenteilung könnten alternativ Mindeststandards für die Sicherheit der Informationstechnik des Bundes gem. § 8 für Parteien empfehlenden Charakter haben, analog zu der Regelung für Gerichte und Verfassungsorgane nach § 2 Absatz 3 Satz 2.

Sollte die Bundesregierung an der Einführung der zusätzlichen Kategorie „Unternehmen im besonderen öffentlichen Interesse“ festhalten, so ist zumindest § 10 Absatz 5 BSIG-E um die Beteiligung der organisierten Zivilgesellschaft zu erweitern.

5. Schwachstellenmanagement und -meldewesen

§ 4b BSIG-E in Verbindung mit §§ 7, 7a, 7b und 7c BSIG-E

Der Umgang mit Schwachstellen ist einer der wichtigsten Aspekte zur Herstellung von IT-Sicherheit in Unternehmen und Behörden. Klare Prozesse und Verantwortlichkeiten, die der technischen Komplexität Rechnung tragen, sind daher unbedingt notwendig. Die mit dem Entwurf geplante Regulierung bzgl. des staatlichen Schwachstellenmanagements und -meldewesens ist vollkommen intransparent. Es ist zu erwarten, dass diese Intransparenz zu ineffektiven Prozessen und einem Vertrauensverlust bei Firmen und IT-Sicherheitsforscher:innen -- Akteuren, die elementar für eine solche Policy sind -- führen wird.

Empfehlung: Empfohlen wird ein Verweis auf eine separate Verordnung o. ä., die den Umgang mit Schwachstellen durch Behörden dezidiert regelt, anstatt einer Regelung der Prozesse über die im Entwurf angeführten Normen. Zudem wird eine Einführung des seit Jahren in Planung befindlichen Schwachstellenmanagements des Bundesministeriums des Innern, für Bau und Heimat am Beispiel des von der Stiftung Neue Verantwortung vorgelegten Entwurfs empfohlen[24]. Gleichzeitig sollte ein Errichtungsgesetz für die Schwachstellen-verarbeitende Zentrale Stelle für Informationstechnik im Sicherheitsbereich erarbeitet werden. Das ist dringend notwendig, da die Behörde ihre invasive Tätigkeit momentan ohne eine solche Gesetzesgrundlage ausübt. In den Gesetzen aller Schwachstellen-verarbeitenden Sicherheitsbehörden auf Bundesebene (u. a. Bundesnachrichtendienst, Bundeskriminalamt, Bundespolizei, Bundesamt für Verfassungsschutz, Bundeswehr, Zentrale Stelle für Informationstechnik im Sicherheitsbereich) muss eine Reziprozität bzgl. der Weitergabe von Schwachstellen ergänzt werden: Während das Bundesamt für Sicherheit in der Informationstechnik gem. § 3 Absatz 1 Satz 13 BSIG andere Bundesbehörden bei der Wahrnehmung ihrer gesetzlichen Aufgaben unterstützen muss, sind diese Bundesbehörden ihrerseits nicht verpflichtet, das Bundesamt für Sicherheit in der Informationstechnik durch die Weitergabe der von ihnen gefundenen oder erworbenen Schwachstellen zu unterstützen. Dies ist allerdings eine Grundvoraussetzung für die Wahrnehmung der gesetzlichen Aufgaben des Bundesamtes für Sicherheit in der Informationstechnik.

Auch vor diesem Hintergrund wäre eine stärkere fachliche Unabhängigkeit des Bundesamtes für Sicherheit in der Informationstechnik vom Bundesministerium des Innern, für Bau und Heimat zielführend.

6. Untersuchung der Sicherheit in der Informationstechnik

§ 7a BSIG-E in Verbindung mit §§ 7, 7a, 7b und 7c BSIG-E

Die Norm enthält wenige Einschränkungen darüber, welche informationstechnischen Produkte und Systeme das Bundesamt für Sicherheit in der Informationstechnik untersuchen darf (Absatz 1). Darüber hinaus darf das Bundesamt für Sicherheit in der Informationstechnik in diesem Kontext alle notwendigen Informationen von den Herstellern einfordern (Absatz 2). Eine anlasslose Untersuchung aller informationstechnischen Produkte und Systeme mit einer zusätzlichen Befugnis, externe Informationen anzufordern, ist sehr breit. Gleichzeitig werden dem Bundesamt kaum Beschränkungen auferlegt, wie es mit den so erworbenen Informationen verfahren darf (Verweis auf die sehr breite Norm § 3 Absatz 1 Satz 2 BSIG). Dies könnte folglich auch die Weitergabe von Informationen zu Schwachstellen an andere Sicherheitsbehörden beinhalten, welche die Schwachstellen ausnutzen und damit dem gesetzlichen Auftrag des Bundesamtes für Sicherheit in der Informationstechnik zuwiderhandeln würden.

Empfehlung: Zusätzlich zu den unter „5. Schwachstellenmanagement und -meldewesen“ genannten Empfehlungen sollte aufgrund der vorausgegangenen Analyse eine defensive Zweckbindung der so erlangten Informationen über die IT-Produkte und Systeme eingefügt werden (Absätze 2, 3 und 4). Zusätzlich sollte eine weitere Verengung der Norm geprüft werden.

7. IT-Sicherheit in Digitalisierungsvorhaben

§ 8 Absatz 4 BSIG-E

Die Zeitangabe “frühzeitig” im Kontext der Einbindung des Bundesamtes für Sicherheit in der Informationstechnik in Digitalisierungsvorhaben des Bundes wird in dieser Norm nicht näher definiert. Zusätzlich ist das Bundesamt für Sicherheit in der Informationstechnik gegenüber dem Bundesministerium des Innern, für Bau und Heimat fachlich weisungsgebunden und das Ministerium muss über jede Zusammenarbeit des Bundesamts für Sicherheit in der Informationstechnik informiert werden (vgl. § 26 GGO). Vor dem Hintergrund dieser Beschränkungen führt die Norm wahrscheinlich nicht zu der beabsichtigten früheren Einbindung des Bundesamts für Sicherheit in der Informationstechnik in Digitalisierungsvorhaben der Bundesverwaltung.

Empfehlung: Die Angabe „frühzeitig“ sollte präzisiert bzw. ein grober Zeitraum inkludiert werden. Weiterhin sollte ermöglicht werden, dass andere Behörden die Unterstützung des Bundesamts für Sicherheit in der Informationstechnik direkt und ohne vorherigen Kontakt zum Bundesministerium des Innern, für Bau und Heimat ersuchen können. Das würde auch die im Koalitionsvertrag angekündigte Stärkung des Bundesamts für Sicherheit in der Informationstechnik "in seiner Rolle als unabhängige und neutrale Beratungsstelle für Fragen der IT-Sicherheit"[25] fördern.

8. Kritische Komponenten und vertrauenswürdige Hersteller

§ 9b BSIG-E in Verbindung mit § 2 Absatz 13 BSIG-E

Die sehr breite Definition von „kritischen Komponenten“ in Verbindung mit der Garantieerklärung über die „gesamte Lieferkette des Herstellers“ auf Basis einer nicht näher definierten späteren Allgemeinverfügung des Bundesministeriums des Innern, für Bau und Heimat macht eine Bewertung dieser Norm ohne weitere Details schwer möglich. Der Anwendungsbereich dieser Norm geht weit über die technische IT- und Cybersicherheit hinaus, für die das Bundesamt für Sicherheit in der Informationstechnik – und damit das BSIG – verantwortlich ist. Dies wird unter anderem dadurch deutlich, dass in diesem Kontext das Bundesministerium des Innern, für Bau und Heimat und nicht mehr das Bundesamt für Sicherheit in der Informationstechnik genannt wird. Diese Perspektive wird dadurch verstärkt, dass sowohl die Inhalte der Garantieerklärung als auch die Risikobewertung des Herstellers der kritischen Komponente „im Einvernehmen mit den jeweils betroffenen Ressorts erfolgen“. Weiterhin soll zur Unterstützung ein fortlaufender Austausch durch einen „interministeriellen Jour Fixe […] (BMI, BMWi, AA, Bundeskanzleramt auf Ebene Referatsleitung)“ sichergestellt werden. Die Grundlage für eine fortlaufende, interministerielle Bewertung des Risikoprofils eines Herstellers, u. a. hinsichtlich „Organisationsstruktur […] Handlungen […] rechtlichen Verpflichtungen“ sollte jedoch nicht im BSIG-E gelegt werden. Gleichzeitig ist eine solche interministerielle Bewertung unter Einbeziehung sicherheitspolitischer Belange essenziell.

Hinsichtlich zukünftiger Telekommunikationsnetze muss auch grundsätzlich in Frage gestellt werden, inwieweit das geplante Vorgehen flexibel und responsiv genug ist, um Risiken in zunehmend software-definierten Netzwerken adäquat zu adressieren:

„Kritische Komponenten“ müssen zunächst durch den Katalog von Sicherheitsanforderungen nach § 109 Absatz 6 TKG näher bestimmt werden.
Kritische Komponenten „dürfen nur eingesetzt werden, wenn sie von einer anerkannten Prüfstelle überprüft und von einer anerkannten Zertifizierungsstelle zertifiziert wurden“ (§ 109 Absatz 2 TKG).
Betreiber müssen vor dem Einsatz einer kritischen Komponente zusätzlich eine Garantieerklärung des Herstellers beim Bundesministerium des Innern, für Bau und Heimat vorlegen.
Innerhalb eines Monats prüft das Bundesministerium des Innern, für Bau und Heimat die Garantieerklärung, u. a. basierend auf der Arbeit im interministeriellen Jour Fixe, und genehmigt oder untersagt den Einsatz.

5G-Netze sind zunehmend software-definiert, d. h. „kritische Komponenten“ sind meist Softwarekomponenten, deren Funktionalität zügig angepasst werden kann. Dieser zentrale Aspekt moderner Telekommunikationsnetze bleibt jedoch weitestgehend unberücksichtigt durch den engen Fokus auf Zertifizierung kritischer Komponenten. Bürokratische Kosten und Nutzen für die tatsächliche IT-Sicherheit unserer Telekommunikationsnetze stehen hier in einem schlechten Verhältnis.

Empfehlung: Die Norm § 9b BSIG-E sollte ersatzlos gestrichen und in ein separates Gesetzesvorhaben überführt werden.

9. Eingriff der Diensteanbieter in die Integrität von Kundensystemen

§ 7c BSIG-E Absatz 1 Satz 2 in Verbindung mit § 109a TKG Absätze 4,5 und 6

Es handelt sich hierbei um einen angeordneten Eingriff in das Computergrundrecht[26]. Es ist unklar, wie die operative Umsetzung aussähe und welche Schutzmechanismen ergriffen würden, um die Verfügbarkeit und Vertraulichkeit der betroffenen Datenverarbeitungssysteme durch die Veränderung der Integrität nicht zu beeinträchtigen. Darüber diese Maßnahme im Sinne der IT- und Cybersicherheit keinen erkennbaren zusätzlichen Schutz zu den Maßnahmen gem. TKG § 109a Absätze 4, 5 und 6.

Empfehlung: § 7c BSIG-E Absatz 1 Satz 2 sollte ersatzlos gestrichen werden.

10. Anordnungsbefugnis gegenüber Diensteanbietern

§ 7d BSIG-E

Es handelt sich hierbei um eine unpräzise gefasste Norm (Beispiel: „Vielzahl von Nutzern“). Dies ist vor dem Hintergrund eines möglicherweise hohen Erfüllungsaufwands problematisch.

Empfehlung: Diese Norm sollte weiter präzisiert werden.

11. Sonderrolle von Auswärtigem Amt und Bundeswehr

§ 4a BSIG-E Absätze 5 und 6 in Verbindung mit § 8 BSIG-E Absatz 1a und „Begründung“, „Besonderer Teil“

Mit § 4a BSIG-E werden zusätzliche Befugnisse geschaffen, damit das Bundesamt für Sicherheit in der Informationstechnik die IT-Sicherheit der Kommunikationstechnik des Bundes erhöhen kann. Die Begründung warum gem. der Absätze 5 und 6 (Teile der) Informations- und Kommunikationsstruktur der Bundeswehr und das Auswärtige Amt hiervon ausgenommen werden sollen ist aus IT-Sicherheitsperspektive schwer nachvollziehbar. Die Befugnisse des Bundesamtes für Sicherheit in der Informationstechnik sollen individuell über Verwaltungsvereinbarungen zwischen dem Bundesministerium der Verteidigung und dem Bundesministerium des Innern, für Bau und Heimat respektive dem Auswärtigen Amt und dem Bundesministerium des Innern, für Bau und Heimat geregelt werden, was die Transparenz einschränkt. Zusätzlich sollen Teile des Bundesministeriums der Verteidigung gem. §8 BSIG-E Absatz 1a von der Kontrolle und Überwachung des Mindeststandards für Sicherheit in der Informationstechnik des Bundes ausgenommen werden.

Während die Ausnahmeregelung gem. § 4a Absatz 6 für die Bundeswehr – u. a. auf Basis der eigenen IT-Fähigkeiten im Organisationsbereich Cyber- und Informationsraum – nachvollziehbar erscheint, ist die Ausnahme des Auswärtigen Amts gem. § 4a Absatz 5 unverständlich und ggf. gefährlich. Das liegt sowohl an den, im Gegensatz zur Bundeswehr, begrenzteren eigenen IT-Fähigkeiten, sowie der Homogenität der IT-Systeme (z. B. keine Wehrtechnik), als auch – wie im Referentenentwurf beschrieben – Cyberoperationen gegen das Ministerium. Gerade die Ausnahme des Auswärtigen Amtes wäre auf dieser Basis ein falsches Zeichen für die IT-Sicherheit in Deutschland.

Empfehlung: §4a BSIG-E Absatz 5 sollte ersatzlos gestrichen werden, zumindest aber sollte die Verwaltungsvereinbarung öffentlich gemacht werden müssen. §4a BSIG-E Absatz 6 müsste in der Begründung umfassender erklärt werden und die Verwaltungsvereinbarung sollte öffentlich gemacht werden müssen. Zu §8 BSIG-E Absatz 1a letzter Satz sollte wie folgt abgeändert werden: „Im Geschäftsbereich des Bundesministeriums der Verteidigung sind die Mindeststandards für Informations- und Kommunikationstechnik im Sinne des § 4a Absatz 6 grundsätzlich umzusetzen. Nur begründet im Verteidigungsauftrag nach vorhergehender Risikoanalyse sind hier individuelle Ausnahmen möglich“.

12. Staatliche Cybersicherheitsarchitektur

„Begründung“, „Allgemeiner Teil“, „VI. Gesetzesfolgen“, „2. Nachhaltigkeitsaspekte“

Der Referentenentwurf betrachtet die notwendige Reform der offensichtlich dysfunktionalen, zentralen Akteure der deutschen Cybersicherheitsarchitektur, dem Nationalen Cyber-Abwehrzentrum und dem Cyber-Sicherheitsrat nicht.

Empfehlung: Das IT-Sicherheitsgesetz 2.0 sollte genutzt werden, um die Strukturen des Nationalen Cyber-Abwehrzentrums und des Cyber-Sicherheitsrats zu klären und eine rechtliche Grundlage für die Arbeit dieser Institutionen, und der Zentralen Stelle für Informationstechnik im Sicherheitsbereich, zu schaffen. Dies sollte unter anderem Kooperationsmöglichkeiten und -grenzen, Verantwortlichkeiten, Aufgaben und Verortung in der deutschen Cybersicherheitsarchitektur beinhalten. Hierzu gehört beispielsweise die Trennung zwischen operativen und nicht operativen Aufgaben im Bereich der Cybersicherheit (vgl. u. a. BVerfG Leitsätze zum Urteil des Ersten Senats vom 19. Mai 2020)[27]. Weiterhin sollte die Bundesregierung einen Plan zu Weiterentwicklung der deutschen Cybersicherheitsarchitektur vorlegen, insbesondere vor dem Hintergrund der Gründung immer neuer Institutionen wie der Zentralen Stelle für Informationstechnik im Sicherheitsbereich, der Agentur für Sprunginnovationen, der Cyberagentur, dem Zentrum für Digitalisierungs- und Technologieforschung der Bundeswehr und vielen mehr, und damit möglicherweise entstehender unklarer Verantwortlichkeiten und Parallelstrukturen entgegenwirken.

C. Zusammenfassung

Durch die Weiterentwicklung der Gefährdungslage seit dem letzten IT-Sicherheitsgesetz ist es dringend geboten die IT-Sicherheitsgesetzgebung weiter zu verbessern. Aufgrund der bevorstehenden Bundestagswahlen 2021 wäre es für die IT-/Cybersicherheit in Deutschland wichtig eine entsprechende Gesetzgebung noch im ersten Halbjahr 2021 zu verabschieden. Wie dargestellt beinhaltet der vorliegende Entwurf jedoch noch elementare Schwächen und bedarf weiterer Überarbeitung. Folgendes Vorgehen würde aus hiesiger Sicht daher den kleinsten gemeinsamen Nenner darstellen:

Die Übernahme folgender Empfehlungen in den Gesetzestext ist notwendig:

„8. Kritische Komponenten und vertrauenswürdige Hersteller“

„9. Eingriff der Diensteanbieter in die Integrität von Kundensystemen“

„11. Sonderrolle von Auswärtigem Amt und Bundeswehr“

Die Übernahme folgender Empfehlungen kann in der Cybersicherheitsstrategie 2021 erfolgen:

„2. Evaluierung der bisherigen IT- und Cybersicherheitsmaßnahmen“

„12. Staatliche Cybersicherheitsarchitektur“

Die Übernahme folgender Empfehlung kann durch Einführung eines staatlichen Schwachstellenmanagements in 2021 erfolgen:

„5. Schwachstellenmanagement und -meldewesen“

Die Übernahme folgender Empfehlungen kann 2021 auf EU-Ebene erfolgen:

„1. IT-Sicherheit für die Gesellschaft durch Verbraucherschutz“

„4. Unternehmen im besonderen öffentlichen Interesse und Parteien“