Free

Alles auf Abwehr : Auswirkungen der EU-Netz- und Informationssicherheits-Richtlinie (NIS-RL)

Aufgrund der Umsetzung der EU-Netz- und Informationssicherheits-Richtlinie (NIS-RL) in nationales Recht gibt es eine Reihe neuer Rechte und Pflichten für Telekommunikationsprovider und (bestimmte) Anbieter „digitaler Dienste“ sowie deutlich mehr Kompetenzen für das BSI.

Lesezeit 16 Min.

Von Stefan Jaeger, Wiesbaden

Die EU-Richtlinie 2016/1148 „Maßnahmen zur Gewährleistung einer hohen gemeinsamen Netz- und Informationssicherheit in der Union“ (NIS-RL) ist am 8. August 2016 in Kraft getreten und hat eine Umsetzung in nationales Recht bis zum 9. Mai 2018 vorgegeben. Dies hat der deutsche Gesetzgeber sogar schon ein Jahr früher, nämlich am 27. April 2017, mit dem „Gesetz zur Umsetzung der NIS-RL“ vollzogen. Damit und mit dem (Artikel-)„Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme“ ITSG von 2015 werden sowohl dem Bundesamt für Sicherheit in der Informationstechnik (BSI) und anderen Behörden weitreichende Kompetenzen zugesprochen als auch Telekommunikationsprovidern eine Reihe neuer Instrumente zur Cyber-Abwehr an die Hand gegeben. Neu sind überdies Rechte und Pflichten für „Anbieter digitaler Dienste“, die nun ab dem 10. Mai anwendbar werden (§ 15 BSIG, s. u.).

Umleitungen

Im Gesetzgebungsverfahren wurde immer wieder ein Cyber-Angriff auf die Deutsche Telekom Ende 2016 erwähnt, bei dem fast 1 Million Router von Telekom-Kunden zum Ziel geworden waren: Sie sollten Teil eines Bot-Netzes werden, was jedoch zum Glück scheiterte. Auf diesen Vorfall nehmen die Parlamentarier sogar in der Gesetzesbegründung ausdrücklich Bezug. Zu Recht sehen sie die Provider im Fokus, wenn es um die Bekämpfung solcher Attacken geht, denn über ihre Netze erfolgen Informationsaustausch und Angriffe – ohne sie geht es nicht, weder im Guten noch im Schlechten. Man hat sich daher entschlossen, ihnen mehr Befugnisse einzuräumen, um solche Angriffe möglichst frühzeitig erkennen zu können und gegenzulenken. Die bisherigen Regelungen waren dafür nach Ansicht des Gesetzgebers nicht ausreichend.

Im Rahmen der Kompetenzerweiterung des BSI ist derjenige, der ein öffentliches Telekommunikationsnetz betreibt oder öffentlich zugängliche Telekommunikationsdienste erbringt, nun verpflichtet, nicht nur der Bundesnetzagentur Beeinträchtigungen von Telekommunikationsnetzen und -diensten mitzuteilen, die zu beträchtlichen Sicherheitsverletzungen führen oder führen können, sondern auch das Bundesamt für Sicherheit in der Informationstechnik zu informieren (§ 109 Abs. 5 TKG).

Durch eine weitere Ergänzung des Telekommunikationsgesetzes erhalten Provider nunmehr aber auch eigene Handlungsmöglichkeiten, um Cyber-Angriffe wirkungsvoller abzuwehren beziehungsweise zu stoppen (§ 109a TKG – www.gesetze-im-internet.de/tkg_2004/). Eine der Maßnahmen, die sich in der Praxis als wirksam herausgestellt haben, ist das Umleiten von Internetverkehr zu einem anderen als dem eigentlich vorgesehenen Ziel (bzw. Server). Der Diensteanbieter wird nach der Neufassung des Gesetzes nunmehr ermächtigt, „im Falle einer Störung die Nutzung des Telekommunikationsdienstes
bis zur Beendigung der Störung einzuschränken, umzuleiten oder zu unterbinden, soweit dies erforderlich ist, um die Beeinträchtigung der Telekommunikations- und Datenverarbeitungssysteme des Diensteanbieters, eines Nutzers im Sinne des Absatzes 4 oder anderer Nutzer zu beseitigen oder zu verhindern und der Nutzer die Störung nicht unverzüglich selbst beseitigt oder zu erwarten ist, dass der Nutzer die Störung selbst nicht unverzüglich beseitigt.“ (§ 109 a Abs. 5 Satz 1 TKG).

Er darf auch „den Datenverkehr zu Störungsquellen einschränken oder unterbinden, soweit dies zur Vermeidung von Störungen in den Telekommunikations- und Datenverarbeitungssystemen der Nutzer erforderlich ist“ (§ 109 a Abs. 6 TKG).

Der Gesetzgeber hat damit dem Diensteanbieter beispielsweise die Durchführung des sogenannten (DNS-) Sinkhole-Verfahrens erlaubt, bei dem ein Nameserver bewusst „fehlerhafte“ Informationen herausgibt. Ein solches Verfahren ist sehr effektiv, um beispielsweise Bot-Nets zu stoppen oder abzuschwächen.

Steuerdaten

Telekommunikationsanbieter profitieren zudem von einer deutlichen Erweiterung des § 100 TKG. Nach der Fassung von 2015 war ihnen erlaubt, soweit erforderlich, Bestandsdaten und Verkehrsdaten der Teilnehmer und Nutzer zu erheben und zu verwenden, um Störungen oder Fehler in Telekommunikationsanlagen zu erkennen, einzugrenzen oder zu beseitigen. In der nun gültigen Fassung darf ein Provider (Diensteanbieter) nunmehr auch die „Steuerdaten eines informationstechnischen Protokolls zur Datenübertragung, die unabhängig vom Inhalt eines Kommunikationsvorgangs übertragen oder auf den am Kommunikationsvorgang beteiligten Servern gespeichert werden und zur Gewährleistung der Kommunikation zwischen Empfänger und Sender notwendig sind, erheben und verwenden, um Störungen oder Fehler an Telekommunikationsanlagen zu erkennen, einzugrenzen oder zu beseitigen.“

Um auszuschließen, dass auch Kommunikationsinhalte von der Befugnis umfasst werden, stellt der Gesetzgeber in einem neu eingeschobenen Absatz 2 sofort klar, dass diese nicht Bestandteil der Steuerdaten eines informationstechnischen Protokolls zur Datenübertragung sind. Damit zulässigerweise erhobene Daten nicht missbraucht werden können, bestimmt ein neu eingefügter
Absatz 4 zudem, dass diese unverzüglich zu löschen sind, sobald sie für die Beseitigung einer Störung nicht mehr erforderlich sind – und ein neuer Absatz 5 stellt klar, dass eine Nutzung der Daten zu anderen Zwecken unzulässig ist. Eine Zuwiderhandlung ist im Übrigen eine Ordnungswidrigkeit und kann mit einer Geldbuße bis zu 100.000 € belegt werden (§149 Abs. 1 Ziffer 17 lit. c TKG).

Der Diensteanbieter wird auch nach solchen Vorgängen zusätzlich in die Pflicht genommen: So muss er den betrieblichen Datenschutzbeauftragten unverzüglich über die Verfahren und Umstände der Maßnahme informieren, wenn die Daten nicht automatisiert erhoben und verwendet wurden (§ 100 Abs. 1 Satz 6 TKG). Außerdem muss er am Ende eines Quartals den betrieblichen Datenschutzbeauftragten, die Bundesnetzagentur (BNetzA) und die Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) detailliert schriftlich über die Verfahren und Umstände solcher Maßnahmen im Berichtszeitraum unterrichten (§ 100 Abs. 1 Satz 7 TKG) – die BNetzA leitet diese Informationen zudem an das BSI weiter. Ein Diensteanbieter muss zudem auch den Betroffenen benachrichtigen, soweit er ermittelbar ist.

Unklare Definition des Erlaubten

Ohne Not führt der Gesetzgeber in diesem Zusammenhang den neuen Begriff der „Steuerdaten“ ein, ohne im Gesetz an irgendeiner Stelle zu verankern, was er darunter versteht. Dies wäre umso wichtiger, als dieser Begriff – soweit erkennbar – bislang im Rahmen dieser und vergleichbarer Gesetze nicht verwendet wurde und etwa in § 3 TKG ebenfalls nicht definiert ist. Auch das Referenzmodell für Netzwerkprotokolle, das von der International Telecommunication Union (ITU) und ein Jahr später 1984 von der International Organisation for Standardization (ISO) als ISO/OSI-Schichtenmodell standardisiert worden ist, kennt keine „Steuerdaten“.

Ob es weise ist, neue Begrifflichkeiten einzuführen, ohne diese scharf gegen bestehende Standards abzugrenzen, erscheint fraglich – zumal dann, wenn eine Providern zusätzlich eingeräumte Befugnis unter Umständen durchaus in das Fernmeldegeheimnis eingreifen kann. Ob diese Regelung damit noch verfassungsgemäß ist, darf zumindest hintergefragt werden. Auch dem Provider tut der Gesetzgeber damit keinen Gefallen: Denn auf der einen Seite ist er gezwungen, bei der Abwehr von Cyber-Angriffen mitzuwirken – auf der anderen Seite gibt man ihm keine Erlaubnisvorschrift an die Hand, die eine glasklare Regelung enthält, was erlaubt ist und was nicht.

Offenbar wurde dies auch recht spät ergänzt: Der erste Gesetzesentwurf (BR-Drucksache 64/17) hatte keine solche Erweiterung des § 100 TKG vorgesehen. Erst auf Beschlussempfehlung und Bericht des Ausschusses zum Gesetzesentwurf wurde am 30. März 2017 der Artikel 5 um die dargestellten Passagen erweitert (BT-Drucksache 18/11808). In der Begründung wird sodann ausgeführt, dass bei solchen Angriffen eine Schadfunktion zumeist nicht Bestandteil der Verkehrsdaten (bes. der IP-Header) sei und es dadurch erforderlich sein könne, neben Verkehrsdaten auch weitere Daten zu untersuchen (vgl. http://dipbt.bundestag.de/dip21/btd/18/118/1811808.pdf, S. 9).

Die Begründung führt weiter aus: „Hierbei geht es um Teile der Protokolle, also um Steuerdaten eines informationstechnischen Protokolls zur Datenübertragung, die unabhängig vom Inhalt eines Kommunikationsvorganges übertragen oder auf den am Kommunikationsvorgang beteiligten Servern gespeichert werden und zur Gewährleistung der Kommunikation zwischen Empfänger und Sender notwendig sind. Es handelt sich um Informationen, die sich aus den verschiedenen Layern des sogenannten OSI-Schichtmodells der ITU ergeben, also um Informationen zu technischen Übertragungsprotokollen, nicht jedoch um Inhalte eines Kommunikationsvorganges, die damit übertragen werden. Sofern die Datenübertragung zugleich einen Telekommunikationsvorgang darstellt (z. B. das Senden einer E-Mail), sind die Steuerdaten des informationstechnischen Protokolls zur Datenübertragung zugleich Verkehrsdaten im Sinne des gemäß [sic!] § 3 Nr. 30 TKG.“

Dieser Versuch einer Definition dessen, was Steuerdaten darstellen sollen, findet sich sonst nirgendwo im gesamten Gesetzgebungsverfahren – wobei sie doch erheblich erscheint, um die Befugnisse des Providers bei solchen Maßnahmen klar zu umgrenzen. Warum niemand die Stimme erhob, um eine Legaldefinition gesetzestechnisch zu verankern (bspw. in § 3 TKG), bleibt das Geheimnis der beteiligten Abgeordneten.

Erhebliche Anforderungen

Der Ausschuss geht weiter davon aus, dass die genannten Vorgänge grundsätzlich einer Vorabkontrolle nach Bundesdatenschutzgesetz unterliegen (§ 4 lit. d Abs. 5f und 6 BDSG). Wenn jedoch keine Kommunikationsvorgänge betroffen sein sollen und man davon ausgehen darf, dass die „Steuerdaten“ grundsätzlich keine besonderen Risiken für die Rechte und Freiheiten der Betroffenen aufweisen, dann muss man sich fragen, wie die Auffassung des Ausschusses mit dem referenzierten BDSG-Paragrafen in Einklang zu bringen ist, der ja gerade als Voraussetzung für eine Vorabkontrolle aufführt, dass die automatisierte Verarbeitung von Daten eben doch besondere Risiken mit sich bringt. Auch die vorgesehene Benachrichtigung Betroffener wirft die Frage auf, wann eine solche Informationspflicht fällig ist – hierzu äußert sich die Begründung nicht. Dies ist insofern problematisch, als davon auszugehen ist, dass eine entsprechende Unterrichtungspflicht „sobald als möglich“ besteht – was wiederum bedeutet, dass bei Kenntnis des Betroffenen dieser bereits während der laufenden Maßnahme zu unterrichten ist, was womöglich sogar die Durchführung der Maßnahme gefährden könnte.

In Ermangelung anderer Anhaltspunkte könnte man auch davon ausgehen, dass der Betroffene unmittelbar zu unterrichten ist, wenn die Maßnahme abgeschlossen ist. Da er aber auch über Umfang und Intensität des Eingriffs zu informieren ist, muss dies sicherlich geschehen, bevor nach Absatz 4 die erhobenen Daten zu löschen sind („unverzüglich“), denn sonst wäre eine solche Information mangels vorliegender Daten eventuell nicht mehr möglich.

Keine digitalen Dienste

Die folgenden Dienste sind nicht als digitale Dienste im Sinne des BSI-Gesetzes anzusehen:

Nicht „im Fernabsatz“ erbrachte Dienste

  • Untersuchung oder Behandlung in der Praxis eines Arztes mithilfe elektronischer Geräte, aber in Anwesenheit eines Patienten
  • Konsultation eines elektronischen Katalogs in einem Geschäft in Anwesenheit des Kunden
  • Buchung eines Flugtickets über ein Computernetz, wenn sie in einem Reisebüro in Anwesenheit des Kunden vorgenommen wird
  • Bereitstellung elektronischer Spiele in einer Spielhalle in Anwesenheit des Benutzers

Nicht „elektronisch“ erbrachte Dienste

  • Dienste, die zwar mit elektronischen Geräten, aber in materieller Form erbracht werden, wie Geldausgabe- oder Fahrkartenautomaten oder der Zugang zu gebührenpflichtigen Straßennetzen, Parkplätzen et cetera, auch wenn elektronische Geräte bei der Ein- und/oder Ausfahrt den Zugang kontrollieren und/oder die korrekte Gebührenentrichtung gewährleisten
  • Offline-Dienste, wie der Vertrieb von CD-ROMs oder Software auf Disketten
  • Dienste, die nicht über elektronische Verarbeitungs- und Speicherungssysteme erbracht werden, wie Sprachtelefonie-, Telefax-/Telexdienste sowie über Sprachtelefon oder Fax erbrachte Dienste (inkl. medizinischer oder anwaltlicher Beratung) sowie Direktmarketing per Telefon/Fax

Nicht „auf individuellen Abruf eines Empfängers“ erbrachte Dienste

  • Dienste, die im Wege einer Übertragung von Daten ohne individuellen Abruf gleichzeitig für eine unbegrenzte Zahl von einzelnen Empfängern erbracht werden (sog.Punkt-zu-Mehrpunkt-Übertragung) – etwa Fernsehdienste (gem. Art. 1 Abs. 1 lit. € der Richtlinie 2010/13/EU inkl. zeitversetztem Video-Abruf), Hörfunkdienste oder Teletext (über Fernsehsignal)

Digitale Dienste

Zur Umsetzung der NIS-Richtlinie wurde auch der neue § 8 c des BSI-Gesetzes (BSIG) eingeführt, der besondere Anforderungen an Anbieter digitaler Dienste stellt. Diese haben nunmehr „geeignete und verhältnismäßige, technische und organisatorische Maßnahmen zu treffen, um Risiken für die Sicherheit der Netz- und Informationssysteme, die sie zur Bereitstellung der digitalen Dienste innerhalb der Europäischen Union nutzen, zu bewältigen. Sie haben Maßnahmen zu treffen, um den Auswirkungen von Sicherheitsvorfällen auf innerhalb der Europäischen Union erbrachte digitale Dienste vorzubeugen oder die Auswirkungen so gering wie möglich zu halten.“ (§ 8 c Abs. 1 BSIG)

Eine Definition dessen, was digitale Dienste sind, findet sich im ebenfalls neuen § 2 Abs. 11 BSIG: „Digitale Dienste im Sinne dieses Gesetzes sind Dienste im Sinne von Artikel 1 Abs. 1 b) der Richtlinie (EU) 2015/1535 des Europäischen Parlaments und des Rates vom 09. September 2015 über ein Informationsverfahren auf dem Gebiet der technischen Vorschriften und der Vorschriften der Dienste der Informationsgesellschaft (ABl. L241 vom 17.09.2015, S. 1), und die …“

Die Formulierung „und die …“ am Ende dieses Absatzes (es folgen Ziffern 1 bis 3) wird, vor allem wenn man sich die genannte Richtlinie anschaut, nur so zu verstehen sein, dass die Voraussetzungen der Richtlinie kumulativ zu den jeweiligen Voraussetzungen der Ziffern 1 bis 3 hinzutreten müssen. Die Richtlinie formuliert nämlich: „eine Dienstleistung der Informationsgesellschaft, d. h. jede in der Regel gegen Entgelt elektronisch im Fernabsatz und auf individuellen Abruf eines Empfängers erbrachte Dienstleistung“ (Art. 1 Abs. 1 lit. b).

Des Weiteren wird „im Fernabsatz“ so definiert, dass eine Dienstleistung ohne gleichzeitige physische Anwesenheit der Vertragsparteien erbracht wird, das
Ganze elektronisch, nämlich mittels Geräten für die
elektronische Verarbeitung (einschließlich digitaler
Kompression) und Speicherung von Daten im Ausgangspunkt gesendet und am Endpunkt empfangen wird,
die Kommunikation vollständig über Draht, Funk, auf
optischem oder anderem elektromagnetischem Wege
gesendet, weitergeleitet und empfangen wird und das
Ganze auf individuellen Abruf oder Anforderung erbracht
wird. Der Anhang 1 der Richtlinie listet dann noch eine
Reihe von Diensten auf, die nicht unter diese Definition
fallen sollen – beispielsweise Direktmarketing am Telefon,
Sprachtelefondienste, Geldausgabeautomaten, medizinische oder anwaltliche Beratung am Telefon oder per
Fax.

Insofern fallen die drei ausdrücklich im BSIG aufgelisteten und definierten digitalen Dienste unter dieses Gesetz, nämlich

  • Online-Marktplätze (§ 2 Abs. 11 Ziffer 1 BSIG),
  • Online-Suchmaschinen (§ 2 Abs. 11 Ziffer 2 BSIG) und
  • Cloud-Computing-Dienste (§ 2 Abs. 11 Ziffer 3 BSIG)

Ausnahme „kleinerer“ Unternehmen

Eine wichtige Einschränkung dieser Regelung findet man im neu eingefügten Absatz 4 des neu durchnummerierten § 8 d BSIG. Dieser nimmt nämlich Kleinstunternehmen und kleine Unternehmen im Sinne der Empfehlung der Kommission 2003/361/EG von § 8 c BSIG aus. Diese Empfehlungen der Kommission vom Mai 2003 (Amtsblatt der EU L 124/36) definieren Mitarbeiterzahlen sowie finanziellen Schwellenwerte für Unternehmensklassen.

Demnach umfasst die Größenklasse der Kleinstunternehmen sowie der kleinen und mittleren Unternehmen (KMU) Organisationen, die weniger als 250 Personen beschäftigen und die entweder einen Jahresumsatz von höchstens 50 Mio. € erzielen oder deren Jahresbilanzsumme sich auf höchstens 43 Mio. € beläuft (Anhang zu Art. 2 Abs. 1 der Kommissionsempfehlung).

Absatz 2 definiert „kleine“ Unternehmen als Organisationen, die weniger als 50 Personen beschäftigen und deren Jahresumsatz beziehungsweise -bilanz 10 Mio. € nicht übersteigen und Kleinstunternehmen (Absatz 3) als Unternehmen, die weniger als 10 Personen beschäftigen und einen Jahresumsatz beziehungsweise eine Jahresbilanz von 2 Mio. € nicht überschreiten. Somit bleibt eine erhebliche Zahl von Unternehmen in Deutschland von den in § 8 c BSIG formulierten Anforderungen und Pflichten verschont.

Sicherheitsmaßnahmen

Die betroffenen Anbieter digitaler Dienste müssen allerdings geeignete technische und organisatorische Maßnahmen treffen, um Risiken der Netz- und Informationssysteme zu bewältigen. Ferner müssen sie auch Maßnahmen treffen, um den Auswirkungen von Sicherheitsvorfällen auf innerhalb der Europäischen Union erbrachte digitale Dienste vorzubeugen oder die Auswirkungen so gering wie möglich zu halten (§ 8 c Abs. 1 BSIG).

Diese Maßnahmen müssen – unter Berücksichtigung des jeweiligen aktuellen Stands der Technik – ein Sicherheitsniveau der Netz- und Informationssysteme gewährleisten, das dem bestehenden Risiko angemessen ist. Ein besonderes Augenmerk fällt hierbei auf die Sicherheit der Systeme und Anlagen sowie die Erkennung, Analyse und Eindämmung von Sicherheitsvorfällen, das Business-Continuity-Management, die Überwachung, Überprüfung, Erprobung und Einhaltung internationaler Normen.

Die hierzu notwendigen Maßnahmen sollen über Durchführungsakte der Kommission nach Artikel 16 Abs. 8 der Richtlinie (EU) 2016/1148 näher bestimmt werden.

Meldepflichten

Vom Gesetz betroffene Anbieter digitaler Dienste haben jeden Sicherheitsvorfall, der erhebliche Auswirkungen auf die Bereitstellung eines von ihnen innerhalb der Europäischen Union erbrachten digitalen Dienstes hat, dem BSI unverzüglich zu melden (§ 8 c Abs. 3 Satz 1 BSIG). Welche Voraussetzungen gegeben sein müssen, nach denen eine Auswirkung eines Sicherheitsvorfalles erheblich ist, soll ebenfalls durch Durchführungsakte der Kommission gemäß des genannten Artikels bestimmt werden – und zwar unter Berücksichtigung folgender Parameter:

  • die Zahl der von dem Sicherheitsvorfall betroffenen Nutzer, vor allem der Nutzer, die den Dienst für die Bereitstellung ihrer eigenen Dienste benötigen
  • die Dauer des Sicherheitsvorfalls
  • das vom Sicherheitsvorfall betroffene geografische Gebiet
  • das Ausmaß der Unterbrechung der Bereitstellung des Dienstes
  • das Ausmaß der Auswirkungen auf wirtschaftliche und gesellschaftliche Tätigkeiten

Hat ein Anbieter digitaler Dienste keinen ausreichenden Zugang zu Informationen, die erforderlich sind, um die Auswirkung eines Sicherheitsvorfalles aufgrund dieser Parameter zu bewerten, entfällt die Pflicht zur Meldung dieses Sicherheitsvorfalls. Für den Fall, dass der Sicherheitsvorfall Auswirkungen in einem anderen Mitgliedsstaat der Europäischen Union haben kann, ist das BSI verpflichtet, die zuständige Behörde dieses Mitgliedsstaates zu unterrichten.

Sollte die Kommission keine abschließenden Bestimmungen treffen, wird alternativ das Bundesministerium des Inneren (BMI) ermächtigt, diese Bestimmungen im Einvernehmen mit den jeweils betroffenen Ressorts durch eine Rechtsverordnung zu regeln, die nicht der Zustimmung des Bundesrates bedarf (§ 10 Abs. 4 BSIG).

Liegen Anhaltspunkte dafür vor, dass ein Anbieter digitaler Dienste die genannten Sicherheitsanforderungen nicht erfüllt, kann das BSI von ihm die Übermittlung der zur Beurteilung der Sicherheit seiner Netz- und Informationssysteme erforderlichen Informationen (inkl. der Nachweise bei ergriffenen Sicherheitsmaßnahmen) sowie die Beseitigung von Mängeln verlangen (§ 8 c Abs. 4 BSIG).

Interessant ist hier, dass das Gesetz den Fall der Ersatzvornahme für den Fall der Nichtregelung durch die Kommission nicht erwähnt. Dies ist insofern kritisch, als ein Verstoß gegen die Regelung nach § 14 Abs. 1 Ziffer 7 BSIG ordnungswidrig ist und mit einer Geldbuße bis zu 50.000 e geahndet werden kann. Was aber, wenn ein Anbieter digitaler Dienste seinen Verpflichtungen nicht nachkommt, die Kommission aber auch noch keine Anforderungen konkretisiert hat und dies daher durch das BMI geschehen ist?

Die -Rubrik „Recht“ gibt Tipps zu Rechtsfragen der ITK sowie der Informationssicherheit und informiert über aktuelle Urteile aus diesem Bereich. Rechtsanwalt Stefan Jaeger betreut diese Kolumne seit 2013. Er ist Partner bei SIMON und Partner und referiert über IT-Rechtsfragen seit Jahren an der Deutschen Richterakademie und beim Deutschen Richterbund. Er ist darüber hinaus Referatsleiter Datenschutz bei der GenoServ eG.

Mehr BSI-Kompetenzen

In einer Pressemitteilung hat das BSI jedenfalls angekündigt, dass es den neuen Kompetenzrahmen begrüßt und weiterhin mit Unternehmen in kooperativer Art und Weise zusammenarbeiten wird.

Der neu eingefügte § 5 a BSIG berechtigt das Amt, in herausgehobenen Fällen von Angriffen oder Beeinträchtigungen der Sicherheit informationstechnischer Systeme des Bundes Maßnahmen zu treffen, um die Sicherheit und Funktionsfähigkeit des betroffenen Systems wiederherzustellen – dies kann auch auf Ersuchen eines Betreibers einer kritischen Infrastruktur erfolgen. Das Gesetz regelt auch gleich, dass für Erstmaßnahmen zur Schadensbegrenzung und zur Sicherstellung des Notbetriebs auch vor Ort vom BSI keine Gebühren oder Auslagen erhoben werden dürfen (§ 5 a Abs. 1 Satz 2 BSIG).

Soweit es zur Wiederherstellung der Sicherheit oder Funktionsfähigkeit der betroffenen IT-Systeme erforderlich oder angemessen ist, darf das BSI auch personenbezogene oder dem Fernmeldegeheimnis unterliegende Daten erheben und verarbeiten (§ 5 a Abs. 3 Satz 1 BSIG). Soweit es erforderlich ist, kann im Übrigen der Hersteller eines IT-Systems aufgefordert und verpflichtet werden, an der Wiederherstellung von Sicherheit oder Funktionsfähigkeit mitzuwirken. Das BSI kann sich zudem mit Einwilligung des Ersuchenden der Hilfe qualifizierter Dritter bedienen, deren Kosten dann jedoch der Hilfesuchende zu tragen hat.

Nach dem Willen des Gesetzgebers bildet das BSI zur Unterstützung anderer Stellen bei der Wiederherstellung ihrer IT-Systeme sogenannte Mobile Incident-Response-Teams (MIRTs – siehe BR-Drucksache 64/17, http://dipbt.bundestag.de/dip21/brd/2017/0064-17.pdf). § 5 a BSIG schafft auch eine Rechtsgrundlage für die erforderlichen Maßnahmen eines MIRT – etwa indem es notwendige Eingriffe in das Fernmeldegeheimnis ermöglicht.

KRITIS-Betreiber

Betreiber kritischer Infrastrukturen (KRITIS) sind nach § 8 a BSIG bekanntermaßen verpflichtet, angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer IT-Systeme, Komponenten und Prozesse zu treffen. Hierzu wurde nunmehr das Recht des BSI ergänzt, die Vorlage der Dokumentation zu verlangen, die einer Überprüfung zugrunde liegt (§ 8 a Abs. 3 Satz 4 BSIG). Bei Sicherheitsmängeln kann das Amt im Einvernehmen mit der zuständigen Aufsichtsbehörde des Bundes oder im Benehmen mit der sonst zuständigen Aufsichtsbehörde die Beseitigung der Sicherheitsmängel fordern.

Eine zusätzliche Ermächtigung regelt der neu eingefügte Absatz 4: Das BSI darf nunmehr bei einem KRITIS-Betreiber die Einhaltung der Anforderungen überprüfen – dabei kann es sich wahlweise qualifizierter unabhängiger Dritter bedienen. Der Betreiber wiederum muss den hierzu handelnden Personen zum Zweck der Überprüfung das Betreten der Geschäfts- und der Betriebsräume während der üblichen Betriebszeiten gestatten. Das BSI kann auch verlangen, in Betracht kommende Aufzeichnungen, Schriftstücke und sonstige Unterlagen vorzulegen. Der Betreiber muss Auskunft erteilen und auch ansonsten die erforderliche Unterstützung gewähren.

Fazit

Insgesamt hat der Gesetzgeber umfangreiche Regelungen erlassen, welche die Kompetenzen und Möglichkeiten des BSI für einen Teil der ihm zugewiesenen Aufgaben erheblich erweitern, die Pflichten der Betreiber kritischer Infrastrukturen erhöhen und diejenigen größeren Unternehmen, die bestimmte digitale Dienste anbieten, nunmehr zur Einhaltung bestimmter Pflichten
gesetzlich verpflichten.

Die Umsetzung in der Praxis wird sicherlich nicht vereinfacht durch die oft sehr komplizierte Sprache sowie den Aufbau des Gesetzes mit den oftmals leider notwendigen Rückgriffen auf Regelungen und Maßgaben innerhalb der EU.

Diesen Beitrag teilen: