IT-Sicherheitsregulierung – quo vadis?

Ein Überblick über aktuelle politische und gesetzgeberische Vorhaben

Während die Regulierung der IT-Sicherheit im Vergleich zur technischen Realisierung früher fast ein Nischendasein fristete, hat sich mittlerweile viel getan – vor allem seit dem ersten IT-Sicherheitsgesetz von 2015. Anlässlich der anstehenden Novellierung zum „IT-Sicherheitsgesetz 2.0“ zieht unsere Rechtsrubrik eine Zwischenbilanz und wirft einen Blick auf aktuelle Regulierungsvorhaben.

Von Dennis-Kenji Kipker, Bremen

Vor dem Jahr 2015 war die rechtliche Regelung der IT-Sicherheit vor allem eines: ein Insiderthema. Eigenständige Gesetzgebung war in diesem Zusammenhang weitestgehend unbekannt und die technisch-organisatorische Absicherung von Datenverarbeitungsprozessen war zumindest unter Gesichtspunkten juristischer Compliance vornehmlich ein Anhängsel zum Datenschutzrecht. Das hat sich jedoch mit dem ersten IT-Sicherheitsgesetz (ITSiG) 2015 grundsätzlich geändert: Das IT-SiG brachte nicht nur eine Reihe von Pflichten für Betreiber von kritischen Infrastrukturen (KRITIS) mit sich, sondern gab vor allem auch dem BSI mehr Befugnisse.

Mittlerweile erfasst die IT-Sicherheitsregulierung viel mehr Bereiche als nur den KRITIS-Sektor: So betrifft die EU-Richtlinie zur Netz- und Informationssicherheit (NIS) auch Anbieter von digitalen Diensten (Cloud-Computing, Online-Marktplätze und Suchmaschinen). Und mehr und mehr werden auch Regelungen für Industrie-4.0-Prozesse, das Internet of Things (IoT) und verbraucherschützende Maßnahmen über den B2B-Sektor hinaus ergriffen. Die Grundlage für gesetzgeberisches und behördliches Handeln in der IT-Sicherheit bilden dabei zuvorderst Strategiepapiere, die einen Ausblick darauf geben, wie es in naher Zukunft weitergeht.

Nationale Cybersicherheits-Strategie

Die letzte – und noch aktuelle – deutsche Cybersicherheits- Strategie datiert auf 2016 und wird zurzeit umfassend überarbeitet. Dazu hat man in einer ersten Verfahrensrunde im vergangenen Jahr schriftliche Anmerkungen für alle vier Handlungsfelder gesammelt – darauf basierend fanden im September 2020 in einer zweiten Verfahrensrunde Evaluierungsworkshops statt. Die Verabschiedung der neuen Strategie ist für das Frühjahr 2021 geplant. Bisher wurden dabei die folgenden Handlungsfelder adressiert:

  • sicheres und selbstbestimmtes Handeln in einer digitalisierten Umgebung,
  • gemeinsamer Auftrag von Staat und Wirtschaft,
  • leistungsfähige und nachhaltige gesamtstaatliche Cybersicherheits-Architektur sowie
  • aktive Positionierung Deutschlands in der europäischen und internationalen Cybersicherheits-Politik.

Als politische Papiere entfalten Cybersicherheits- Strategien zwar keine unmittelbare Rechtswirkung, sie beeinflussen jedoch die Gesetzgebung in der IT-Sicherheit. Wichtige Aspekte, welche die neue nationale Cybersicherheits- Strategie adressiert, sind deshalb auch solche, die in den letzten Jahren Gegenstand intensiver politischer Auseinandersetzung waren. Dazu gehören der Fokus auf die Sicherstellung digitaler Souveränität, das Messbarmachen von IT-Sicherheit, Usability, Security by Design, die weitere Förderung der Public-Private-Partnerships (PPP) und die Berücksichtigung nicht nur wie bisher vor allem der Betreiber, sondern auch der Hersteller und Lieferanten von Hard- und Software. Erklärtes Ziel wird darüber hinaus vermutlich auch sein, Unternehmen und Einrichtungen jenseits von KRITIS verstärkt in die Pflicht zu nehmen.

IT-Sicherheitsgesetz 2.0

Die Erweiterung des Adressatenkreises gesetzlicher Regelungen zur IT-Sicherheit ist ebenfalls erklärtes Ziel des „Zweiten Gesetzes zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-SiG 2.0)“. Damit dürften zahlreiche Neuerungen auf einen großen Kreis von Unternehmen und Verantwortlichen zukommen.

So fruchtlos die Diskussion um dieses zweite ITSicherheitsgesetz in den letzten Jahren auch gewesen sein mag, so hat sich vor allem im letzten halben Jahr sehr viel in der Regulierung dieses Bereichs getan: Der erste Referentenentwurf für ein IT-SiG 2.0 wurde schon Ende März 2019 veröffentlicht; bis zur zweiten Entwurfsfassung ist nicht zuletzt aufgrund der politisch angeheizten Debatte um den 5G-Ausbau mehr als ein Jahr vergangen. Der dritte Entwurf folgte Mitte November 2020 und dann ging es mit insgesamt drei weiteren Entwurfsfassungen Schlag auf Schlag bis hin zum Kabinettsbeschluss am 16. Dezember 2020 (www.bmi.bund.de/SharedDocs/gesetzgebungsverfahren/ DE/entwurf-zweites-it-sicherheitsgesetz.html).

Am 12. Februar 2021 war der Entwurf Gegenstand von Beratungen im Bundesrat. Hier wurde seitens der Ländervertreter vor allem die Befürchtung geäußert, dass der Bund übermäßig in Gesetzgebungskompetenzen der Länder eingreifen könnte, wenn er die Regulierung der ITSicherheit als Aufgabe der Gefahrenabwehr wahrnimmt. Diese Kritik hat sich am 1. März 2021 in der Sachverständigenanhörung im Bundestag mit weiteren erheblichen Punkten fortgesetzt.

Die verschiedenen Entwurfsfassungen für das IT-SiG 2.0 waren aber schon von Anfang an mit Kritik behaftet, die sich für nicht wenige der vorgeschlagenen Regelungen bislang durch das gesamte Gesetzgebungsverfahren zog. So stellt sich die Frage, was an zentralen Regulierungsvorschlägen erhalten geblieben ist. Die Kabinettsfassung des IT-SiG 2.0 sieht vor, dass das Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSIG), das Telekommunikationsgesetz (TKG), das Gesetz über die Elektrizitäts- und Gasversorgung (EnWG), die Außenwirtschaftsverordnung (AWV) sowie das Zehnte Buch Sozialgesetzbuch (SGB X) Änderungen erfahren.

Das Gros der Änderungen erfolgt im BSIG: Hier sollen nach dem Willen des Gesetzgebers die kritischen Infrastrukturen um die „Siedlungsabfallentsorgung“ ergänzt werden – neu hinzutreten sollen außerdem die „Unternehmen im besonderen öffentlichen Interesse“. In diesem Zusammenhang dürfte vor allem interessant werden, welches die sogenannten „größten Unternehmen nach Wertschöpfung“ genau sein werden – der Entwurfstext gibt hierüber leider keine verbindliche Auskunft.

Nach dem Willen des Gesetzgebers geht – wie schon mit dem ersten IT-SiG – auch mit dem IT-SiG 2.0 ein erheblicher Befugnisausbau seitens des BSI einher. So wird unter anderem vorgeschlagen, dass die Behörde bei sicherheitstechnischen Anforderungen an IT-Produkte einen „Stand der Technik“ entwickeln und veröffentlichen kann, dass das BSI Protokollierungsdaten, die durch den Betrieb der Kommunikationstechnik des Bundes anfallen, verarbeitet und dass eine Bestandsdatenauskunft gegenüber TK-Anbietern besteht, die auch IP-Adressen und die Übermittlungsbefugnis für personenbezogene Daten umfasst. Daneben erhält das BSI weitere aktive Befugnisse mit Blick auf Untersuchungen zur IT-Sicherheit und entsprechenden Warnmöglichkeiten, die Ermächtigung zur Detektion von Sicherheitsrisiken für die Netz- und IT-Sicherheit sowie von Angriffsmethoden (Portscans) und Maßnahmen zur Vortäuschung von Angriffen (Honeypots, Sinkholes). Anordnungsbefugnisse zur ITSicherheit gegenüber TK-Diensteanbietern mit mehr als 100 000 Kunden und Befugnisse zur Umleitung von Datenverkehr sollen ebenfalls möglich sein – für Telemedien- Diensteanbieter sind vergleichbare Regelungsvorschläge vorgesehen.

Vor allem für Unternehmen dürfte das IT-SiG 2.0 mit organisatorischen und finanziellen Mehraufwänden verbunden sein. So wird vorgeschlagen, dass KRITISBetreiber Systeme zur Angriffserkennung vorzuhalten haben und (über die bisherige Meldepflicht hinaus) eine Kontaktstelle benennen und registrieren müssen. Zur Bewältigung erheblicher Störungen besteht dann außerdem eine Datenherausgabepflicht gegenüber dem BSI.

Überdies würden mit dem Gesetz Unternehmen „im besonderen öffentlichen Interesse“ ebenfalls verpflichtet, technisch-organisatorische Maßnahmen zur IT-Sicherheit vorzuhalten, auch wenn diese gegenüber den Regelungen zu kritischen Infrastrukturen teils abgeschwächt sind (z. B. per „Nachweis“ in Form einer Selbsterklärung). Rechtspolitisch umstritten sind außerdem die im Kabinettsentwurf vorgesehene Untersagung des Einsatzes von kritischen Komponenten und die damit verbundene Garantieerklärung des Herstellers zur IT-Sicherheit sowie das freiwillige IT-Sicherheitskennzeichen, das auf eine Verbesserung des Verbraucherschutzes durch produktbezogene Informationen zur IT-Sicherheit abzielt.

EU Cybersecurity-Strategy

Die regulatorischen Weichenstellungen zur ITSicherheit, die gegenwärtig in Deutschland getroffen werden, spiegeln sich in Teilen auch auf europäischer Ebene wider. So hat die Europäische Kommission gleichermaßen am 16. Dezember 2020 „The EU’s Cybersecurity Strategy for the Digital Decade“ (https://ec.europa.eu/digital-single-market/en/news/eus-cybersecurity-strategy-digital-decade) vorgestellt, die ein krisenfestes und digitales Europa zum Ziel hat. Adressiert werden nicht wie in Deutschland vier, sondern „nur“ drei Aktionsfelder:

  • Widerstandsfähigkeit, technologische Unabhängigkeit und Führungsrolle
  • Aufbau operativer Kapazitäten zur Prävention, Abschreckung und Reaktion
  • Förderung eines globalen offenen Cyberraums durch verstärkte Zusammenarbeit

Gegenstand der Aktionsfelder sind unter anderem die Erweiterung bestehender KRITIS-Sektoren (u. a. um die öffentliche Verwaltung sowie die Raumfahrt), der Aufbau und die Etablierung eines sogenannten „EU Cyber Shield“ mit dem Ziel von überregionalem Monitoring und Datenanalyse, der Aufbau eines „ultrasicheren Kommunikationsnetzes“ und damit verbunden die 5G-Sicherheit, die Schaffung einer gemeinsamen Cyber-Einheit („Joint Cyber Unit“, JCU) als gemeinsame Anlaufstelle für private und staatliche Einrichtungen in den Bereichen Strafverfolgung und Verteidigung mit Bezug zur IT-Sicherheit sowie der Aufbau einer unionsweiten Abschreckungsstrategie mit Gegenmaßnahmen als Reaktion auf Angriffe im digitalen Raum. Dazu gehört auch eine „Diplomatic Toolbox“, die eine politisch einheitliche Reaktion auf nachgewiesene Cyberangriffe ermöglichen soll. Themen digitaler Souveränität und des Schutzes von Lieferketten werden ebenso adressiert – hier mit Blick auf Cloud, Prozessortechnologie, sichere Konnektivität und 6G-Netze. Last, but not least, wird ein neues europäisches Kompetenzzentrum zur Cybersicherheit mit Sitz in Bukarest/ Rumänien aufgebaut.

2. NIS-Richtlinie

Im Mittelpunkt der europäischen Strategie steht aktuell die Überarbeitung der ersten Netz- und Informationssicherheits-Richtlinie (NIS-Richtlinie) von 2016 hin zur NIS-2-Richtlinie, deren Entwurf zusammen mit der neuen europäischen Strategie im Dezember vorgestellt wurde – als „Proposal for a Directive on measures for a high common level of cybersecurity across the Union, repealing Directive (EU) 2016/1148“ (https://ec.europa.eu/digital-singlemarket/en/news/proposal-directivemeasures-high-common-level-cybersecurity-across-union).

Obwohl davon auszugehen ist, dass der gesetzgeberische Prozess inklusive Umsetzung in nationales Recht noch einige Jahre in Anspruch nehmen wird, lohnt es sich schon jetzt, einen Blick auf die NIS-2-Entwurfsfassung zu werfen, da sie vermutlich einige Neuerungen bringen wird, die bestenfalls auch nicht völlig ohne Abstimmung zum IT-SiG 2.0 erfolgen sollten.

Die aktuelle Entwurfsfassung von NIS 2 sieht zuvorderst die Neufassung und Erweiterung des Anwendungsbereichs der bestehenden Regelungen vor – zum Beispiel um die öffentliche Verwaltung und die Raumfahrt als neue Sektoren sowie Fernwärme/-kälte und Wasserstoff als Teilsektoren. Die Pflicht zu IT-Sicherheitsmaßnahmen soll sich dem Richtlinienentwurf gemäß danach richten, ob eine Einrichtung als „wesentlich“ oder „wichtig“ eingestuft wird.

Allgemein will die EU nicht nur mehr Pflichten für Unternehmen und Betreiber schaffen, sondern die Mitgliedstaaten in die Pflicht nehmen, die zur Umsetzung von NIS 2 verpflichtet sein werden. Hierzu gehören Identifikations- und Überprüfungserfordernisse hinsichtlich Infrastrukturen sowie die Übermittlung an die EU-Kommission, gesteigerte Anforderungen an nationale Cybersicherheits-Strategien, das aktive Scannen von Netz- und Informationssystemen durch mitgliedstaatliche Computer-Security- Incident-Response-Teams (CSIRTs) sowie die Intensivierung des Informationsaustausches und der Kooperation zwischen den mitgliedstaatlichen Behörden (u. a. im „EUCyCLONe“ zur Abwehr groß angelegter Cybersecurity-Vorfälle).

Die EU Agency for Cybersecurity (ENISA) soll außerdem ein Register erstellen, in das Sicherheitslücken von IKT-Produkten und -Diensten eingetragen werden können. Im NIS-2-Entwurf findet man bei näherer Betrachtung auch Parallelen zum Entwurf des IT-SiG 2.0: Beispielsweise wird die Durchführung von Sicherheitsrisikobewertungen von Versorgungsketten für den IKT-Bereich vorgeschlagen. Zur Nachweiserbringung und Zertifi zierung der IT-Sicherheit werden Vorschläge zur Verzahnung mit dem EU Cybersecurity Act (CSA) aus 2019 gemacht (https://ec.europa.eu/digital-single-market/en/eu-cybersecurity-act). Ein solcher Gleichlauf verschiedener Regelungen ist wichtig – auch um Mehraufwand für Unternehmen zu vermeiden.

Interessant dürfte überdies sein, wie sich die EU-Kommission zum Thema Verschlüsselung positioniert: Der Widerstreit zwischen sicherer Datenhaltung und Kommunikation einerseits und andererseits der Möglichkeit, dass sich staatliche Einrichtungen zu Zwecken der Gefahrenabwehr und Strafverfolgung effektiv den Zugriff auf digital gespeicherte Informationen verschaffen können, wurde gegenwärtig noch keiner angemessenen rechtlichen wie technischen Lösung zugeführt (Stichwort: „Sicherheit durch Verschlüsselung und Sicherheit trotz Verschlüsselung“).

Fazit und Ausblick

Klar ist: Längst ist das Thema IT-Sicherheit auch in der Regulierung angekommen – und das mehr als umfassend. Gleichwohl kann man nicht davon ausgehen, dass mit den an dieser Stelle vorgestellten politischen und gesetzgeberischen Maßnahmen schon das Ende der Fahnenstange erreicht ist. Im Gegenteil: Nachdem sowohl der deutsche als auch der europäische Gesetzgeber zunächst damit begonnen haben, die IT-Sicherheit für kritische Infrastrukturen zu regulieren, treten mehr und mehr auch weitere Unternehmensund Industriebereiche hinzu – ein weiterer Fokus liegt auf dem Verbraucherschutz.

Wichtig wird in den kommenden Jahren vor allem sein, ein in sich konsistentes und möglichst widerspruchsfreies Regulierungssystem der IT-Sicherheit aufzubauen. Schon jetzt ist jedoch erkennbar, dass sich gerade an diesem Punkt Konflikte abzeichnen, vor allem im Verhältnis des deutschen zum europäischen Recht. Ein unausgewogenes Nebeneinander von ITSicherheitsregulierungen führt jedoch nicht nur zu Mehraufwand bei den umsetzungsverpfl ichteten Organisationen, sondern kann schlimmstenfalls sogar eine Verringerung der IT-Sicherheit zur Folge haben und damit dem eigentlichen Regulierungsziel zuwiderlaufen. Hier gilt es, schon jetzt gegenzusteuern!

Wechsel in der Rechtsrubrik

Mit dieser Ausgabe übernimmt Dr. Dennis-Kenji Kipker die Rechtsrubrik von Rechtsanwalt Stefan Jaeger, der diese Kolumne 8 Jahre lang betreut hat. Für sein Engagement und die stets sehr gute Zusammenarbeit möchten sich Redaktion und Verlag der <kes> herzlich bedanken – wir freuen uns auch weiterhin auf Beiträge aus seiner Feder.</kes>

Dr. Dennis-Kenji Kipker ist Wissenschaftlicher Geschäftsführer des Instituts für Informations-, Gesundheits- und Medizinrecht (IGMR) an der Universität Bremen, Vorstandsmitglied der Europäischen Akademie für Informationsfreiheit und Datenschutz (EAID), Legal Advisor im Competence Center Information Security and CERT des VDE sowie Executive Director der Certavo GmbH (https://denniskenjikipker.de/).