NIS-Richtlinie : Eine neue Ära der Sicherheitsregulierung?

Auf der RSA-Konferenz, einer der weltweit größten, wichtigsten (und ältesten) Veranstaltungen für Kryptografie, IT-Sicherheit und Datenschutz, benannt nach den Erfindern des Kryptoalgorithmus RSA aus dem Jahr 1977: Rivest, Shamir und Adleman, gehört Bruce Schneier fast schon zum Inventar.

In seiner diesjährigen Keynote „AI and Democracy“ widmete sich der US-amerikanische Sicherheitsexperte dem Potenzial von Künstlicher Intelligenz (KI), die Demokratie und insbesondere die Gesetzgebung zu revolutionieren – oder zumindest grundlegend zu verändern. Anders als beim Internet, das seine Pioniere einst als Nonplusultra der Stärkung direkter Partizipationsformen oder der Revitalisierung der Demokratie sahen, betrachtet Schneier die Rolle der KI pragmatischer: in Bereichen wie Legislative, Rechtsprechung, Verwaltung, Bürokratie sowie bei Vertragsverhandlungen. Die Gefahr dabei: KI könnte, indem sie bestehende Ungleichheiten verstärkt, die demokratischen Prozesse verzerren.

Die Machtbalance könnte sich verschieben, wenn Akteure KI nutzen, um besonders komplexe oder detaillierte Gesetze und Abkommen zu entwerfen. Damit könnte die Legislative die Exekutive schwächen oder gar überflüssig machen. Ein mächtiges Werkzeug, so Schneier, besonders dann, wenn Legislative und Exekutive von unterschiedlichen Parteien kontrolliert werden. Das Potenzial, die Gerichte jahrelang mit der Auslegung solcher komplexen Regelungen zu beschäftigen, ist dabei auch beträchtlich.

Einer der Gründe, warum Schneier KI als „power-enhancing technology“ bezeichnet, liegt in ihrer Fähigkeit, bestehende Machtasymmetrien zu verstärken. Anhand realer Anwendungsszenarien, die bereits verfügbare KI-Funktionalitäten berücksichtigen, zeigt er, wie mächtige Gruppen – Lobbyverbände, Tech-Konzerne oder Regierungen (wenn sie denn wollen) – diese Asymmetrien zu ihrem Vorteil nutzen könnten.

Generative KI brilliert bereits heute im Schreiben und Zusammenfassen von Texten, allen voran ChatGPT von Open AI. Und was ist ein Gesetz anderes als ein Text, den eine Regierung oder ein Parlament beschließt? Die Einsatzmöglichkeiten von KI im Gesetzgebungsprozess sind vielfältig: Eine mit den relevanten Gesetzen trainierte KI könnte Gesetzesentwürfe analysieren, deren Auswirkungen auf bestehende Regelungen prüfen und entsprechende Änderungsvorschläge formulieren. Sie könnte auch die Konsequenzen der Einführung bestimmter Gesetze antizipieren, indem sie eine Folgenabschätzung durchführt.

Was generative KI heute bereits sehr gut beherrscht, ist das Entwerfen detaillierter und komplexer Normen. Aber auch solcher Gesetze, die kein Mensch verstehen kann. Der Zugang zu speziell für diesen Zweck trainierten KI-Tools ermöglicht es Anwendern, solche Änderungen, Ergänzungen oder Manipulationen an Texten vorzunehmen, die ihren Interessen dienen. Dabei, Gesetzestexte so zu verändern, dass die wahre Absicht möglichst unentdeckt bleibt, bis das Gesetz in Kraft tritt, kann ebenfalls Technologie unterstützen. Und welche Technologie? Genau: KI.

Das Konzept, bei dem oft die Änderung eines einzigen Wortes oder eines Interpunktionszeichens die Bedeutung einer Regulierung ins Gegenteil verkehren kann, nennt sich „Microlegislation“ – zu Deutsch: Mikrogesetzgebung. Dieser Begriff wurde im Kontext der Obamacare-Regulierung von der Politikwissenschaftlerin Amy McKay geprägt. Durch den Einsatz von KI kann die Microlegislation noch weiter verschärft werden, da es zunehmend schwieriger wird, herauszufinden, wer wirklich von solchen mikro-veränderten Gesetzen profitiert.

Als 2015 der damalige Bundesinnenminister Thomas de Maizière (CDU) das erste IT-Sicherheitsgesetz vorstellte und mehr IT-Sicherheit für Bürgerinnen und Bürger versprach, ließen sich die Medien nicht täuschen. Sie bezeichneten das Gesetz, das eigentlich Mindestanforderungen an Sicherheitsmaßnahmen und Meldepflichten für Sicherheitsvorfälle bei Kritis-Unternehmen definierte, als das Gesetz, das nicht hält, was es verspricht. Heutzutage würde das wohl nicht mehr so leicht passieren: Sprachmodelle wie ChatGPT können lange, komplexe Texte zusammenfassen, die wesentlichen Punkte herausfiltern und diese anschließend so optimieren, dass sie den Erwartungen menschlicher Leser entsprechen. Mit entsprechendem Training könnten sie sogar vorhersagen, wie leicht die wahre Absicht einer Gesetzesänderung für den menschlichen Leser erkennbar ist. Die kostenpflichtigen Versionen, wie ChatGPT-4, vermutlich präziser als die kostenlose ChatGPT-3-Version.

Was sich nach Science-Fiction anhört, ist längst Realität, besonders dort, wo es um die Regulierung der IT-Sicherheit geht. Beispiele wie die NIS-2-Richtlinie und der Digital Operational Resilience Act (DORA) zeigen, dass der Gesetzgeber nicht nur auf lange, komplexe Formulierungen setzt, sondern zunehmend in technische Details vordringt. Besonders auffällig wird dies bei den Meldepflichten für Sicherheits- oder IKT-Vorfälle.

Mit dem NIS-2-Umsetzungsgesetz (NIS2UmsuCG) wird die NIS-2-Richtlinie in Deutschland in nationales Recht überführt. Das Artikelgesetz umfasst neben wesentlichen Erweiterungen und Änderungen des BSI-Gesetzes auch Anpassungen in einer Vielzahl anderer Gesetze – von B wie BND-Gesetz bis zu T wie Telekommunikationsgesetz. Der Umfang des BSIG ist allein von deraktuell geltenden Fassung aus 2021 mit 15 §§ auf etwa 30 Seiten auf 65 §§ auf ca. 65 Seiten im Regierungsentwurf vom 22.7.2024 gestiegen.

Nicht alle Vorgaben betreffen direkt die Meldepflichten, doch diese sind essenziell, um die Resilienz und Reaktionsfähigkeit angesichts der Bedrohungslage in Deutschland und Europa systematisch zu verbessern. § 32 BSIG im Regierungsentwurf vom 22.7.2024 ist laut Überschrift den Meldepflichten gewidmet, doch Ausnahmen und Ergänzungen sind dezentral an weiteren Stellen im NIS2UmsuCG verteilt.

Nachdem zivilgesellschaftliche Vertreter sich offenbar vergeblich für die Vereinfachung und Vereinheitlichung der Meldepflichten eingesetzt hatten, entschied sich der Bundesrat für einen „Workaround“. In seiner Stellungnahme zum NIS-2-Umsetzungsgesetz vom 27.9.2024 verwies er auf Erwägungsgrund 106 der NIS-2-Richtlinie, der nahelegt, dass die zentrale Meldestelle auch für Meldungen nach Art. 33 DSGVO genutzt werden könnte. Statt § 32 BSIG-E zu ändern, forderte der Bundesrat eine Ergänzung des versteckten § 40 Abs. 3 um Nr. 5, der die Bereitstellung „geeigneter Online-Formulare“ zur gleichzeitigen Meldung nach Art. 33 DSGVO und § 32 BSIG-E fordert. Voila! Egal, ob die Idee von Mensch oder Maschine stammt: sie ist gut.

Während das NIS2UmsuCG dem BSI als „zentrale Meldestelle“ noch Spielräume bei der operativen Umsetzung lässt, geht DORA einen Schritt weiter. Ob ein IKT-Vorfall als „schwerwiegend“ gilt und somit meldepflichtig ist, wird anhand von sieben Kriterien beurteilt, die in der Delegierten Verordnung (EU) 2024/1772 genau festgelegt sind. Auch die Kritikalität der betroffenen Dienste, als Hauptkriterium für die Meldepflicht, ist im Art. 6 der Verordnung klar vorgegeben.

Natürlich waren Aufsichtsbehörden der Mitgliedsstaaten, darunter die deutsche Bundesanstalt für Finanzdienstleistungsaufsicht (Bafin), an den Konsultationen beteiligt, doch einmal finalisiert, legen die Regulatory Technical Standards (RTS) und Implementing Technical Standards (ITS) nicht nur fest, wann Vorfälle gemeldet werden müssen. Sie regeln auch, welche Datenfelder mit welchen Angaben in welcher Meldung von den Finanzunternehmen zu übermitteln sind – sie regulieren sogar welche davon obligatorisch und welche optional sind.

Die wachsende Länge, Detailliebe und Komplexität von Sicherheitsgesetzen wie dem NIS2UmsuCG und DORA auf der einen Seite, und die parallel steigende Anzahl von Minimaleingriffen durch den Gesetzgeber – sei es das „Sicherheitspaket“ oder die BGH-Entscheidung zum BKA-Gesetz – machen die Regulierung der IT-Sicherheit zunehmend intransparenter. Oder, um es mit den Worten einer Jobcenter-Mitarbeiterin zwar im anderen Kontext, doch treffend, zu verdeutlichen: „Der politische Diskurs ist aktuell so schnell, dass wir manchmal hier in der Behörde selbst nicht mehr so genau wissen, was eigentlich Gesetz oder Weisung ist und was bloß eine Bild-Schlagzeile.“

Die Folge? Nicht nur müssen sich, wie Nikolaus Forgó auf der Handelsblatt-Datenschutztagung bemerkte, immer mehr Juristen mit Formulierungen wie „mindestens“ oder „Stand der Technik“ in den Sicherheitsgesetzen herumschlagen. Auch Sicherheitsexperten werden nolens volens die Gesetzestexte lesen müssen, um dort nach Hinweisen und Details zur praktischen Umsetzung und zu erforderlichen Maßnahmen zu suchen, bevor sie „geeignete Sicherheitsstandards“ der ISO oder des BSI konsultieren. Diese könnten jedoch zunehmend überflüssig werden – womit auch die dahinterstehenden Organisationen an Bedeutung verlieren und ihre Konsultationsprozesse für die Beteiligten an Attraktivität verlieren würden.

Schreibt inzwischen KI diese endlosen und komplexen IT-Sicherheitsgesetze? Und: Reicht es, dies transparent zu machen, damit die KI auf eine Weise eingesetzt wird, die Macht gerecht verteilt, anstatt sie in den Händen weniger zu konzentrieren?

Natürlich wissen wir, dass heute kein Politiker mehr eine Rede hält, die er oder sie vorher selbst geschrieben hat. Bei der IT-Sicherheit verhält es sich aber anders: Gesetzestexte kann man ändern – ungenügende IT-Sicherheit hingegen hat Konsequenzen. Menschen könnten sterben. Da dürfte mehr als nur ein Captcha notwendig sein, um die Machtbalance und das Vertrauen wiederherzustellen.

Aleksandra Sowa ist zertifizierte Datenschutzbeauftragte. Sie leitete das Horst-Görtz-Institut für Sicherheit in der Informationstechnik, ist Sachverständige für IT-Sicherheit im Innenausschuss des Bundestages und Mitglied der Grundwertekommission der SPD.

In unserer Kolumnenreihe „Perspektiven“ kommentieren unsere Autor:innen regelmäßig aktuelle Entwicklungen, Trends und Innovationen im Bereich Cybersicherheit. Zuletzt von Sowa erschienen: Security by Obscurity: Die nächste Generation