IT-Sicherheitsgesetz 2.0 : IT-Sicherheitsrecht nach IT-SiG 2.0-Novelle: Immer noch unpräzise

Stellt man sich einen Rechtshistoriker vor, der in einigen Jahrzehnten auf das aktuelle IT-Sicherheitsrecht zurückschaut, wird er vermutlich zu dem Schluss gelangen, dass die IT-Sicherheit im Jahr 2021/22 noch kein „rechtliches“ Thema war.

Der Grund ist simpel: Der Gesetzgeber hat es sich zu einfach gemacht. Es mangelt an konkreten Angaben, an detaillierten Vorgaben. Gerichte mussten sich bislang kaum mit der Materie befassen und konnten die vagen Regelungen des Gesetzgebers nicht in praxistaugliche konkrete Fallgruppen fassen. Gerade Betreiber von kritischer Infrastruktur, die sich täglich mit dem BSIG und dem neuen IT-Sicherheitsgesetz 2.0 („IT-Sig 2.0)“ befassen, sehen sich mit losen Formulierungen konfrontiert, die viel Interpretationsspielraum übriglassen.

Nun liegt die Untätigkeit nicht an kollektiver Unlust im zuständigen Innenministerium. Der Hintergrund ist komplexer: Die Informationstechnik und alle mit ihr eng verknüpften Bereiche befinden sich im stetigen Wandel, sodass die Gesetzgebung fürchtet, mit aktuellen Regelungen kaum hinterherzukommen. Die Notlösung: Man hofft auf die Rechtsprechung, die dann Präzedenzfälle schaffen soll – doch dazu ist es bisher nicht gekommen. Man hofft auch auf branchenspezifische Sicherheitskataloge, die jedoch in vielen Fällen auf einen Verweis auf ein ISMS nach ISO 27001 hinauslaufen.

Kleine Schritte nach vorne

Gut ist, dass der Gesetzgeber sich im IT-Sicherheitsgesetz 2.0 zumindest ein paar kleine Schritte hervorgewagt hat und die Regelungen etwas konkretisiert hat. Nun heißt es nicht mehr nur, dass Systembetreiber für „angemessene Sicherheit“ sorgen müssen, sondern dass es „Systeme zur Angriffserkennung“ geben muss. Das ist – im Vergleich zu vorher – eine erhebliche Präzisierung.

Detaillierter wird es im Gesetzestext allerdings nicht. Es stellt sich daher nach wie vor die Frage, wieso nicht weitere Vorgaben mit ähnlichem Abstraktheitsgrad in den Gesetzestext aufgenommen wurden. Der Gesetzgeber könnte etwa regeln, dass Systeme der kritischen Infrastruktur segmentiert und abgeschlossen von anderen Systemen sein müssen. Ferner ließe sich auch detailliert regeln, wie abgeschottet das System sein muss und welche (Mindest-)Voraussetzungen für Systeme zur Angriffserkennung gelten. Ähnliche Beispiele würden sich noch viele finden lassen.

Die Bürokratie der Meldepflicht für kritische Komponenten

Ein weiterer Punkt, der irritiert, ist die politische Entscheidung zur Meldung kritischer Komponenten. Nach dem neuen Gesetz müssen Betreiber kritischer Infrastruktur dem Innenministerium darlegen, welche Komponenten, die kritisch sind, sie in ihren 5G-Systemen verwenden. Der Hintergrund dieser Regelung ist klar: Die Politik möchte einen Überblick darüber haben, an welchen Stellen Komponenten des chinesischen Herstellers Huawei verbaut sind.

Unabhängig von der politischen Entscheidung, es Huawei (und vergleichbaren Anbietern) schwer zu machen, ist die Art und Weise, wie die Politik an diese Überlegung herantritt, fragwürdig. Ein Beispiel: Der Betreiber eines Campusnetzwerks, sei es universitär oder unternehmerisch, muss nun eine Vielzahl an Komponenten an das Innenministerium melden, bei denen die Sicherheitsforschung keinerlei Bedenken hat.

Zugleich muss eine Garantieerklärung vorliegen, aus der hervorgeht, wie der Hersteller sicherstellt, dass die kritische Komponente nicht über technische Missbrauchsmöglichkeiten zum Zwecke von Sabotage, Spionage oder Terrorismus verfügt. Dies muss der Betreiber nun bei allen möglichen Herstellern nachfragen, dessen Komponenten im Campus verbaut sind – auch wenn man schon seit Jahrzehnten Kunde ist und es nie zu Problemen gekommen ist.

Nun kann das Innenministerium untersagen, mit Herstellern bestimmter Komponenten Geschäfte zu machen, wenn das Bundesamt für Sicherheit in der Informationstechnik (BSI) ein Problem darin sieht: Hier kommt es wieder zur politischen Entscheidung. Unterm Strich werden also zahlreiche Sachverhalte gesammelt und große Mengen an Bestandteilen im gesamten System gemeldet, damit am Ende doch Politiker im Ministerium über die Verwendung entscheiden können. Man kann sagen: Es ist ein reines Herauszögern der Entscheidung, ob man nun Huawei-Komponenten in die Systeme einbinden darf, oder nicht.

Starke Eingriffsrechte durch legales Hacking

Ein weiterer Kritikpunkt am neuen BSI-Gesetz, sind die Paragrafen 7b und 7c. Sie behandeln die „Detektion von Sicherheitsrisiken für die Netz- und IT-Sicherheit und von Angriffsmethoden“ sowie „Anordnungen des Bundesamtes gegenüber Diensteanbietern“. Das BSI erhält neue, weitreichendere Kompetenzen bei der Untersuchung von Netzwerken und Systeme.

Insbesondere kann das BSI nun zur „Detektion von Angriffsmethoden“ auch aktive Verfahren nutzen: Man täuscht einem Cyberangreifer vor, dass der Angriff erfolgreich war, um ihn besser untersuchen zu können – in der Fachsprache spricht man vom „Honeypot“, dem Honigtopf. Auch darf das BSI nun die Systeme mit sogenannten Portscans nach unsicheren Passwörtern durchsuchen – was eigentlich eine Hacking-Straftat ist. Auch das offensive Hacking in Form von Honeypots ist ein Verstoß gegen das Fernmeldegesetz – und damit eigentlich grundgesetzwidrig.

IT-Sicherheitssiegel für smarte Produkte

Positiv zu beurteilen ist die Einführung des IT-Sicherheitskennzeichens in Deutschland. Die Idee dahinter ist, dass ein Unternehmen mit dem Kennzeichen seinen Kunden ein Versprechen gibt; etwa, dass ein Produkt fünf Jahre lang regelmäßige Updates bekommt oder dass ein vollautomatisches System mitprogrammiert wurde, das Angriffe auf das Produkt erkennt. Das BSI vergibt nach Prüfung dieses Siegel, welches Unternehmen für alle denkbaren „smarten“ Produkte beantragen können, seien es intelligente Rasenmäher, Kühlschränke mit WLAN-Funktion oder Autos. In der Praxis lässt sich an diesem Kennzeichen vom Verbraucher mittels eines QR-Codes überprüfen, welche Versprechen das Unternehmen anbietet und ob sie noch aktuell sind.

Für Unternehmen ist das eine große Chance: Sie können sich mit aktuell gehaltenen und sinnvoll gestalteten Siegeln gegenüber Wettbewerbern, die auf das Siegel verzichten, einen Vorteil erarbeiten. In der Praxis lässt sich ein solches Siegel zukünftig werbewirksam platzieren – wie man es bereits von vielen anderen Siegeln, zum Beispiel in der Lebensmittelbranche, kennt.

Allerdings sollten Unternehmen zwingend darauf achten, ihre Siegel aktuell zu halten, da ein Siegel mit falschen oder veralteten Informationen schnell zum Ausschlusskriterium für den Produktkauf wird. Da aufgrund einer Gesetzesänderung im BGB ohnehin für jedes digitale Consumer-Produkt eine Aktualisierungspflicht besteht (die auch Sicherheitsupdates erfasst) müssen im Übrigen ab 01.01.2022 ohnehin Sicherheitsupdates bereitgestellt werden: Warum dann nicht „zwei Fliegen mit einer Klappe schlagen“ und die notwendig zu erfüllende Pflicht nach außen mit einem IT-Sicherheitskennzeichens garnieren.

Lutz Martin Keppeler ist Fachanwalt für IT-Recht und Salaried Partner bei der Sozietät Heuking Kühn Lüer Wojtek. Er ist außerdem Mitautor von „Die Weiterentwicklung des IT-Sicherheitsgesetzes – Kommentar zum IT-Sicherheitsgesetz 2.0“.