Das "Gesetz zur Verbesserung der Sicherheit informationstechnischer Systeme" ist kein für sich alleinstehendes Gesetz wie das Bundesdatenschutzgesetz (BDSG) oder das Telemediengesetz (TMG). Stattdessen enthält es eine Reihe von Modifikationen und Ergänzungen für verschiedene bestehende Gesetze.
Diese sind unter anderem:
- BSI Gesetz (BSIG)
- Telemediengesetz (TMG)
- Atomgesetz (AtG)
- Energiewirtschaftsgesetz (EnWG)
- Telekommunikationsgesetz (TKG)
- BKA Gesetz (BKAG)
Der inhaltliche Fokus liegt dabei eindeutig auf der Vermeidung von Ausfällen oder Störungen in den sogenannten Kritischen Infrastrukturen. Doch was sind diese Kritischen Infrastrukturen überhaupt? Das Gesetz äußert sich folgendermaßen dazu in § 2 Abs. 10 BSIG:
"(10) Kritische Infrastrukturen im Sinne dieses Gesetzes sind Einrichtungen, Anlagen oder Teile davon, die
1. den Sektoren Energie, Informationstechnik und Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung sowie Finanz- und Versicherungswesen angehören und
2. von hoher Bedeutung für das Funktionieren des Gemeinwesens sind, weil durch ihren Ausfall oder ihre Beeinträchtigung erhebliche Versorgungsengpässe oder Gefährdungen für die öffentliche Sicherheit eintreten würden."
Hört sich etwas vage an, oder? Aber dazu später mehr...
Warum wurde es eingeführt und warum jetzt?
Beim Thema IT-Sicherheit ist schon seit einigen Jahren zu beobachten, dass das öffentliche Interesse und die Berichterstattung immer mehr zunimmt. Dabei bleibt auch der Eindruck, dass es zu immer mehr und immer größeren Vorfällen kommt. Dies ist auch kaum verwunderlich angesichts der immer weiter voranschreitenden Digitalisierung der Gesellschaft und der Durchdringung von Informationstechnologie in alle Bereichen des Lebens.
So heißt es denn auch in der Gesetzesbegründung der im Bundestag beschlossenen Fassung:
"Mit dem Gesetz soll eine signifikante Verbesserung der Sicherheit informationstechnischer Systeme (IT-Sicherheit) in Deutschland erreicht werden. Die vorgesehenen Neuregelungen dienen dazu, den Schutz der Systeme im Hinblick auf die Schutzgüter der IT-Sicherheit (Verfügbarkeit, Integrität, Vertraulichkeit und Authentizität) zu verbessern, um den aktuellen und zukünftigen Gefährdungen der IT-Sicherheit wirksam begegnen zu können. Ziel des Gesetzes sind die Verbesserung der IT-Sicherheit von Unternehmen, der verstärkte Schutz der Bürgerinnen und Bürger im Internet und in diesem Zusammenhang auch die Stärkung von BSI und Bundeskriminalamt (BKA)."
Interessanterweise fand auch gerade zur Zeit der Abstimmung eine medienwirksame Cyber-Attacke auf den Bundestag statt. Da könnte man natürlich jetzt alle möglichen Verschwörungstheorien bemühen, jedoch ist meiner Ansicht nach davon auszugehen, dass das Gesetz so oder so zu diesem Zeitpunkt durchgekommen wäre, auch ohne diese Zusatz-Publicity. Dabei gibt es ein paar kleine aber signifikante Änderungen zwischen der eingereichten und dann vom Bundestag beschlossenen Fassung (durch den Bundesrat ging es dann unverändert). Schön zusammengefasst sieht man das hier bei den berühmt-berüchtigten Netzpolitikern beziehungsweise bei Rainer Gerling.
Jetzt ist es also seit dem 25. Juli 2015 durch Veröffentlichung im Bundesanzeiger in Kraft, und nun?
Für wen ändert sich etwas?
Das Spannende bei solchen neuen Gesetzen ist ja zunächst auch einmal der Scope, beziehungsweise wer ist betroffen und wer muss was tun.
Dies wären zunächst einmal die bereits erwähnten Betreiber Kritischer Infrastrukturen. Doch hier fängt bereits der erste Knackpunkt an: Wer genau dazu gehört, ist im Gesetz nicht geregelt, sondern ist durch eine noch zu fassende Rechtsverordnung des Innenministeriums zu bestimmen. Es gibt derzeit noch keine Indikation, wann diese Verordnung zu erwarten ist. In der Gesetzesbegründung gehen die Autoren von maximal 2000 Betreibern aus, die unter die Bestimmungen des Gesetzes fallen.
Dabei ist anzumerken, dass KMUs nach EU Definition (das heißt weniger als 250 Mitarbeiter und weniger als 50 Millionen Euro Umsatz oder weniger als 43 Millionen Euro Bilanzsumme) von wesentlichen Teilen des Gesetzes ausgenommen sind (insbesondere Kontakt- und Meldepflichten, sowie die Einhaltung von Mindeststandards und der regelmäßige Nachweis derselben).
Für bestimmte Branchen gibt es zudem zum Teil bereits existierende Regelungen, sowie durch das IT-Sicherheitsgesetz angepasste Teile in den diese Branchen betreffenden Gesetzen. Diese sind im Einzelnen:
- Telekommunikationsdienstleister, die dem TKG unterliegen und bereits bestehende Meldewege an die Bundesnetzagentur für Datenschutzvorfälle haben. Das IT-Sicherheitsgesetz erweitert diese Verpflichtungen im Wesentlichen um die Schutzziele der Verfügbarkeit und Integrität. Zudem wird die Pflicht zur Vorlage von Sicherheitskonzepten bei der BNetzA erweitert um die Mindeststandards.
- Betreiber, die dem Atomgesetz unterliegen. Erweiterung um Meldepflicht für IT-Sicherheitsvorfälle, die die nukleare Sicherheit gefährden.
- Betreiber, die dem Energiewirtschaftsgesetz unterliegen. Hier erfolgt die Meldung von Vorfällen ebenfalls wie bei Telekommunikationsunternehmen zunächst an die BNetzA. Diese hat außerdem auch das letzte Wort bezüglich der Ausgestaltung der branchenspezifischen Mindeststandards im Gegensatz zu anderen Branchen, wo das BSI dazu federführend ist.
Eine Besonderheit besteht desweiteren für Hersteller von informationstechnischen Produkten und Systemen, die bei den betroffenen Organisationen für den Betrieb der Kritischen Infrastrukturen verwendet werden. Nach § 8b Abs. 6 BSIG kann das BSI diese Hersteller verpflichten, an der Beseitigung oder Vermeidung von Störungen mitzuwirken. Das könnte potenziell dazu führen, dass es beispielsweise einem hypothetischen mittelständischen Hersteller von spezialisierter SCADA-Wasserwerks-Steuersoftware das Genick bricht, wenn jemand ausprobiert, ob sie die Werte der Gasdruck-Sensoren bei den örtlichen Stadtwerken modifizieren können und das BSI alle wichtigen Mitarbeiter dieses Mittelständlers für die Incident Response zwangsvergattert.
Kommen wir nun noch zu einem Teil der Gesetzgebung, der nach meiner Einschätzung zunächst einmal den größten Handlungsbedarf haben wird, weil derzeit vermutlich der größte Gap zwischen Soll- und Ist-Zustand liegt:
Durch Änderung am TMG sind nun alle Betreiber von geschäftlich genutzten Telemediendiensten (also beispielsweise alle Webshops, Online-Medien, Umsatz generierende Blogs usw.) dazu verpflichtet, technische organisatorische Maßnahmen nach Stand der Technik einzusetzen, um den unbefugten Zugriff auf ihre Systeme zu verhindern, die zu Datenschutzverletzungen oder Störungen (beispielsweise Denial of Service Angriffe) führen könnten. Die sonstige Ausnahmeregelung für KMU gilt hier übrigens nicht, sondern wirklich alle Anbieter von gewerblichen Telemedien sind in der Pflicht, egal ob Einzelperson oder Großkonzern.
"Was ist da jetzt anders als die bereits in der Anlage zu §9 BDSG genannten Regelungen?", könnte der geneigte Leser fragen. Erfahren Sie dazu mehr im zweiten Teil dieser Serie, in dem ich über die konkreten Anforderungen des IT-Sicherheitsgesetzes schreibe, beziehungsweise welche Konsequenzen bei Nichtbefolgung drohen.
Autor:
Stefan Sulistyo, Co-Founder & CCO of Alyne, 10+ year InfoSec & GRC veteran.
IT-Sicherheitsgesetz [Teil 2]: Zahnloser Tiger vor dem Sprung?