Aktuell in der CR

Cyber-Threat-Plattformen unter BSI-Aufsicht: Die Betreiber als Beliehene des Staates (Brisch/Rexin, CR 2020, 693)

Beim Informationsaustausch zwischen Staat und Unternehmen zur Cybersicherheit besteht dringender Verbesserungsbedarf (I.). Der RefE-2020 für ein IT-SiG 2.0 greift noch zu kurz, denn die Meldeplattform wäre zu einer Cyber-Threat-Plattform auszuweiten (II.). Die Infrastruktur einer solchen Plattform ließe sich durch die Beleihung Privater erreichen (III.), wodurch sich die Aufgaben des BSI nur minimal verschöben (IV.). Verfassungsrechtliche Bedenken begegnet dieses Modell einer Beleihung nicht (V.), so dass ein Formulierungsvorschlag für eine künftige Rechtsgrundlage (VI.), seine möglichen Effizienzgewinne (VII.) und seine gestalterischen Herausforderungen (VIII.) vorgestellt werden.

Vorschlag für das Modell einer effektiveren Cybersicherheits-​Infrastruktur zum Schutz der Privatwirtschaft

INHALTSVERZEICHNIS:

I. Problemaufriss

II. Unzuläng­lichkeit derzei­tiger gesetz­ge­be­ri­scher Bestre­bungen

III. Platt­form­be­treiber als Beliehene

1. Beleihung im techni­schen Sicher­heits­recht
a) Beispiele der Beleihung
b) Verwal­tungs­helfer nach BSIG

2. Voraus­set­zungen der Beleihung
a) gesetz­liche Grundlage (Geset­zes­vor­behalt)
b) Rechtsform des Belei­hungsakts
c) Rechtform des Belie­henen
d) Fachliche Eignung und Widerruf
e) Rechts­folge

3. Die Beleihung im Falle des Cyber-Threat-Plattform-Betreiber

IV. Verhältnis von BSI und Belie­henem (Platt­form­be­treiber)

1. Über-Unter­ord­nungs­ver­hältnis

2. Entscheidung über Zulas­sungs­kri­terien

3. Gewährung des Zugangs

4. Organi­sa­to­rische und technische Infra­struktur

V. Verfas­sungs­recht­liche Bewertung der Beleihung für Cyber-Threat-Plattform-Betreiber

VI. Formu­lie­rungs­vor­schlag einer Rechts­grundlage

VII. Geeig­netheit der Beleihung in der prakti­schen Umsetzung

VIII. Recht­liche Hürden des Modells

IX. Fazit

 


 

 

I. Problem­au­friss

1

Die Verhand­lungen über das IT-Sicher­heits­gesetz 2.01 (IT-SiG 2.0) gehen in die nächste Runde. Eine zweite Version des Referen­ten­ent­wurfs zum IT-SiG 2.0 wurde Anfang Mai 2020 veröf­fent­licht2 und befindet sich derzeit in der Ressortab­stimmung sowie der öffent­lichen Kommen­tierung.

2

Der Gesetz­ge­bungsakt kostet viel Zeit; Zeit, die aus Sicht der Wirtschaft nicht besteht. Laut einer Studie des IT-Branchen­ver­bandes BITKOM e.V. aus November 2019 gaben 88 % der befragten Unter­nehmen an, in den letzten zwei Jahren von Daten­dieb­stahl, Indus­trie­spionage oder Sabotage betroffen gewesen zu sein.3 Allein die Höhe dieses Anteils ist bereits alarmierend, umso bedenk­licher ist sie aber aus dem Grund, dass bei der gleichen Umfrage 2017 nur 79 % angaben, Ziel von Cyber­at­tacken gewesen zu sein. Die Bedrohung steigt stetig und betrifft mittler­weile nahezu alle Unter­nehmen.

3

Die Wirtschaft erwartet angesichts der mit den steigenden Zahlen der Attacken einher­ge­henden wachsenden Schäden Reaktionen der Politik. Wie die Studie des BITKOM e.V. zeigt, wünschen sich die befragten Wirtschafts­un­ter­nehmen eine engere Zusam­men­arbeit in Form eines verbes­serten Infor­ma­ti­ons­aus­tau­sches mit staat­lichen Behörden bei IT-Sicher­heits­themen.4 Zudem sollen die zustän­digen Behörden die Unter­nehmen bei Fragen der IT-Sicherheit besser unter­stützen.5

4

Dass staat­licher Handlungs­bedarf besteht, ist auch Ergebnis der Cyber­se­curity-Studie des Verbandes der Techni­schen Überwa­chungs­vereine (VdTÜV) aus November 2019. So verlangen die befragten Unter­nehmen sogar mehr staat­liche Regulierung und strengere gesetz­liche Vorgaben auf dem Gebiet der IT-Sicherheit.6 Der VdTÜV fordert basierend auf diesen Ergeb­nissen die Aufgabe des Fokus des IT-Sicher­heits­rechtes auf die Betreiber von Kriti­schen Infra­struk­turen (KRITIS). Eine auf dem Know-how von Cyber­si­cher­heits­fach­kun­digen basie­rende digitale Sicher­heits­ar­chi­tektur sei zielführend, um die Cyber­re­si­lienz der deutschen Wirtschaft zu stärken. Hierfür sei eine „enge Verzahnung von Wirtschaft, Wissen­schaft und staat­lichen Stellen wie dem BSI“ erfor­derlich.7

5

Zentrale Rolle nimmt bei allen Forde­rungen aus der Privat­wirt­schaft der Austausch von Infor­ma­tionen über Cyber­be­dro­hungen ein. Nur infor­mierte Unter­nehmen können recht­zeitig auf Bedro­hungen reagieren und so einen Schaden­sein­tritt verhindern.

6

Nicht zuletzt die erwähnten Studien zeigen, dass eine Vernetzung der Wirtschaft unter Einbindung von staat­lichen Stellen notwendig ist. Dies kann insbe­sondere erreicht werden durch den Aufbau von Cyber-Threat-Platt­formen, um Infor­ma­tionen über Cyber-Threats in einem vertrau­ens­vollen Umfeld in Echtzeit zugunsten der Wirtschaft austau­schen zu können. Ansatz­punkte zur Errichtung der Platt­formen finden sich bereits im IT-SiG 2.0 RefE 20198 und bestehen auch unver­ändert im modifi­zierten IT-SiG 2.0 RefE 2020 fort.

7

Im Folgenden wird aufge­zeigt, wie eine Imple­men­tierung des Cyber-Threat-Platt­formen-Modells insbe­sondere unter Berück­sich­tigung der staat­lichen Ressourcen durch­ge­führt werden könnte. Hierbei soll auf das rechtlich bereits etablierte System der Einbindung Privater bei der Erfüllung staat­licher Aufgaben, insbe­sondere in der Form der Beleihung, einge­gangen werden. Zentral ist bei diesem partner­schaft­lichen Modell, dass die zuständige staat­liche Behörde, das Bundesamt für Sicherheit in der Infor­ma­ti­ons­technik (BSI), weiterhin ihre gesetzlich zugewiesene Aufgabe beibehält und in seiner Stellung in der Cyber­si­cher­heits­ar­chi­tektur des Staates darüber hinaus gestärkt werden soll. Hierfür kann (...)

Hier direkt weiterlesen im juris PartnerModul IT-Recht


Verlag Dr. Otto Schmidt vom 13.10.2020 11:46

zurück zur vorherigen Seite