Aktuell in der CR
Cyber-Threat-Plattformen unter BSI-Aufsicht: Die Betreiber als Beliehene des Staates (Brisch/Rexin, CR 2020, 693)Beim Informationsaustausch zwischen Staat und Unternehmen zur Cybersicherheit besteht dringender Verbesserungsbedarf (I.). Der RefE-2020 für ein IT-SiG 2.0 greift noch zu kurz, denn die Meldeplattform wäre zu einer Cyber-Threat-Plattform auszuweiten (II.). Die Infrastruktur einer solchen Plattform ließe sich durch die Beleihung Privater erreichen (III.), wodurch sich die Aufgaben des BSI nur minimal verschöben (IV.). Verfassungsrechtliche Bedenken begegnet dieses Modell einer Beleihung nicht (V.), so dass ein Formulierungsvorschlag für eine künftige Rechtsgrundlage (VI.), seine möglichen Effizienzgewinne (VII.) und seine gestalterischen Herausforderungen (VIII.) vorgestellt werden.
Vorschlag für das Modell einer effektiveren Cybersicherheits-Infrastruktur zum Schutz der Privatwirtschaft
INHALTSVERZEICHNIS:
I. Problemaufriss
II. Unzulänglichkeit derzeitiger gesetzgeberischer Bestrebungen
III. Plattformbetreiber als Beliehene
1. Beleihung im technischen Sicherheitsrecht
a) Beispiele der Beleihung
b) Verwaltungshelfer nach BSIG
2. Voraussetzungen der Beleihung
a) gesetzliche Grundlage (Gesetzesvorbehalt)
b) Rechtsform des Beleihungsakts
c) Rechtform des Beliehenen
d) Fachliche Eignung und Widerruf
e) Rechtsfolge
3. Die Beleihung im Falle des Cyber-Threat-Plattform-Betreiber
IV. Verhältnis von BSI und Beliehenem (Plattformbetreiber)
1. Über-Unterordnungsverhältnis
2. Entscheidung über Zulassungskriterien
3. Gewährung des Zugangs
4. Organisatorische und technische Infrastruktur
V. Verfassungsrechtliche Bewertung der Beleihung für Cyber-Threat-Plattform-Betreiber
VI. Formulierungsvorschlag einer Rechtsgrundlage
VII. Geeignetheit der Beleihung in der praktischen Umsetzung
VIII. Rechtliche Hürden des Modells
IX. Fazit
|
I. Problemaufriss |
1 |
Die Verhandlungen über das IT-Sicherheitsgesetz 2.01 (IT-SiG 2.0) gehen in die nächste Runde. Eine zweite Version des Referentenentwurfs zum IT-SiG 2.0 wurde Anfang Mai 2020 veröffentlicht2 und befindet sich derzeit in der Ressortabstimmung sowie der öffentlichen Kommentierung. |
2 |
Der Gesetzgebungsakt kostet viel Zeit; Zeit, die aus Sicht der Wirtschaft nicht besteht. Laut einer Studie des IT-Branchenverbandes BITKOM e.V. aus November 2019 gaben 88 % der befragten Unternehmen an, in den letzten zwei Jahren von Datendiebstahl, Industriespionage oder Sabotage betroffen gewesen zu sein.3 Allein die Höhe dieses Anteils ist bereits alarmierend, umso bedenklicher ist sie aber aus dem Grund, dass bei der gleichen Umfrage 2017 nur 79 % angaben, Ziel von Cyberattacken gewesen zu sein. Die Bedrohung steigt stetig und betrifft mittlerweile nahezu alle Unternehmen. |
3 |
Die Wirtschaft erwartet angesichts der mit den steigenden Zahlen der Attacken einhergehenden wachsenden Schäden Reaktionen der Politik. Wie die Studie des BITKOM e.V. zeigt, wünschen sich die befragten Wirtschaftsunternehmen eine engere Zusammenarbeit in Form eines verbesserten Informationsaustausches mit staatlichen Behörden bei IT-Sicherheitsthemen.4 Zudem sollen die zuständigen Behörden die Unternehmen bei Fragen der IT-Sicherheit besser unterstützen.5 |
4 |
Dass staatlicher Handlungsbedarf besteht, ist auch Ergebnis der Cybersecurity-Studie des Verbandes der Technischen Überwachungsvereine (VdTÜV) aus November 2019. So verlangen die befragten Unternehmen sogar mehr staatliche Regulierung und strengere gesetzliche Vorgaben auf dem Gebiet der IT-Sicherheit.6 Der VdTÜV fordert basierend auf diesen Ergebnissen die Aufgabe des Fokus des IT-Sicherheitsrechtes auf die Betreiber von Kritischen Infrastrukturen (KRITIS). Eine auf dem Know-how von Cybersicherheitsfachkundigen basierende digitale Sicherheitsarchitektur sei zielführend, um die Cyberresilienz der deutschen Wirtschaft zu stärken. Hierfür sei eine „enge Verzahnung von Wirtschaft, Wissenschaft und staatlichen Stellen wie dem BSI“ erforderlich.7 |
5 |
Zentrale Rolle nimmt bei allen Forderungen aus der Privatwirtschaft der Austausch von Informationen über Cyberbedrohungen ein. Nur informierte Unternehmen können rechtzeitig auf Bedrohungen reagieren und so einen Schadenseintritt verhindern. |
6 |
Nicht zuletzt die erwähnten Studien zeigen, dass eine Vernetzung der Wirtschaft unter Einbindung von staatlichen Stellen notwendig ist. Dies kann insbesondere erreicht werden durch den Aufbau von Cyber-Threat-Plattformen, um Informationen über Cyber-Threats in einem vertrauensvollen Umfeld in Echtzeit zugunsten der Wirtschaft austauschen zu können. Ansatzpunkte zur Errichtung der Plattformen finden sich bereits im IT-SiG 2.0 RefE 20198 und bestehen auch unverändert im modifizierten IT-SiG 2.0 RefE 2020 fort. |
7 |
Im Folgenden wird aufgezeigt, wie eine Implementierung des Cyber-Threat-Plattformen-Modells insbesondere unter Berücksichtigung der staatlichen Ressourcen durchgeführt werden könnte. Hierbei soll auf das rechtlich bereits etablierte System der Einbindung Privater bei der Erfüllung staatlicher Aufgaben, insbesondere in der Form der Beleihung, eingegangen werden. Zentral ist bei diesem partnerschaftlichen Modell, dass die zuständige staatliche Behörde, das Bundesamt für Sicherheit in der Informationstechnik (BSI), weiterhin ihre gesetzlich zugewiesene Aufgabe beibehält und in seiner Stellung in der Cybersicherheitsarchitektur des Staates darüber hinaus gestärkt werden soll. Hierfür kann (...) |
Hier direkt weiterlesen im juris PartnerModul IT-Recht