Die Bundesregierung überarbeitet zurzeit das IT-Sicherheitsgesetz von 2015. Ein nun bekannt gewordener Referentenentwurf des Bundesministeriums des Innern, für Bau und Heimat (BMI) v. 27.3.2019 (RefE) zeigt, in welchen Richtungen Änderungen zu erwarten sind:

(1) Der Kreis der betroffenen Unternehmen wie auch die ihnen auferlegten Pflichtenwerden erweitert;
(2) das Bundesamt für Sicherheit in der Informationstechnik (BSI) erhält weitreichende zusätzliche Kompetenzen;
(3) schließlich werden Straftatbestände erweitert und die Möglichkeiten der Strafverfolgungsbehörden ausgeweitet.

Nicht zuletzt wird die Höhe möglicher Bußgelder drastisch erhöht – sie sollen auf DSGVO-Niveau steigen. Alleine das sollte für die betroffenen Unternehmen Anreiz genug sein, sich gründlich mit den Änderungen zu befassen.

1. Wen betrifft das neue Gesetz?

Der Adressatenkreis der IT-sicherheitsrechtlichen Vorschriften soll durch das IT-Sicherheitsgesetz 2.0 deutlich erweitert werden (zum bisherigen Adressatenkreis des BSI-Gesetzes – Betreiber kritischer Infrastrukturen und Anbieter bestimmter digitaler Dienste – siehe Voigt, IT-Sicherheitsrecht, 2018, Rn. 352 ff. und 386 ff.).

Zum einen sollen die Pflichten des BSI-Gesetzes weiteren Unternehmen auferlegt werden:

• Zu den „kritischen Infrastrukturen“ sollen zukünftig auch Einrichtungen des Entsorgungs-Sektors zählen, wenn sie „von hoher Bedeutung für das Funktionieren des Gemeinwesens sind, weil durch ihren Ausfall oder ihre Beeinträchtigung erhebliche Versorgungsengpässe oder Gefährdungen für die öffentliche Sicherheit eintreten würden“ (Art. 1 Nr. 1 lit. d RefE; bisher umfasst: Energie, Informationstechnik und Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung sowie Finanz- und Versicherungswesen).
• Die neue Kategorie „Infrastrukturen im besonderem öffentlichen Interesse“ unterwirft Unternehmen den gleichen Pflichten wie kritische Infrastrukturen. Unter diese neue Kategorie sollen Unternehmen der Rüstungswirtschaft und bestimmte börsliche Infrastrukturen genauso gehören wie Unternehmen im Bereich Kultur und Medien mit hoher Bedeutung für das Funktionieren des Gemeinwesens; genauere Details sollen durch Rechtsverordnung bestimmt werden (Art. 1 Ziff. 1 lit. e RefE / Abs. 14). Die Gesetzesbegründung zählt auch die Automobil– und Chemiebranche hinzu, diese finden sich aber nicht im eigentlichen Gesetz des RefE.
• Auch Betreibern mit „Cyberkritikalität“ soll das BSI diese Pflichten im Einzelfall auferlegen können. Darunter fallen nicht nur Unternehmen, die wegen ihrer unzureichenden Bedeutung keine „kritische Infrastrukturen“ sind, sondern auch Unternehmen, die Anlagen der Kommunikationsinfrastruktur oder IT-Infrastruktur für die Trinkwasserversorgung betreiben, soweit deren Anlagen derart vernetzt mit anderen Einrichtungen sind, dass ihr Ausfall den Ausfall kritischer Dienstleistungen herbeiführen kann (Art. 1 Ziff. 16 RefE / § 8g).

Zum anderen enthält der RefE v. 27.3.2019 neue Pflichten für:

• Hersteller bestimmter IT-Kernkomponenten für kritische Infrastrukturen (sog. „KRITIS-Kernkomponenten“) sowie Hersteller von sonstigen IT-Komponenten mit Relevanz für kritische Infrastrukturen (Art. 1 Ziff. 1 lit. e RefE / Abs. 13) und
• Anbieter von Telekommunikationsdiensten (TK-Diensten; Art. 2 RefE) sowie
• Anbieter von Telemediendiensten (Art. 3 RefE).

2. Was sind die neuen materiellen Pflichten?

Auch die materiellen IT-sicherheitsrechtlichen Pflichten werden durch den Entwurf deutlich erweitert (zu den bereits geltenden Pflichten siehe Voigt, IT-Sicherheitsrecht, 2018, Kapitel D).

Betreiber kritischer Infrastrukturen sollen verpflichtet werden,

• sich beim BSI zu registrieren und eine jederzeit erreichbare Kontaktstelle zu benennen (Art. 1 Ziff. 14 lit. b RefE),
• Systeme zur Angriffserkennung zu nutzen (Art. 1 Ziff. 13 lit. a RefE), sowie
• dem BSI zur Erfüllung seiner Aufgabe notwendige Informationen herauszugeben (Art. 1 Ziff. 14 lit. c RefE).

Hersteller von IT-Produkten und KRITIS-Kernkomponenten sollen verpflichtet werden, erhebliche Störungen in Verfügbarkeit oder Integrität ihrer Produkte an das BSI zu melden, soweit Relevanz für kritische Infrastrukturen oder Infrastrukturen im besonderen öffentlichen Interesse besteht (Art. 1 Ziff. 16 RefE / § 8h).

Hersteller von KRITIS-Kernkomponenten sollen darüber hinaus vor deren Vertrieb eine Vertrauenswürdigkeitserklärung über die gesamte Lieferkette abgeben müssen. Den genauen Inhalt dieser Erklärung soll das Bundesinnenministerium (BMI) bestimmen (Art. 1 Ziff. 13 lit. b RefE).

Anbieter von TK-Diensten und Telemediendiensten sollen durch Änderungen des TKG bzw. des TMG verpflichtet werden,

• eine Stelle in Deutschland zur Entgegennahme von behördlichen Ersuchen einzurichten und ihre Datenverarbeitung so zu organisieren, dass Auskunfts-‍, Bereitstellungs- und Löschverlangen der Behörden unmittelbar ausgeführt werden können (Art. 2 Ziff. 4 RefE und Art. 3 Ziff. 3 RefE / § 15b Abs. 2),
• „Data breaches“ in eigenen Systemen an das Bundeskriminalamt (BKA) zu melden (Art. 2 Ziff. 2 lit. b RefE und Art. 3 Ziff. 2 RefE) und
• dem BKA zu melden sind Fälle, in denen der eigene Dienst zur „rechtswidrigen Weitergabe oder Veröffentlichung rechtswidrig erlangter Daten“ genutzt wird und deshalb der Zugang zu den betroffenen Daten zu sperren ist sowie diese später ggf. zu löschen sind (Art. 2 Ziff. 3 RefE und Art. 3 Ziff. 3 RefE).
• Das BSI wird ermächtigt, ihnen gegenüber Anordnungen zur Gefahrenabwehr zu treffen (Art. 2 Ziff. 2 lit. c RefE und Art. 3 Ziff. 1 RefE).

Anbieter von TK-Diensten sollen darüber hinaus verpflichtet werden,

• Systeme zur Angriffserkennung einzusetzen (Art. 2 Ziff. 1 RefE).
• Im Einzelfall soll das BSI zudem von ihnen verlangen können, den Traffic zu Kontrollservern von Botnetzen auf staatlich kontrollierte Servern (sog. „sink holes“) umzuleiten (Art. 2 Ziff. 2 lit. c RefE / durch den Verweis in Nr. 1) und von Schadprogrammen befallene Computersysteme per Fernwartung zu bereinigen (Art. 2 Ziff. 2 lit. c RefE / Nr. 2).

Das BSI soll zudem folgende neuen Befugnissen und Aufgaben erhalten:

• die Suche nach Schadsoftware und Sicherheitslücken in am Markt erhältlichen Produkten (Art. 1 Ziff. 10 RefE),
• die Detektion von Risiken in öffentlich zugänglichen IT-Systemen (etwa durch Portscans oder auch den Einsatz von sog. „Honeypots“; Art. 1 Ziff. 11 RefE),
• die Sammlung von Informationen über Sicherheitsrisiken in IT-Produkten zur Warnung von Hersteller und Öffentlichkeit (Art. 1 Ziff. 4 RefE / § 4b und Art. 1 Ziff. 9 RefE),
• die Aufstellung von Krisenreaktionsplänen (Art. 1 Ziff. 8 RefE),
• die Unterstützung der Verfassungsorgane des Bundes bei der Sicherung ihrer IT-Infrastruktur (Art. 1 Ziff. 11 RefE / § 7c),
• die Festlegung von Mindeststandards für die IT-Sicherheit des Bundes (Art. 1 Ziff. 12 RefE),
• erweiterte Aufgaben im Verbraucherschutz: Warnung vor Sicherheitslücken, Schadprogrammen und unerlaubten Datenzugriffen sowie die Empfehlung von Vorkehrungen und Gegenmaßnahmen (Art. 1 Ziff. 2 lit. d RefE),
• Einführung eines IT-Sicherheitskennzeichens (Art. 1 Ziff. 18 RefE),
• Befugnis zum Zugriff auf Daten bei Dienstleistern des Bundes, wenn dies zum Schutz der Regierungsnetze erforderlich ist (Art. 1 Ziff. 5 lit d RefE),
• Erlaubnis zur erweiterten Datenverarbeitung und längere Auswertung von Protokolldaten aus Kommunikationsinfrastrukturen des Bundes bis zu 18 Monaten (Art. 1 Ziff. 5 lit. b RefE und Art. 1 Ziff. 6 RefE),
• Befugnis zur Einholung von Bestandsdatenauskünften von TK-Anbietern, um Betroffene von IT-Angriffen oder Sicherheitslücken zu informieren (Art. 1 Ziff. 8 RefE / § 5d).

3. Was ändert sich bei Bußgeldern und im Strafrecht?

Der mögliche Bußgeldrahmen bei Verstößen gegen Pflichten aus dem BSI-Gesetz soll drastisch erhöht werden. Er soll zukünftig bis zu 10 Mio EUR bzw. 2% des gesamten weltweiten Unternehmensumsatzes des Vorjahres betragen, je nachdem, welcher Wert im Einzelfall höher ist. Für einzelne Tatbestände soll der Bußgeldrahmen sogar auf bis zu 20 Mio EUR bzw. 4% des Umsatzes steigen (Art. 1 Ziff. 21 RefE / § 14 Abs. 2).

Der Katalog der Bußgeldtatbestände soll entsprechend der neuen materiellen Vorschriften umfangreich erweitert werden (Art. 1 Ziff. 21 RefE / § 14 Abs. 1).

Zugleich werden zahlreiche Änderungen im Strafrecht vorgeschlagen:

• Die „unbefugte Nutzung informationstechnischer Systeme“ soll neu unter Strafe gestellt werden, § 202e StGB (Art. 4 Ziff. 4 RefE);
• ebenso die „Zugänglichmachung von Leistungen zur Begehung von Straftaten“, § 126a StGB (Art. 4 Ziff. 2 RefE).
• Der Strafrahmen für zahlreiche Datenstraftaten soll drastisch auf bis zu fünf Jahren Freiheitsstrafe erhöht werden (Art. 4 Ziff. 3 RefE); in besonders schweren Fällen (etwa bandenmäßige Begehung, (geheimdienstliche) Tätigkeit für eine fremde Macht oder beabsichtigter Ausfall kritischer Infrastruktur) soll Freiheitsstrafe bis zu zehn Jahren möglich sein, §§ 99 und 202f StGB (Art. 4 Ziff. 1 RefE und Art. 4 Ziff. 4 RefE).

Den Strafverfolgungsbehörden soll durch Änderungen der Strafprozessordnung ermöglicht werden, die Instrumente der Telekommunikationsüberwachung, Online-Durchsuchung und Verkehrsdatenabfrage auch in Fällen bestimmter Datenstraftaten einzusetzen (Art. 5 Ziff. 1-3 RefE). Neu geschaffen werden soll zudem:

• die Möglichkeit des Zugriffs auf Nutzerkonten in TK- und Telemediendiensten und
• die Befugnis, diese Nutzerkonten auch unter der Identität des Verdächtigen im Kontakt mit Dritten zu nutzen.
• Der Verdächtige soll dabei verpflichtet sein, seine Zugangsdaten herauszugeben (Art. 5 Ziff. 4 RefE).

Fazit

Insgesamt würde bei Verabschiedung des RefE der Anwendungsspielraum der IT-sicherheitsrechtlichen Verpflichtungen deutlich erweitert und die Relevanz des IT-Sicherheitsrechts deutlich erhöht– auch durch die erhöhten Sanktionen bei einem Fehlverhalten.