Rechtliche und finanzielle Folgen

Neue Gesetze für IT-Sicherheit werden nicht billig

12.05.2015
Von   IDG ExpertenNetzwerk und
Mareike Christine Gehrmann ist Salary Partner bei der Wirtschaftskanzlei Taylor Wessing und Fachanwältin für Informationstechnologierecht. Seit 2015 ist sie Mitglied im IDG-Expertennetzwerk.
Detlef Klett ist Partner in der Wirtschaftskanzlei Taylor Wessing in Düsseldorf. Er hat  sich auf die rechtliche Beratung in den Bereichen IT, Telekommunikation und Datenschutz spezialisiert. Klett berät das Bundesministerium des Innern und seine nachgelagerten Bereiche sowie namhafte Wirtschaftsunternehmen. 
Kommt das geplante IT-Sicherheitsgesetz nebst den nötigen Anpassungen von Telekommunikations-, Telemedien und BSI-Gesetz die deutschen Unternehmen teuer zu stehen? Lesen Sie einen Kommentar der Wirtschaftsanwälte Mareike Gehrmann und Detlef Klett.
  • Neben dem IT-Sicherheitsgesetz sind diverse Änderungen in bestehenden Gesetzen vorgesehen, die insbesondere die Betreiber kritischer Infrastrukturen betreffen.
  • Die geplante (anonyme) Meldepflicht könnte die Unternehmen bis zu 1,1 Milliarden Euro pro Jahr kosten.
  • Zahlreiche Sicherheitsvorfälle der Vergangenheit haben jedoch gezeigt, dass die auf Bundes- und EU-Ebene geplanten Änderungen und Neuerungen berechtigt und sinnvoll sind.

Spätestens seit den jüngsten Cyberangriffen auf das Filmstudio Sony Pictures, das Twitter-Konto des US-Militärkommandos Centcom oder die Internetseite des Bundeskanzleramtes sind die Regierungen weltweit gezwungen, schnellstmöglich Maßnahmen zu ergreifen, um ihre Institutionen, die Wirtschaft und die Bürger besser vor Cyberangriffen zu schützen. Medienwirksam stellte das Weiße Haus daher Mitte Januar der US-Bevölkerung einen Gesetzentwurf zur Bekämpfung von Cyberkriminalität vor, der nicht nur die Rechte der Justiz stärken, sondern vor allem den Informationsaustausch zwischen Unternehmen und Behörden verbessern soll.

Wie teuer werden die Gesetzesänderungen, um mehr IT-Sicherheit gewährleisten zu können - gerade was kritische Infrastrukturen angeht?
Wie teuer werden die Gesetzesänderungen, um mehr IT-Sicherheit gewährleisten zu können - gerade was kritische Infrastrukturen angeht?
Foto: M. Schuppich - Fotolia.com

Eine stärkere Vernetzung von Staat und Wirtschaft sieht auch der im 17. Dezember 2014 vom Bundeskabinett beschlossene Entwurf des IT-Sicherheitsgesetzes vor. Ziel dieses Gesetzentwurfs ist es besonders gefährdete sogenannte Kritische Infrastrukturen, die von hoher Bedeutung für das Funktionieren des Gemeinwesens sind, besser vor Cyberangriffen zu schützen (Entwurf von §2 BSI-Gesetz). Betroffen sind hier vor allem Einrichtungen und Anlagen aus den Sektoren Energie, IT und Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung sowie aus dem Finanz- und Versicherungswesen.

Kein einheitliches Sicherheitsniveau

Bereits auf der ersten Seite des Gesetzentwurfs legt der Gesetzgeber den Finger in die Wunde. Schon heute sind mehr als die Hälfte aller Unternehmen in Deutschland vom Internet abhängig. Ein einheitliches IT-Sicherheitsniveau bei Kritischen Infrastrukturen existiert jedoch nicht. Während in einigen Kritischen Infrastrukturbereichen bereits detaillierte gesetzliche Vorgaben geschaffen wurden, fehlen diese in anderen gänzlich, sind veraltet oder unzureichend.

Ziel des Gesetzgebers ist es daher innerhalb weniger Jahre ein einheitliches IT-Sicherheitsniveau sicherzustellen. Um dies zu erreichen, sollen Betreiber kritischer Infrastrukturen verpflichtet werden, angemessene organisatorische und technische Vorkehrungen - sogenannte branchenspezifische Mindeststandards - zu treffen, um Störungen durch Cyberangriffe zu verhindern, welche nicht nur zwingend einzuhalten, sondern auch dynamisch dem Stand der Technik anzupassen sind (Entwurf von §8a BSI-Gesetz). Die Einhaltung der branchenspezifischen Mindeststandards ist dann seitens der Betreiber kritischer Infrastrukturen mindestens alle zwei Jahre beispielweise durch Sicherheitsaudits, Prüfungen oder Zertifizierungen gegenüber dem BSI nachzuweisen (Entwurf von §8b BSI-Gesetz).

Der Vorteil an diesem Gesetzesvorschlag: Der Gesetzgeber ermöglicht es den Betreibern kritischer Infrastrukturen und ihren Branchenverbände, selbst branchenspezifische Mindeststandards zu entwickeln und dem Bundesamt für Sicherheit in der Informationstechnik (BSI) vorzuschlagen, welches die Eignung auf Antrag feststellen muss. Eine Überregulierung könnte so verhindert werden. Ob das BSI jedoch die Vorschläge der Wirtschaft auch akzeptieren wird oder welchen Anforderungen das BSI an die Unternehmen stellen wird, bleibt abzuwarten.

Umfassende Wissensbasis

Eine weitere Maßnahme zur Bekämpfung und Bewältigung von Cyberangriffen stellt der Aufbau einer breiten, umfassenden Wissensbasis durch den Austausch von Informationen zwischen Staat und Wirtschaft dar. Hierbei sollen Betreiber kritischer Infrastrukturen verpflichtet werden, durch Cyberangriffe verursachte Störungen mit Auswirkungen auf die Versorgungssicherheit oder die öffentliche Sicherheit unverzüglich dem BSI zu melden (Entwurf von §8b BSI-Gesetz). Das BSI sammelt alle eingehenden Meldungen und wird so erstmals in die Lage versetzt, ein aktuelles valides nationales Lagebild zu erstellen. Zugleich wertet das BSI die gesammelten Informationen aus und stellt diese wiederum den Betreibern zum verbesserten Schutz ihrer IT-Systeme und zur Bewältigung der Cyberangriffe zur Verfügung.

Anders als der erste Gesetzentwurf im Jahr 2013 bedarf es einer namentlichen Nennung des Betreibers erst, wenn der Cyberangriff tatsächlich zu einem Ausfall oder einer Beeinträchtigung der Funktionsfähigkeit der Kritischen Infrastruktur geführt hat. Wurde der vorherige Entwurf wegen des befürchteten Reputationsschadens der Unternehmen noch stark kritisiert, bewertet die Wirtschaft den jetzigen Vorschlag positiv. "Damit werden Reputationsverluste für die Unternehmen vermieden und die Bereitschaft zur Meldung gesteigert", kommentiert der IT-Branchenverband Bitkom. In der Tat dürfte ein Ausgleich der verschiedenen Interessen gefunden worden sein.

Kleinstunternehmen ausgenommen

Ausgenommen von der Meldepflicht sowie von der Pflicht branchenspezifische Mindeststandards einzuhalten, sind Kleinstunternehmen. Hierbei handelt es sich um Unternehmen, die weniger als zehn Personen beschäftigen und deren Jahresumsätze oder Jahresbilanzen zwei Millionen Euro nicht überschreiten. Auf Betreiber von Energie- und Atomanlagen sowie von öffentlichen Telekommunikationsnetzen oder Anbieter von öffentlich zugänglichen Telekommunikationsdiensten finden hingegen spezialgesetzliche Regelungen Anwendung, die den Anforderungen der §§8 a und b BSI-Gesetz entsprechen.

In einem dritten Schritt sollen auch die Bürgerinnen und Bürger vor Cyberangriffen besser geschützt werden. Eine besondere Verantwortung tragen in diesem Zusammenhang vor allem die Telekommunikationsanbieter, welche, soweit technisch und wirtschaftlich zumutbar, durch technische und organisatorische Vorkehrungen (wie beispielsweise Verschlüsselungsverfahren) sicherzustellen haben, dass kein unerlaubter Zugriff auf ihre Kritischen Infrastrukturen möglich und diese gegen Störungen gesichert sind. Zusätzlich trifft sie die Pflicht, die personenbezogenen Daten ihrer Kunden vor Zugriff Dritter zu schützen (Entwurf §13 Telemediengesetz). Ist ein Nutzer dennoch von Störungen durch einen Cyberangriff betroffen sind, ist er hierüber zu informieren (Entwurf §109a Telekommunikationsgesetz). Darüber hinaus sind die Bürgerinnen und Bürger über Cyberangriff auf kritische Infrastrukturen grundsätzlich zu informieren, wenn das öffentliche Interesse dies erfordert.

Die Rechte der Behörden

In einem letzten Schritt sollen die Rechte der zuständigen Sicherheitsbehörden, insbesondere des BSI und des Bundeskriminalamtes (BKA), gestärkt werden. Das BSI nimmt hierbei die zentrale Schlüsselrolle ein und erhält hierfür sämtliche Kompetenzen. Auf strafrechtlicher Ebene soll hingegen der Zuständigkeitsbereich des BKA auf die Regelungstatbestände der §§ 202a, 202b, 202c, 263a, 303a und 303b Strafgesetzbuch ausgeweitet werden. Statt bisher durch die Polizeien der Länder sollen Cyberangriffen, die sich gegen die innere und äußere Sicherheit der Bundesrepublik Deutschland oder gegen sicherheitsempfindliche Stellen von lebenswichtigen Einrichtungen richten, nun effektiv, bundesweit verfolgt werden können. Dies ist zu begrüßen. Derzeit liegt die Zuständigkeit der polizeilichen Strafverfolgung in der Regel bei den Ländern, weshalb es vielmehr vom Zufall abhängig ist, in wessen Zuständigkeitsbereich die Strafverfolgung fällt.