zurück zur Übersicht

29.
Juli
2015

IT-Sicherheitsgesetz: Wird Sicherheit jetzt groß oder klein geschrieben?

Seit vergangenem Wochenende ist es in Kraft - das groß angekündigte und dann leise verabschiedete IT-Sicherheitsgesetz. Damit wollen Gesetzgeber und Regierung der “Cyber-Kriminalität” begegnen und vor allem für die Infrastruktur wichtige Unternehmen in die Pflicht nehmen. Fraglich ist, ob das gelingt.

Die Kritik an dem jetzt in Kraft getretenen Gesetz ist groß. Vor allem die unbestimmten Rechtsbegriffe und angeblich industriefreundliche Meldepflichten sorgen dafür, dass Spötter von einem “Sicherheitssimulationsgesetz” sprechen.

An der Kritik ist durchaus etwas dran. Nach dem Gesetzeswortlaut treffen Betreiber so genannter “kritischer Infrastrukturen innerhalb von zwei Jahren die Pflicht,

“angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse zu treffen, die für die Funktionsfähigkeit der von ihnen betriebenen Kritischen Infrastrukturen maßgeblich sind. Dabei ist der Stand der Technik zu berücksichtigen.Organisatorische und technische Vorkehrungen sind angemessen, wenn der dafür erforderliche Aufwand nicht außer Verhältnis zu den Folgen eines Ausfalls oder einer Beeinträchtigung der betroffenen Kritischen Infrastruktur steht.”

Wen diese Pflichten tatsächlich treffen, soll eine noch zu erlassende Rechtsverordnung festlegen. Die zwei Jahre für die Erstumsetzung werden also um einiges verkürzt werden. Viel problematischer ist aber, dass bislang niemand genau sagen kann, welche Maßnahmen “dem Stand der Technik” entsprechen und “angemessen” sind. Das werden wie so oft letztlich die Gerichte zu klären haben.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) soll die Umsetzung überwachen. Außerdem müssen derartige Unternehmen Kontaktstellen zum BSI einrichten und IT-Probleme melden.

“Betreiber Kritischer Infrastrukturen haben erhebliche Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse, die zu einem Ausfall oder einer Beeinträchtigung der Funktionsfähigkeit der von ihnen betriebenen Kritischen Infrastrukturen führen können oder bereits geführt haben, über die Kontaktstelle unverzüglich an das Bundesamt zu melden.”

Auch hier wird die Schwachstelle des Gesetzes sichtbar. Zu melden sind nur “erhebliche” Probleme. Was “erheblich” ist, werden wiederum die Gerichte bestimmen müssen. Der Eingrenzungsversuch in der Gesetzesbegründung kann aus unserer Sicht nur als misslungen bezeichnet werden.

“Eine solche Störung [also eine erhebliche, der Verf.] liegt vor, wenn durch sie die Funktionsfähigkeit der erbrachten kritischen Dienstleistung bedroht ist. Nicht meldepflichtig sind Störungen, die zu keiner Beeinträchtigung der Funktionsfähigkeit der Kritischen Infrastrukturen führen können. Erheblich sind insbesondere solche IT-Störungen, die nicht bereits automatisiert oder mit wenig Aufwand mithilfe der nach § 8a als Stand der Technik beschriebenen Maßnahmen abgewehrt werden können.”

Ein unbestimmter Rechtsbegriff wird durch einen anderen ersetzt. Rechtssicherheit sieht anders aus.

Erfasst werden im Übrigen nicht nur IT-Systeme, sondern auch Komponenten. In der Gesetzesbegründung wird das damit - durchaus nachvollziehbar - gerechtfertigt, dass auch Komponenten und IT-Prozesse Einfluss auf die Infrastrukturen haben.

“Durch die Erfassung nicht nur der informationstechnischen Systeme, sondern auch der informationstechnischen Komponenten, die darin oder in sonstigen Systemen Verwendung finden, sowie durch die Erfassung der informationstechnischen Prozesse, also der Vorgänge der Informationsverarbeitung, wird sichergestellt, dass die Betreiber
Kritischer Infrastrukturen überall dort Absicherungsmaßnahmen ergreifen müssen, wo Informationstechnik Einfluss auf die Erbringung ihrer kritischen Dienstleistungen hat.”

Was das aber in der Praxis tatsächlich bedeutet, erklärt der Gesetzgeber nicht.

Doch nicht nur für Betreiber kritischer Infrastrukturen enthält das Gesetz Regelungen. Auch Betreiber eines Telemediums, also nahezu alle Website-Betreiber werden in die Pflicht genommen. In dem neuen Absatz 7 zu § 13 des Telemediengesetzes (TMG) heißt es:

“Diensteanbieter haben, soweit dies technisch möglich und wirtschaftlich zumutbar ist, im Rahmen ihrer jeweiligen Verantwortlichkeit für geschäftsmäßig angebotene Telemedien durch technische und organisatorische Vorkehrungen sicherzustellen, dass 1. kein unerlaubter Zugriff auf die für ihre Telemedienangebote genutzten technischen Einrichtungen möglich ist und 2. diese a) gegen Verletzungen des Schutzes personenbezogener Daten und b) gegen Störungen, auch soweit sie durch äußere Angriffe bedingt sind, gesichert sind. Vorkehrungen nach Satz 1 müssen den Stand der Technik berücksichtigen. Eine Maßnahme nach Satz 1 ist insbesondere die Anwendung eines als sicher anerkannten Verschlüsselungsverfahrens.“

Was der Gesetzgeber damit meint, erklärt er an einigen Beispielen in der Gesetzesbegründung. Und da wird es dann doch konkret. Das Mindeste, was Webseitenbetreiber tun müssten, sei, auf die regelmäßige Aktualisierung der Software zu achten - eigentlich eine Selbstverständlichkeit. Websitebetreiber, die sich über Werbebanner finanzieren, müssten ihre entsprechenden Verträge anpassen. Ziel sei es, so die Gesetzesbegründung, “einen der Hauptverbreitungswege von Schadsoftware einzudämmen”, denn:

“Bereits durch eine regelmäßige Aktualisierung der für das Telemedienangebot verwendeten Software (Einspielen von Sicherheitspatches) seitens der Websitebetreiber könnten zahlreiche dieser Angriffe vermieden werden. Kompromittierungen können zudem auch durch Inhalte erfolgen, auf die der Diensteanbieter keinen unmittelbaren technischen Einfluss hat (zum Beispiel über kompromittierte Werbebanner, die auf der Webseite eingebunden sind). Dagegen sind organisatorische Vorkehrungen zu treffen. Hierzu zählt beispielsweise, Werbedienstleister, denen Werbefläche eingeräumt wird, vertraglich zu notwendigen Schutzmaßnahmen zu verpflichten.” [Hervorhebung durch uns].

Zu den im Gesetz genannten “technischen Vorkehrungen” gehören aber nicht nur aktuell gehaltene Sicherheitssoftware, sondern auch entsprechende Hardwarevorkehrungen wie Sicherheitsschränke oder -räume sowie die bereits aus § 9 BDSG und dessen Anlage bekannten organisatorischen Maßnahmen.

Ein Verstoß dagegen ist eine Ordnungswidrigkeit und kann mit Bußgeld bis zu 50.000 Euro geahndet werden. Es wird sich zeigen, welche weiteren Konsequenzen Verstöße haben werden. Das Gesetz schweigt (wie bisher) dazu. Denkbar sind zum einen wettbewerbsrechtliche Abmahnungen, aber auch Schadensersatz oder Unterlassungsansprüche Betroffener.

Eine der wenigen konkreten Forderungen des Gesetzes ist die Verwendung anerkannter Verschlüsselungsverfahren. Damit müssen sich Webseitenbetreiber künftig intensiver auseinandersetzen. Aber nur, soweit dies “wirtschaflich zumutbar” ist. Was auch immer das im Einzelfall heißt. Schon der “Stand der Technik” ist gesetzlich nicht definiert und wird von den Gerichten sehr unterschiedlich interpretiert.

Nach einer älteren Bundesverfassungsgerichtsentscheidung ist Stand der Technik das Fachleuten verfügbare Fachwissen, das wissenschaftlich begründet, praktisch erprobt und ausreichend bewährt ist. Es braucht noch nicht in Form von Regeln kodifiziert zu sein; Kenntnis und Anwendung bestimmten Wissens sind ausreichend, aber auch erforderlich.

Konkret bedeutet das für Seitenbetreiber, dass sie sich entweder selbst mit den aktuellen technischen Möglichkeiten auseinandersetzen und diese implementieren müssen oder aber - zumindest - den Vertrag mit dem Host-Provider anpassen sollten. Dieser sollte vertraglich verpflichtet sein, die neuen Anforderungen aus § 13 Abs. 7 TMG zu erfüllen.

Fazit: Nicht verrückt machen lassen, aber auch nicht untätig bleiben. Verträge überprüfen und Systeme aktuell halten. Alles Weitere sagen uns schon die Gerichte.

Kommentar schreiben

Autor

Jens-Oliver Müller
Rechtsanwalt und Notar, Fachanwalt für Handels- und Gesellschaftsrecht, Fachanwalt für Informationstechnologierecht
Alle Artikel vom Autor