Am 23.04.2021 hat der Bundestag den durch Bundesinnenminister Horst Seehofer vorgelegten Entwurf eines Zweiten Gesetzes zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz 2.0) verabschiedet. Damit hat die Bundesregierung einen Auftrag aus dem aktuellen Koalitionsvertrag, noch rechtzeitig vor dem Ende der Legislaturperiode, erfüllt. Das Gesetz schließt an das IT-Sicherheitsgesetz aus dem Jahr 2015 an und soll künftig die Informations- und Cybersicherheit Deutschlands weiter verbessern. Kernpunkte der neuen Version sind vor allem eine deutlich stärkere Position des BSI und eine Ausweitung unternehmerischer Vorsorgepflichten.
Stärkung und Ausbau des BSI
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) wird in seiner Position deutlich gestärkt, insgesamt bezüglich seiner Befugnisse und Möglichkeiten, wie auch finanziell und personell mit fast 800 neuen Stellen.
Künftig wird das BSI befugt sein, Sicherheitslücken an den Schnittstellen von IT-Systemen zu öffentlichen Telekommunikationsnetzen mithilfe von Portscans aufzuspüren. Das BSI kann weiterhin künftig gegenüber Telekommunikationsdiensten mit mehr als 100.000 Kunden fordern, dass technische Befehle, zur Bereinigung explizit benannter Schadprogramme und auch nur, wenn eine deutliche und Gefahr im Raum steht, an betroffene IT Systeme versendet werden. Außerdem wird es dem BSI erlaubt sein, Honeypots und Sinkholes aktiv anzuwenden.
Lesetipp: 15 Tricks gegen Cyberkriminelle - So halten Sie Hacker ab
Der Verbraucherschutz wird ebenso ein Teil der Aufgaben des BSI. Es wurde die Grundlage für ein einheitliches IT-Sicherheitskennzeichen geschaffen, welches Funktionen für IT-Sicherheit in Produkten erstmals für private Verbraucher sichtbar und nachvollziehbar macht. Es wird aus einer Herstellererklärung und aus Sicherheitsinformationen des BSI, für das jeweilige IT-Produkts, bestehen.
Stärkung der unternehmerischen Vorsorgepflichten
Auf die Betreiber Kritischer Infrastrukturen kommen auch neue Anforderungen zu. Sie werden in Zukunft verpflichtet, Systeme zur Angriffserkennung einzusetzen. Außerdem gelten aktuelle Meldepflichten künftig auch für Unternehmen, die von besonderem öffentlichen Interesse sind. Diese sollen zudem mindestens alle zwei Jahre eine Selbsterklärung zur IT-Sicherheit gegenüber dem BSI vorlegen und den Einsatz kritischer Komponenten, für die eine Zertifizierungspflicht besteht, beim Bundesministerium für Inneres und Heimat anzeigen. Das Ministerium kann den Einsatz solcher kritischen Komponenten untersagen, wenn sich die Hersteller des jeweiligen IT-Produkts als nicht vertrauenswürdig erwiesen haben.
Künftig müssten dann auch Hersteller von IT-Produkten (z.B. Softwareprodukten) für Unternehmen der kritischen Infrastruktur eine Garantieerklärung abgeben, in der sie darlegen, ob und wie sie versuchen das jeweilige IT-Produkt vor Terrorismus, Spionage oder Sabotage zu bewahren.
In dem geänderten Gesetz enthalten ist außerdem eine Klausel, welche auch schon "Huawei-Klausel" (aufgrund der vorangegangenen öffentlichen Diskussionen um das chinesische Unternehmen und seine Rolle beim 5G Netzausbau) genannt wurde. Hier geht es um die Möglichkeit des Ausschlusses einzelner Ausrüster vom Netzausbau durch das Bundesinnenministerium. Dies jedoch nur in Absprache mit weiteren Ministerien und wenn diese Ausrüster als nicht vertrauenswürdig angesehen werden. Diese Änderung gilt jedoch natürlich nicht explizit nur für Huawei sondern für alle potenziellen Ausrüster.
Lesetipp: Huawei-Manager Körg Karpinski im ChannelPartner-Interview
Kritik bleibt nicht aus
Grundsätzlich ist es natürlich zu begrüßen, dass die Bundesregierung die Herausforderungen rund um die Informationssicherheit des Landes verstärkt angeht, wenn auch recht spät in der Legislaturperiode. Doch gerade aufgrund der ständigen medialen Brisanz und allumfassenden Relevanz des Themas für den Standort Deutschland an sich, bleibt Kritik natürlich nicht aus und vielen Beobachtern kommen die Änderungen zu spät und gehen nicht weit genug. Teilweise werden diese als bereits überholt angesehen, teilweise als zu wenig dynamisch und auch die Einbeziehung der Wirtschaft als Partner, ein Punkt der in den aktuellen Änderungen durchaus anders interpretiert werden kann, reicht vielen nicht aus.
Der Fokus wird nun mit Sicherheit auf dem BSI liegen. Hier muss sich zeigen, ob und wie eine öffentliche Behörde mit gewachsenen Strukturen es schafft, die Vielzahl an neuen Aufgaben und potenziellen Stellen so zu koordinieren und einzusetzen, dass es den dynamischen Anforderungen der Realität jederzeit gerecht wird. Es ist aber sinnvoll, dass insgesamt der Rahmen geschaffen wurde, um bestimmt Themen grundsätzlich proaktiver anzugehen und dafür auch nötige Ressourcen zur Verfügung gestellt werden. Ebenso zwingen die Änderungen viele Unternehmen noch stärker dazu, sich permanent und noch stärker um Themen der Informationssicherheit zu kümmern und bestimmt wird diese Änderung nicht die letzte sein. Wer jetzt intern die Strukturen schafft, um Gesetzesanpassungen zur Informationssicherheit effektiv umzusetzen, der braucht auch weitere Verschärfungen, die dann auch potenziell Unternehmen aus weiteren Branchen betreffen könnten, nicht zu fürchten. (bw)