Die Details des IT-Sicherheitsgesetzes

Der Bundestag verabschiedet das IT-Sicherheitsgesetz. Das Thema ist spannend genug, um die 66-Seiten-PDF selbst zu lesen. Interessant sind die Details, die nicht im einfachen Newsticker stehen:

  • Das Gesetz gilt nur für Betreiber Kritischer Infrastrukturen, z.B. Atomkraftwerke, Energieversorgern, Betreiber von Telekommunikationsnetzen, aber auch bestimmten Diensteanbietern im Sinne des Telemediengesetz
  • Die Betreiber werden verpflichtet, alle kritischen Komponenten angemessen zu schützen. Wie? Nach dem Stand der Technik natürlich.
  • Die Betreiber müssen dies regelmäßig durch Audits nachweisen. Dabei können sie selbst Standards vorschlagen, die aber genehmigungspflichtig sind. In der Praxis wird das bedeuten: Alle Betreiber Kritischer Infrastrukturen, die noch nicht nach ISO 27001 zertifiziert sind (oder den ISO 27001 Umweg über das BSI-Zertifikat gehen), werden demnächst eine ISO 27001 Zertifizierung anstreben müssen.
  • Die Betreiber müssen melden, wenn erhebliche Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit bei Ihnen auftreten oder aufgetreten sind.
  • Die öffentliche Kritik bzgl. der erlaubten Vorratsdatenspeicherung halte ich für total übertrieben. Der Gesetzeswortlaut: „Soweit erforderlich, darf der Diensteanbieter die Bestandsdaten und Verkehrsdaten der Teilnehmer und Nutzer erheben und verwenden, um Störungen oder Fehler an Telekommunikationsanlagen zu erkennen, einzugrenzen oder zu beseitigen.“ Die meisten Admins werden sagen, dass sie das ohnehin schon machen: Ohne Logs würde nur noch die Glaskugel helfen. Eigentlich gibt es da eher nun etwas mehr Rechtssicherheit.
  • Das BSI erhält deutlich mehr Kompetenzen, Rechte und wird zur deutschen Zentralstelle für IT-Sicherheit ausgebaut. Von der Behörden-Sicherheits-Behörde geht es weg und das BSI darf ernster genommen werden.

Für die großen Unternehmen dürfte das jetzt nicht so die Besonderheit sein, ein ISMS zu betreiben und dies nach ISO 27001 zertifizieren zu lassen. Von einem Betreiber Kritischer Infrastruktur kann man das schon erwarten. Die Meldepflicht finde ich auch in Ordnung, die Meldung von erheblichen Störungen könnte zentral verwaltet von Vorteil sein, wenn das in der Praxis gut umgesetzt wird. Dafür erscheinen mir die Auswirkungen der Änderungen vom Telemediengesetz eher von großer Bedeutung zu sein:

„(7) Diensteanbieter haben, soweit dies technisch möglich und wirtschaftlich zumutbar ist, im Rahmen ihrer jeweiligen Verantwortlichkeit für geschäftsmäßig angebotene Telemedien durch technische und organisatorische Vorkehrungen sicherzustellen, dass
1. kein unerlaubter Zugriff auf die für ihre Telemedienangebote genutzten technischen Einrichtungen möglich ist und
2. diese
a) gegen Verletzungen des Schutzes personenbezogener Daten und
b) gegen Störungen, auch soweit sie durch äußere Angriffe bedingt sind,
gesichert sind. Vorkehrungen nach Satz 1 müssen den Stand der Technik berücksichtigen. Eine Maßnahme nach Satz 1 ist insbesondere die Anwendung eines als sicher anerkannten Verschlüsselungsverfahrens.“

In der Erläuterung dazu steht:

„Wegen der zunehmenden Verbreitung von Schadsoftware über Telemediendienste werden die bestehenden Pflichten für Telemediendiensteanbieter, die ihre Telemedien geschäftsmäßig anbieten, um technische und organisatorische Maßnahmen zum Schutz vor unerlaubten Zugriffen, der personenbezogenen Daten und vor Störungen ergänzt. Geschäftsmäßig ist ein Angebot dann, wenn es auf einer nachhaltigen Tätigkeit beruht, es sich also um eine planmäßige und dauerhafte Tätigkeit handelt. Bei einem entgeltlichen Dienst liegt dies regelmäßig vor, so z.B. bei werbefinanzierten Webseiten. Das nicht-kommerzielle Angebot von Telemedien durch Private und Idealvereine wird demgegenüber nicht erfasst.“

An Bußgeld wurde auch gedacht:

„Die Aufnahme eines Verstoßes gegen die in § 13 Absatz 7 Satz 1 Nummer 1 oder Nummer 2 Buchstabe a des Telemediengesetzes geregelte Pflicht des Diensteanbieters zum Einsatz technischer und organisatorischer Schutzmaßnahmen zur Gewährleistung von IT-Sicherheit der für Dritte angebotenen Inhalte in die Bußgeldvorschriften des § 16 Absatz 2 Nummer 3 entspricht der Bußgeldbewehrung eines Verstoßes gegen die weiteren in § 13 Absatz 4 geregelten Pflichten des Diensteanbieters. Bußgeldbewehrt ist damit auch der Einsatz technischer und organisatorischer Maßnahmen durch den Diensteanbieter, die nicht den Stand der Technik berücksichtigen“

Das ist ein Hammer, das gab es vorher nicht. Demnächst könnten selbst Mini-Kommerziellen-Onlinediensten oder -Webseiten ein Bußgeld bis zu 50.000€ (§16 TMG) aufgedrückt bekommen, wenn Sie ihre Dienste nicht angemessen nach dem Stand der Technik schützen. Sicherlich wird nicht jeder gleich das maximale Bußgeld zahlen müssen. Aber: Diensteanbieter müssen sich um ihr Sicherheitsnievau kümmern, unabhängig vom BDSG.

Die PDF:
https://www.bmi.bund.de/SharedDocs/Downloads/DE/Nachrichten/Kurzmeldungen/entwurf-it-sicherheitsgesetz.pdf?__blob=publicationFile