Zum 2. Dezember hat das Bundesinnenministeriums einen aktuellen Entwurf des Gesetzes zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz – IT-SiG ) zur Diskussion gestellt.
Geplante Änderungen:
- Das Bundesamt für Sicherheit in der Informationstechnik (BSI) soll darin befugt werden, Kontroll- und Prüfbefugnisse gegenüber der gesamten Bundesverwaltung auszuüben, indem es Informationen über das aktuelle Sicherheitsniveau der überprüften Stelle des Bundes verlangen kann. Außerdem wird der Verbraucherschutz in den Aufgabenkatalog des BSI aufgenommen.
- Es soll zudem die Grundlage für einheitliches IT-Sicherheitskennzeichen eingeführt werden, das die IT-Sicherheitsfunktionen insbesondere von Produkten im Verbrauchersegment erstmals für Bürger sichtbar und nachvollziehbar macht.
- Des Weiteren soll die Befugnis des BSI zur Untersuchung von IT-Produkten neu gefasst werden. Hersteller sollen zur Auskunft über ihre Produkte verpflichtet werden. Ferner soll die Sicherheitsbehörde Sicherheitslücken an den Schnittstellen informationstechnischer Systeme zu öffentlichen TK-Netzen detektieren (Portscans) sowie Systeme und Verfahren zur Analyse von Schadprogrammen und Angriffsmethoden einsetzen (Honeypots). Im Übrigen enthält der Entwurf eine Regelung, die den Einsatz kritischer Komponenten, für die eine Zertifizierungspflicht besteht, untersagt.
Kritik der AG Kritis
Im Vergleich zum dritten Entwurf vom 21. November enthalte der aktuelle Entwurf neben einigen Verbesserungen jedoch auch eine Reihe an erheblichen Mängeln, "welche wir als sehr problematisch einschätzen", schreibt die AG Kritis. Es handelt sich dabei um einen unabhängigen, ehrenamtlichen Zusammenschluss von über 40 Experten, die sich täglich mit Kritischen Infrastrukturen (KRITIS) beschäftigen, etwa durch Planung, Bau, Betrieb, Beratung oder Prüfung der beteiligten IT-Systeme und Anlagen.
Allein mit der Frist, sich lediglich bis 6. Dezember zu dem Entwurf äußern zu können, und einer geplanten Verabschiedung am 16. Dezember 2020 durch das Kabinett halte man es für ausgeschlossen, dass notwendige Änderungen noch Einzug in den Gesetzesentwurf finden können, heißt es weiter. Inzwischen hat das Bundesinnenministerium die Frist auf 9. Dezember um drei Tage erhöht. "Eine Frist von nur einer Woche kann nicht dem demokratischen Gedanken entsprechen und spiegelt nicht die Wichtigkeit der geplanten Gesetzesanpassungen wider", entgegnet die AG Kritis.
"Keine klare Linie"
Dabei geht die AG Kritis mit dem vorhandenen Entwurf hart ins Gericht: "Der vorgelegte Gesetzesentwurf lässt keine klare Linie zur konsequenten Erhöhung des Sicherheitsniveaus der IT und Kritischen Infrastrukturen erkennen. Im gesamten Gesetzestext ist keine Strategie erkennbar, grundlegende Sicherheitsanforderungen zu stärken. Vielmehr scheint es sich um eine bunte Mischung – teilweise sachfremder – Wünsche seitens einzelner Behörden zu handeln. Grundlegende Maßnahmen, die sinnvoll wären, wie die verpflichtende Einführung eines Informationssicherheitsmanagementsystems (ISMS) sind nicht enthalten. Gute Ideen aus vorherigen Entwürfen fehlen nun ganz, dafür wurden mehrere verfassungsrechtlich höchst fragliche Passagen hinzugefügt", heißt es in einem Blogbeitrag der Initiative.
Evaluierung der Schwellenwerte
Dabei kritisiert die AG Kritis unter anderem folgende Punkte: Laut IT-SIG 1.0 und KritisV muss die Kritisverordnung – und damit insbesondere auch die Schwellwerte, ab denen ein Betreiber als Kritische Infrastruktur betrachtet wird – alle zwei Jahre evaluiert werden. Diese Evaluierungen habe man inzwischen wiederholt versäumt. Sie sei allerdings ein elementarer Bestandteil zur Prüfung der Wirksamkeit und müsse durchgeführt werden, bevor eine Kompetenz- und Anforderungsausweitung mit dem neuen IT-SiG 2.0 vorgenommen werde. Stattdessen werde die Pflicht zur regelmäßigen Evaluierung mit diesem Entwurf vollständig entfernt.
Verpflichtende Systeme zur Angriffserkennung
Bereits jetzt ist die Umsetzung eines ISMS und damit einhergehend eine Risikoanalyse mit anschließender Definition der Maßnahmen vorgegeben. Sofern sich daraus ergibt, dass die Einführung und der Betrieb von Systemen zur Angriffserkennung (IDS oder IPS) als spezifische Maßnahme erforderlich ist, wird dieses bereits dadurch verpflichtend. Die gesetzliche Vorgabe einzelner technischer Maßnahmen in einem Gesetz, wie etwa einem IDS oder IPS – vollkommen unabhängig von einer Risikoanalyse der konkreten technischen Infrastruktur –, sei allerdings nicht sinnvoll, klagt die AG Kritis.
Im Zweifel führe dies zu überflüssigen Aufwand und binde Ressourcen die im Einzelfall bei wichtigeren Maßnahmen notwendig wären. Darüber hinaus sei es unüblich, eine technische Maßnahme in dieser Konkretheit im Gesetz vorzugeben. "Wenn überhaupt nötig, könnten Vorgaben auf einem solchen Detaillevel für einzelne Anlagenkategorien differenziert als Rechtsverordnung in der Kritis-Verordnung vorgegeben werden", so der Vorschlag der AG Kritis.
Speicherung von Protokolldaten
Kritik gibt es auch an der Speicherung von Protokolldaten: Eine Anonymisierung von Logdateien in Verbindung mit gleichzeitiger Umsetzung eines ISMS sei technisch ohne Duplizierung von Daten unmöglich, so dieAG Kritis. Es müsse grundsätzlich davon ausgegangen werden, dass anonymisierte Logdateien nicht dem Stand der Technik zur Detektion und Reaktion auf Sicherheitsvorfalle im Rahmen des ISMS entsprechen. Ein Betreiber muss grundsätzlich in der Lage sein, Handlungen konkreten Personen zuzuordnen. Die Verpflichtung Logdaten zu speichern widerspreche zumindest für den Sektor Energie den Anforderungen, die aus dem Sicherheitskatalog der BNetzA abgeleitet werden können, denn im Sicherheitskatalog werde ein ISMS mit entsprechenden Maßnahmen gefordert.
"Da eine IP-Adresse nach Einschätzung des Bundesbeauftragten für den Datenschutz in der Informationstechnik (BfDI) ein personenbezogenes Datum ist und daher diese Information entfernt werden müsste, ist der entstehende Datenhaufen nicht verwendbar und enthält keine Aussagekraft mehr", verweist die Initiative auf ein Hindernis.
Big Data en masse
Bei Betreibern entstünden zudem viele Gigabyte, in manchen Fällen sogar Terabytes, pro Tag an Logdaten – diese Datenmenge für vier Jahre zu speichern, lasse enorme Mehrkosten bei allen Betreibern entstehen und erzeugt aufgrund der vorgeschriebenen Anonymisierung keinen Mehrwert, so die Kritik. Eine Analyse solcher Datenmengen sei extrem rechenaufwendig. "Es ist fraglich, ob am Markt verfügbare Großcomputer in der Lage sein können, Logdateien dieser Größenordnung innerhalb angemessener Zeit – während eines Angriffs in der Regel nur Stunden oder weniger – auszuwerten. Schon der Transfer solcher Datenmengen zu einer entsprechenden Großrechenanlage würde Wochen benötigen und einen erheblichen logistischen Aufwand mit sich bringen", heißt in dem Blogeintrag.
Und weiter: "Diese Änderung belegt die Realitätsferne des zuständigen Referats im BMI – keiner der Mitarbeiter hat wohl jemals Logdaten eines KRITIS-Betreibers gesehen oder Informationen über den Prozess der Auswertung erlangt, ansonsten wäre diese Formulierung so nicht entstanden."
Insgesamt würden bei den angesprochenen Punkten konkrete technische Maßnahmen gefordert, die hohe Ausgaben/Investitionen von den Betreibern fordern und deren Wirksamkeit und Umsetzbarkeit sehr fragwürdig sei. Dies lasse auf mangelndes technisches Verständnis bei den Verfassern des Entwurfs schließen, so die AG Kritis. (sg)
