Das Kabinett hat neue Vorgaben für Komponenten in kritischen Infrastrukturen wie dem neuen superschnellen 5G-Netz beschlossen. Hersteller sollen demnach eine Erklärung zu ihrer Vertrauenswürdigkeit abgeben, das Bundesinnenministerium soll den Einsatz untersagen können. Um die Regelung gab es auch mit Blick auf eine mögliche Beteiligung des chinesischen Anbieters Huawei lange Diskussionen. Der Bundestag muss dem Gesetzentwurf noch zustimmen.
Hersteller von Komponenten für Kritische Infrastrukturen sollen künftig eine Erklärung abgeben. Dazu heißt es im Gesetzentwurf: «Aus der Garantieerklärung muss unter anderem hervorgehen, ob und wie der Hersteller hinreichend sicherstellen kann, dass die kritische Komponente über keine technischen Eigenschaften verfügt, die geeignet sind, missbräuchlich, insbesondere zum Zwecke von Sabotage, Spionage oder Terrorismus auf die Sicherheit, Integrität, Verfügbarkeit oder Funktionsfähigkeit der Kritischen Infrastruktur einwirken zu können.»
Huawei-Frage nach wie vor ungeklärt
Die Mindestanforderungen dafür soll das Bundesinnenministerium festlegen. Wenn ein Hersteller sich als nicht vertrauenswürdig erweist - etwa weil er bekannte Schwachstellen nicht an den Betreiber meldet – kann der Betrieb untersagt werden. «Bei wiederholter Feststellung nicht vorliegender Vertrauenswürdigkeit» kann das Bundesinnenministerium im Einvernehmen mit betroffenen anderen Ministerien den Einsatz aller kritischen Komponenten des Herstellers untersagen.
Kritiker halten den chinesischen Technologie-Konzern Huawei für ein Sicherheitsrisiko. Sie befürchten Spionage oder Sabotage. Das Unternehmen hat solche Vorwürfe zurückgewiesen. Auf die Frage, ob die Bundesregierung im Falle einer Beteiligung von Huawei an 5-G-Systemen mit einem Versiegen von US-Geheimdienstinformationen rechne, antwortete Regierungssprecher Steffen Seibert nur: «In diesem Gesetz geht es ganz grundsätzlich um Fragen der IT-Sicherheit und nicht um einzelne Hersteller.»
Weitreichende Aufgaben für die Sicherheitsbehörde
Der Entwurf sieht auch eine Pflicht zur Erkennung von Angriffen für die Betreiber kritischer Infrastrukturen vor, sowie die Einführung eines einheitlichen IT-Sicherheitskennzeichens für Produkte, das das Bundesamt für Sicherheit in der Informationstechnik (BSI) vergeben soll.
"Dieser Gesetzentwurf ist für das Bundesamt für Sicherheit in der Informationstechnik von außerordentlicher Bedeutung und ein starker Beweis für das Vertrauen in das BSI", erklärte Präsident der Behörde, Arne Schönbohm.
Vorausgesetzt, der Deutsche Bundestag beschließe das Gesetz, werde das BSI den digitalen Verbraucherschutz am neuen Standort Freital ausbauen, die Marktbeobachtung für IT-Produkte etablieren, sowie das Service-Center-Angebot für die Bürgeranfragen erweitern und das IT-Sicherheitskennzeichen auf den Markt bringen.
IT-Sicherheitskennzeichen
Letzteres soll es Verbrauchern ermöglichen, schnell und auf einen Blick alle wichtigen Informationen über die IT-Sicherheitseigenschaften von Produkten wie Routern oder IoT-Devices zu erhalten. Weitere Befugnisse ergeben sich zudem gegenüber dem Bereich der Bundesverwaltung. Hier werden die Kontroll- und Prüfbefugnisse zum Schutz der Regierungsnetze ausgebaut. Bei wesentlichen Digitalisierungsvorhaben des Bundes soll das BSI frühzeitig beteiligt werden. Erst vergangene Woche wurde der IT-Sicherheitsbeauftragte IT-Konsolidierung Bund durch das BSI bestellt.
VKU sieht Nachholbedarf
In einer ersten Einschätzung kam VKU-Hauptgeschäftsführer Ingbert Liebing zu folgendem Ergebnis: „Neue Technologien und Methoden sowie rasante Innovationszyklen erfordern ein Update des IT-Sicherheitsrechts – auch, damit Betreiber kritischer Infrastrukturen die nötige Rechtssicherheit für weitere Maßnahmen und Investitionen in Cyber-Sicherheit bekommen. Fakt ist: Cyber-Sicherheit ist kein Zustand, sondern ein Prozess. Deswegen prüfen, analysieren und entwickeln unsere Mitgliedsunternehmen ihre Systeme und Maßnahmen kontinuierlich weiter. Ziel ist dabei, kritische Infrastrukturen zur Versorgung von Wirtschaft und Bevölkerung mit Energie, Wasser, schnellem Internet sowie zur sicheren Entsorgung von Abfall und Abwasser bestmöglich vor Cyber-Angriffen zu schützen."
Aus Sicht des Verbands stimmt beim IT-SiG 2.0 die Richtung. Damit das Gesetz in der Praxis zu einem Sicherheitsupdate für die kritischen Infrastrukturen werde, müsse der Gesetzgeber an einigen Stellen nachbessern:
- Das BSI zur Mitteilung von Sicherheitslücken verpflichten. Der Entwurf erweitert die Befugnisse des Bundesamts für Sicherheit in der Informationstechnik (BSI). So darf das BSI künftig selbst auf Sicherheitslücken testen. Der VKU steht einer Aufwertung des BSI grundsätzlich offen gegenüber, pocht jedoch auf eine Mitteilungspflicht des BSI. Das BSI sollte die Betreiber kritischer Infrastrukturen sofort über gefundene Sicherheitslücken in ihren Systemen informieren. Dann können die Betreiber von kritischen Infrastrukturen diese Lücken schließen.
- Betreiber auch künftig bei Definition des Stands der Technik maßgeblich beteiligen. Weiter gilt die Pflicht, IT-Sicherheitssysteme auf dem Stand der Technik einzuführen bzw. weiterzuentwickeln. Neu ist, dass künftig das BSI den Stand der Technik mit technischen Richtlinien bestimmen soll. Unklar ist, ob und wie dabei die Betreiber kritischer Infrastrukturen und die IT-Sicherheitswirtschaft eingebunden werden. Der VKU plädiert dafür, beide auch künftig maßgeblich an der Entwicklung von Standards zu IT-Sicherheitslösungen und der Definition des Stands der Technik zu beteiligen.
- Sorgfalt vor Schnelligkeit: Angemessene Übergangsfristen setzen. Das IT-SiG 2.0 verpflichtet Betreiber kritischer Infrastrukturen künftig auf Systeme zur Angriffserkennung. Die Frist wurde im Vergleich zu vorangegangenen Entwürfen deutlich verkürzt. Zudem zählt erstmals auch die kommunale Abfallwirtschaft zu den kritischen Infrastrukturen. Ab wann die Regelungen für sie gelten, ist rechtlich nicht klar geregelt. So sinnvoll neue Anforderungen sein mögen: Auf Knopfdruck lassen sie sich nicht umsetzen. Aus VKU-Sicht muss der Gesetzgeber für beide Punkte eine angemessene Übergangsfrist von zwei Jahren setzen - Sorgfalt vor Schnelligkeit.
- Rechtssicherheit bei kritischen Komponenten schaffen. Bisher fehlt im Gesetz eine klare Definition kritischer Komponenten, deren Einsatz im Endeffekt künftig das BSI genehmigen soll. Unklar ist auch, wie wirksam die Garantieerklärung der Hersteller ist. Hier sollten Bundesregierung und Bundestag nachbessern, um Rechtssicherheit für die Betreiber zu schaffen.
Künftig auch Unternehmen im besonderen öffentlichen Interesse betroffen
Auch der TÜV-Verband äußerte sich bereits: "Das neue IT-Sicherheitsgesetz wird dazu beitragen, den Schutz vor Cyberangriffen zu verbessern", sagte Geschäftsführer Joachim Bühler. Und weiter: "Wir begrüßen, dass der enge Geltungsbereich des Gesetzes ausgeweitet wird und in Zukunft weitaus mehr Unternehmen höchste Anforderungen an die IT-Sicherheit erfüllen müssen als bisher." Bisher mussten nur rund 2.000 Unternehmen, die zu den Betreibern Kritischer Infrastrukturen zählen, die Vorgaben des Gesetzes erfüllen. Künftig werden auch "Unternehmen im besonderen öffentlichen Interesse" erhöhte IT-Sicherheitsanforderungen erfüllen müssen. Das betrifft zum Beispiel große Unternehmen mit besonderer gesamtwirtschaftlicher Bedeutung oder Unternehmen, die staatliche Sicherheitsinteressen berühren.
Deutlichen Nachbesserungsbedarf sieht der TÜV-Verband beim geplanten IT-Sicherheitskennzeichen für Produkte. Verbraucher sollen hier eine bessere Orientierung beim Kauf vernetzter Produkte mit digitalen Funktionen zu ermöglichen. Voraussetzung für die Vergabe des Kennzeichens ist eine Erklärung des Herstellers, dass sein Produkt den Vorgaben entspricht. Das BSI überprüft anhand von Unterlagen des Herstellers, ob die Angaben plausibel sind.
TÜV-Verband kritisiert reine Plausibilitätsprüfung
"Eine reine Plausibilitätsprüfung von Dokumenten reicht nicht aus, um die IT-Sicherheit eines Produktes umfassend zu bestätigen", sagte Bühler. Für eine substantiierte Verbraucherinformation sei eine tatsächliche Produktprüfung notwendig, die von einer herstellerunabhängigen Stelle durchgeführt wird.
"Für die Verbraucher muss klar sein, was eine Produktkennzeichnung aussagt", betonte Bühler. "Echte Sicherheit und verlässliche Orientierung bietet nur eine fundierte Produktprüfung durch unabhängige Dritte." Die Kritik verwundert nicht, schließlich vertritt der Verband die Interessen der Technischen Überwachungs-Vereine in Deutschland. Aus Sicht des TÜV-Verbands sollten sich staatliche Stellen unter Wahrung des Subsidiaritätsprinzips sowie des Grundsatzes der Staatsentlastung auf hoheitliche Aufgaben konzentrieren.
Dem BSI werden im IT-Sicherheitsgesetz 2.0 Aufgaben wie die Akkreditierung von Prüforganisationen, die Zertifizierung von IT-Produkten oder sicherheitsrelevanten Dienstleistungen sowie die Marktaufsicht zugedacht. So soll das BSI künftig private Prüforganisationen zulassen bzw. akkreditieren und überwachen, mit denen sie gleichzeitig um die Zertifizierung von sicherheitskritischen Systemen in der Wirtschaft konkurriert. Allerdings berge die Konzentration, Durchmischung und Überlagerung von Aufgaben und Kompetenzen das Risiko von Interessenkonflikten innerhalb einer Behörde, so die Befürchtung des Verbands.
Wenig Zeit zur Stellungnnahme
Der Verband kritisiert -–wie auch andere Verbände – die auffallend kurze Frist für die Kommentierung des Gesetzentwurfs. Bühler: "Das IT-Sicherheitsgesetz betrifft Wirtschaft und Verbraucher massiv. Ausreichend Zeit für eine sachgerechte Anhörung der Verbände ist daher zwingend geboten und wichtiger Teil des demokratischen Verfahrens." Dies hatte schon zuvor die AG Kritis scharf kritisiert (zum Artikel). (sg)
