Im Januar 2021 hat die Bundesregierung den „Entwurf eines Zweiten Gesetzes zur Erhöhung der Sicherheit informationstechnischer Systeme“, das sog. „IT-Sicherheitsgesetz 2.0“, dem Bundesrat zur weiteren Befassung zugeleitet. Der Entwurf wurde als „besonders eilbedürftig“ bezeichnet. Er soll die hohe Bedeutung der Informations- und Cybersicherheit in Deutschland unterstreichen und unter anderem den Schutz von Bundesverwaltung, kritischen Infrastrukturen (KRITIS) sowie von Unternehmen im besonderen öffentlichen Interesse regeln. Nach den Worten des Bundesinnenministers haben wir „in den letzten Jahren viel gegen den Terror getan. Wir müssen genauso viel dafür tun, dass Hacker und Spione nicht die Schaltzentralen unserer Krankenhäuser oder Energieversorger kapern.“

Bereits nach geltendem Recht haben kritische Infrastrukturen im Sinne des Gesetzes über das Bundesamt für Sicherheit in der Informationstechnik (BSI-Gesetz, BSIG) das durch das aktuelle IT-Sicherheitsgesetz erweitert und angepasst wurde, angemessene organisatorische und technische Vorkehrungen zu treffen, um Störungen ihrer informationstechnischen Systeme, Komponenten oder Prozesse zu vermeiden. Dies betrifft Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit, die für die Funktionsfähigkeit der von ihnen betriebenen kritischen Infrastrukturen maßgeblich sind. Zu den im BSIG aktuell geregelten kritischen Infrastrukturen gehören Einrichtungen, Anlagen oder Teile davon, die

  • den Sektoren Energie, Informationstechnik und Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung sowie Finanz- und Versicherungswesen angehören und
  • von hoher Bedeutung für das Funktionieren des Gemeinwesens sind, weil durch ihren Ausfall oder ihre Beeinträchtigung erhebliche Versorgungsengpässe oder Gefährdungen für die öffentliche Sicherheit eintreten würden.

Die Betreiber kritischer Infrastrukturen haben mindestens alle zwei Jahre die Erfüllung der Anforderungen an angemessene organisatorische und technische Vorkehrungen nachzuweisen. Sie haben außerdem

  • Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse, die zu einem Ausfall oder zu einer erheblichen Beeinträchtigung der Funktionsfähigkeit der von ihnen betriebenen kritischen Infrastrukturen geführt haben, sowie
  • erhebliche Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse, die zu einem Ausfall oder zu einer erheblichen Beeinträchtigung der Funktionsfähigkeit der von ihnen betriebenen kritischen Infrastrukturen führen können

unverzüglich über die Kontaktstelle an das Bundesamt für Sicherheit in der Informationstechnik zu melden.

Das Unterlassen der Maßnahmen oder der Meldung ist bußgeldbewehrt.

Erweiterter Adressatenkreis

Das IT-Sicherheitsgesetz 2.0 hat einen deutlich weiteren Anwendungsbereich. Nach dem Entwurf sollen auch Unternehmen im besonderen öffentlichen Interesse initial und danach mindestens alle zwei Jahre dem Bundesamt eine Selbsterklärung zur IT-Sicherheit vorlegen, aus der hervorgeht,

  • welche Zertifizierungen im Bereich der IT-Sicherheit in den letzten zwei Jahren durchgeführt und welche Prüfgrundlage und welcher Geltungsbereich hierfür festgelegt wurden,
  • welche sonstigen Sicherheitsaudits oder Prüfungen im Bereich der IT-Sicherheit in den letzten zwei Jahren durchgeführt und welche Prüfgrundlage und welcher Geltungsbereich hierfür festgelegt wurden oder
  • wie sichergestellt wird, dass die für das Unternehmen besonders schützenswerten IT-Systeme, Komponenten und Prozesse angemessen geschützt werden, und ob dabei der Stand der Technik eingehalten wird.

Unternehmen im besonderen öffentlichen Interesse sind selbst nicht Betreiber kritischer Infrastrukturen. Es handelt sich allerdings um Unternehmen, die

  • bestimmte Güter nach der Außenwirtschaftsverordnung herstellen oder entwickeln, z. B. Rüstungshersteller oder Hersteller von IT-Produkten für die Verarbeitung staatlicher Verschlusssachen;
  • nach ihrer inländischen Wertschöpfung zu den größten Unternehmen in Deutschland gehören[1] und daher von erheblicher volkswirtschaftlicher Bedeutung für die Bundesrepublik Deutschland sind oder
  • Betreiber eines Betriebsbereichs der oberen Klasse im Sinne der Störfall-Verordnung in der jeweils geltenden Fassung sind oder diesen gleichgestellt sind. Hiervon sind Betriebe umfasst, in denen bestimmte gefährliche Stoffe verarbeitet werden.

 

Diese sind verpflichtet, sich gleichzeitig mit der Vorlage der ersten Selbsterklärung zur IT-Sicherheit beim Bundesamt zu registrieren und eine zu den üblichen Geschäftszeiten erreichbare Stelle zu benennen. Ähnlich den kritischen Infrastrukturen, haben sie Störungen der Verfügbarkeit, der Integrität, der Authentizität und der Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse, die zu einem Störfall nach der Störfall-Verordnung in der jeweils geltenden Fassung geführt haben oder zu erheblichen Störungen führen können, dem Bundesamt zu melden.

In der Gesetzesbegründung wird bewusst nicht allein auf Cyber-Angriffe, sondern allgemein auf die eben genannten (erheblichen) Störungen abgestellt. Eine Störung im Sinne des BSI-Gesetzes liegt demnach vor, wenn die eingesetzte Technik die ihr zugedachte Funktion nicht mehr richtig oder nicht mehr vollständig erfüllen kann oder versucht wurde, entsprechend auf sie einzuwirken. Hierunter werden auch Fälle von Sicherheitslücken, Schadprogrammen (und zwar ohne, dass jemand aktiv versucht hat, diese auszunutzen) und erfolgten, versuchten oder erfolgreich abgewehrten Angriffen auf die Sicherheit in der Informationstechnik sowie außergewöhnliche und unerwartete technische Defekte mit IT-Bezug (zum Beispiel nach Software-Updates oder einem Ausfall der Serverkühlung) gefasst.

Die Bußgeldvorschriften wurden, z. B. für das Unterbleiben einer Störungsmeldung, deutlich erhöht (von 50.000 EUR auf 500.000 EUR), bleiben aber unter den Grenzen der DSGVO.

Neue Anforderungen an KRITIS-Unternehmen

Gänzlich neu ist die Regelung zur Anzeigepflicht und der möglichen Untersagung des Betreibens kritischer Komponenten. Danach soll der Einsatz kritischer Komponenten durch den Betreiber der kritischen Infrastruktur dem Bundesministerium des Innern, für Bau und Heimat vor Einsatz anzuzeigen sein.

Kritische Komponenten in diesem Sinne sind IT-Produkte, die

  • in kritischen Infrastrukturen eingesetzt werden,
  • von hoher Bedeutung für das Funktionieren des Gemeinwesens sind, weil Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit dieser IT-Produkte zu einem Ausfall oder zu einer erheblichen Beeinträchtigung der Funktionsfähigkeit kritischer Infrastrukturen oder zu Gefährdungen für die öffentliche Sicherheit führen können und
  • auf Grund eines Gesetzes als kritische Komponente bestimmt werden oder eine auf Grund eines Gesetzes als kritisch bestimmte Funktion realisieren.

Sie dürfen nur eingesetzt werden, wenn der Hersteller eine Erklärung über seine Vertrauenswürdigkeit gegenüber dem Betreiber der kritischen Infrastruktur (Garantieerklärung) abgeben hat. Diese Erklärung erstreckt sich auf die gesamte Lieferkette des Herstellers. Aus der Garantieerklärung muss hervorgehen, ob und wie der Hersteller hinreichend sicherstellen kann, dass die kritische Komponente über keine technischen Eigenschaften verfügt, die geeignet sind, missbräuchlich, insbesondere zum Zwecke von Sabotage, Spionage oder Terrorismus auf die Sicherheit, Integrität, Verfügbarkeit oder Funktionsfähigkeit der kritischen Infrastruktur einwirken zu können. Sie muss zudem mögliche Gefahren und Verstöße gegen bestimme Handlungspflichten abdecken, die sich aus den Organisationsstrukturen oder möglichen sonstigen rechtlichen Verpflichtungen des Herstellers ergeben. Die genauen Inhalte der Garantieerklärung wird das Bundesministerium des Innern, für Bau und Heimat noch mittels Allgemeinverfügung festlegen.

Das Bundesministerium des Innern, für Bau und Heimat kann den Einsatz einer kritischen Komponente gegenüber dem Betreiber der kritischen Infrastruktur untersagen oder Anordnungen erlassen, wenn überwiegende öffentliche Interessen, insbesondere sicherheitspolitische Belange der Bundesrepublik Deutschland, dem Einsatz entgegenstehen. Es kann außerdem den weiteren Betrieb einer kritischen Komponente gegenüber dem Betreiber untersagen oder Anordnungen erlassen, wenn sich der Hersteller der kritischen Komponente als nicht vertrauenswürdig erwiesen hat. Dies ist der Fall, wenn

  • er gegen die in der Garantieerklärung eingegangen Verpflichtungen und Versichrungen verstoßen hat,
  • die in der Garantieerklärung angegebenen Tatsachen unwahr sind,
  •  er Sicherheitsüberprüfungen und Penetrationsanalysen nicht im erforderlichen Umfang an seinem Produkt und in der Produktionsumgebung in angemessener Weise unterstützt,
  • er bekannte oder bekannt gewordene Schwachstellen oder Manipulationen nicht unverzüglich dem Betreiber der Kritischen Infrastruktur meldet und beseitigt oder
  • die kritische Komponente über technische Eigenschaften verfügt oder verfügt hat, die geeignet sind oder waren, missbräuchlich auf die Sicherheit, Integrität, Verfügbarkeit oder Funktionsfähigkeit der Kritischen Infrastruktur einwirken zu können.

Zudem kann der Einsatz weiterer kritischer Komponenten desselben Typs oder auch aller kritischer Komponenten des Herstellers untersagt werden.

Zu berücksichtigen ist, dass sich die Pflichten aus der Garantieerklärung nicht allein auf den Zeitpunkt des Einbaus beziehen. Sie müssen fortwährend, also auch während des Betriebs der Komponenten, eingehalten werden. Dies erfordert eine fortlaufende Bewertung der Vertrauenswürdigkeit.

Third-Party-Risiken betrachten

Das Erfordernis der Anzeigepflicht kritischer Komponenten durch den Betreiber der kritischen Infrastruktur nebst Beibringung einer Garantieerklärung des Herstellers, welche die gesamte Lieferkette umfasst, zieht erweiterte Präventionsmaßnahmen nach sich. So wird der Betreiber der kritischen Infrastruktur den Hersteller der von ihm eingesetzten kritischen Komponente(n) einer erweiterten Risikoanalyse unterziehen müssen. Diese hat nicht nur Aspekte wie Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit zu berücksichtigen, sondern auch die Anfälligkeit für Sabotage, Spionage oder Terrorismus einzubeziehen. Anderenfalls liefe er Gefahr, dass der Einsatz der kritischen Komponente behördlich untersagt wird. Hierdurch könnte eine Gefährdung des Geschäftsmodells des Betreibers der kritischen Infrastruktur herbeigeführt werden. Daher gilt es, entsprechende Risikoanalysen einzuführen und mit den entsprechenden Prozessen und Kontrollen zu flankieren.

Neben der Komponente selbst wird mit Blick auf die Frage der Vertrauenswürdigkeit auch der Hersteller der kritischen Komponente einer Risikoanalyse (Integrity Due Diligence) mit dem Fokus auf Sabotage-, Spionage- und Terrorismusrisiken unterzogen werden müssen. Gleiches gilt für die weiteren in die Lieferkette einbezogenen Parteien und Bestandteile. Dies kann einen nicht zu unterschätzenden Aufwand nach sich ziehen und stellt eine neue Dimension der Risikobeurteilung dar. Zudem gilt es zu berücksichtigen, dass sich nicht nur der Stand der Technik bezogen auf die Risikoexponiertheit der Komponente weiterentwickelt, sondern auch die Beurteilung der Integrität der Hersteller und Lieferanten Veränderungen unterliegt. In beiden Fällen ist eine fortlaufende Beobachtung und turnusmäßige Überprüfung der Risikobeurteilung sowie etwaige Anpassungen von Sicherungsmaßnahmen vorzunehmen. 

Handlungsempfehlungen

Der Gesetzesentwurf muss noch das weitere Gesetzgebungsverfahren durchlaufen. Unternehmen sollten für sich prüfen, ob sie zu den kritischen Infrastrukturen oder zu Unternehmen im besonderen öffentlichen Interesse zählen und sich auf die entsprechenden technischen und organisatorischen Maßnahmen, Anzeige- und Meldepflichten einstellen. Kritische Infrastrukturen sollten sich mit der Lieferkette ihrer kritischen Komponenten auseinandersetzen. Sie sollten bereits jetzt die Voraussetzungen für die entsprechenden Risikoanalysen, Integrity Due Diligences und den damit zusammenhängenden Prozessen, Kontrollen und Zuständigkeiten schaffen.

Haben Sie hierzu Fragen? Unsere Forensic- und Cyberspezialisten unterstützen Sie gerne bei allen Fragen und Maßnahmen rund um das IT-Sicherheitsgesetz 2.0.

Weitere interessante Inhalte für Sie