Das vom Bundesinnenministerium seit langem angekündigte IT-Sicherheitsgesetz 2.0 ist erforderlich aufgrund zunehmender Hackerangriffe. Zudem muss die Einbindung der Firma Huawei in den Aufbau des 5G-Mobilfunknetzes schnell geregelt werden.

Handlungsdruck zum Ausschluss von Huawei vom Aufbau des 5G-Mobilfunknetzes

Die britische Regierung hat am 14.7.2020 bekannt gegeben, den chinesischen Netztechnikanbieter Huawei vom Aufbau des 5G-Mobilfunknetzes in Großbritannien auszuschließen. Zudem sollen bis zum Jahr 2027 bereits verbaute Teile aus dem britischen Telekommunikationsnetz entfernt werden. Die Regierung Johnson hat dabei auf die US-amerikanischen Sanktionen gegen Huawei reagiert und Sicherheitsbedenken gegen nicht-westliche Infrastrukturanbieter für weitreichende Vorgaben zu „kritischen“ IT-Infrastrukturkomponenten genutzt.

Kritische Infrastruktur in Deutschland Aufgabenbereich des Bundesamtes für Sicherheit in der Informationstechnik

In Deutschland fällt solche „Kritische Infrastruktur“ (Kritis) in den Aufgabenbereich des Bundesamtes für Sicherheit in der Informationstechnik (BSI). Kritis-Sektoren wie IT und Telekommunikation, Energie aber auch Gesundheit und Ernährung sind definiert im „BSI-Gesetz“ sowie in der BSI-Kritis-Verordnung. Das geltende BSI-Gesetz enthält folgende Pflichten der Kritis-Betreiber:

Auszug aus § 8a des BSI-Gesetzes:

Betreiber Kritischer Infrastrukturen sind verpflichtet […] angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse zu treffen, die für die Funktionsfähigkeit der von ihnen betriebenen Kritischen Infrastrukturen maßgeblich sind.

Betreiber von Kritis zum Nachweis der Einhaltung der IT-Sicherheit verpflichtet

Betreiber kritischer Infrastrukturen müssen die Einhaltung der IT-Sicherheit nachweisen und dem BSI erhebliche IT-Störungen melden. Sofern Sicherheitsmängel aufgedeckt werden, darf das BSI deren Beseitigung anordnen. Umgekehrt soll das BSI relevante Informationen zur Abwehr von Angriffen auf die IT-Sicherheit Kritischer Infrastrukturen an die Kritis-Betreiber weiterleiten. Das BSI besitzt bereits heute die Befugnis, IT-Produkte auf ihre Sicherheit hin zu untersuchen, um öffentliche Stellen, Kritis-Betreiber und die Öffentlichkeit vor Gefahren zu warnen. Dennoch sind Erweiterungen der BSI-Befugnisse sinnvoll und mit dem IT-Sicherheitsgesetz 2.0 vorgesehen.

IT-Sicherheitsgesetz 2.0: unautorisierte Veröffentlichung des Referentenentwurfs

Ein Referentenentwurf des IT-Sicherheitsgesetzes 2.0. wurde während der Ressortabstimmung im Mai 2020 unauthorisiert im Internet veröffentlicht. Der Entwurf schlägt die verstärkte Prüfung von IT-Komponenten sowie eine „Cybersicherheitszertifizierung“ vor. Zudem sollen neben Kritis-Betreibern auch „Unternehmen im besonderen öffentlichen Interesse“ und Hersteller von IT-Produkten besonderen Anforderungen und der Überwachung des BSI unterworfen werden. Zu den Unternehmen im Besonderen öffentlichen Interesse zählen „Unternehmen, die aufgrund ihrer volkswirtschaftlichen Bedeutung und insbesondere ihrer erbrachten Wertschöpfung von besonderem öffentlichen Interesse“ sind. Neben der Meldung von IT-Störungen müssen solche Unternehmen nach dem Gesetzesentwurf spätestens zwei Jahre nach ihrer Benennung per Rechtsverordnung dem BSI ein besonderes IT-Sicherheitskonzept vorlegen. Mit den Neuregelungen könnte sowohl eine bessere Rechtsgrundlage für einen möglichen Ausschluss von einzelnen IT-Anbietern bzw. IT-Komponenten von kritischen Infrastrukturen in Deutschland geschaffen als auch die IT-Sicherheitsvorkehrungen in einer größeren Anzahl von Unternehmen und anderen Infrastrukturanbietern gestärkt werden.

IT-Sicherheitsgesetz 2.0 schnell umsetzen: erweiterte Vorgaben und Hilfen auch auf EU-Ebene sinnvoll

In Folge der Covid-19 Pandemie, aber auch aufgrund von Hackerangriffen in der Vergangenheit sind zunehmende Vorgaben an den Gesundheitssektor aber auch staatliche Hilfestellungen für die zum Teil sehr unterschiedlich organisierten Anbieter in diesem Sektor sinnvoll. Generell könnte im Zuge der deutschen EU-Ratspräsidentschaft der Gesundheitssektor als Vorreiter zur Verbesserung der Notfallplanung auf EU-Ebene ausgewählt werden, der auch auf andere Sektoren und die IT-Sicherheit im Allgemeinen ausstrahlen könnte.