Ein Gesetz zur Sicherung der digitalen Welt Deutschlands – Beitrag zur Sicherung des Wirtschaftsstandortes Deutschland oder mehr?

Bild 1Ist es wirklich nötig, ein Gesetz zu erlassen, um die Unternehmen und Verwaltungen dieses Landes zu mehr Sicherheits­aufwendungen im Bereich der digitalen Infrastruktur zu animieren?

Die Bundesregierung hat, durch das Bundesministerium des Inneren, einen der elementaren Bausteine ihrer „Digitalen Agenda“, vorgestellt am 20.08.2014, am 19.08.2014 als Referentenentwurf  veröffentlicht – das „IT-Sicherheitsgesetz“ (Entwurf eines Gesetzes zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz).

Die Bundesregierung hat unter anderem durch die Vorfälle in der digitalen Welt erkannt, dass  die Sicherheit in der Informationstechnik in der heutigen Zeit einen wesentlichen Platz einnimmt und damit eines der zentralen Themen der Digitalen Agenda darstellt, mit welcher die Bundesregierung aus ihrer Sicht den Versuch unternimmt, die digitale Welt von Gesellschaft, Wirtschaft und Staat insgesamt voran zu treiben und damit auch die Attraktivität von Deutschland als Wirtschaftsstandort zu sichern bzw. zu fördern.

„ … Die IT-Sicherheitslage in Deutschland ist weiterhin angespannt. Deutschland ist - auch im internationalen Vergleich - zunehmend Ziel von Cyberangriffen, Cyberspionage und sonstigen Formen der Cyberkriminalität. Wirtschaft, Bürger und auch der Staat selbst sind hiervon gleichermaßen betroffen. …“, so eine aktuelle Verlautbarung des Bundesamts für Sicherheit in der Informationstechnologie.

Im aktuellen Koalitionsvertrag zwischen CDU, CSU und SPD wurden „Mindestanforderungen an die IT-Sicherheit für kritische Infrastrukturen“ zwischen den Koalitionsparteien vereinbart:

„Wir schaffen ein IT-Sicherheitsgesetz mit verbindlichen Mindestanforderungen an die IT-Sicherheit für die kritischen Infrastrukturen und der Verpflichtung zur Meldung erheblicher IT-Sicherheitsvorfälle.“ [1]
 

Zielsetzungen des Gesetzes

Der Referentenentwurf zum IT-Sicherheitsgesetz trägt dieser Vereinbarung Rechnung. Mit diesem Gesetzentwurf werden folgende Ziele [2] verfolgt: 

„… Mit dem Gesetz soll eine signifikante Verbesserung der Sicherheit informationstechnischer Systeme in Deutschland erreicht werden. Die vorgesehenen Neuregelungen dienen dazu, den Schutz der Verfügbarkeit, Integrität und Vertraulichkeit datenverarbeitender Systeme zu verbessern und der gestiegenen Bedrohungslage anzupassen. Ziel des Gesetzes ist eine Verbesserung der IT-Sicherheit bei Unternehmen, ein verstärkter Schutz der Bürgerinnen und Bürger in einem sicheren Netz, der Ausbau der IT-Sicherheit der Bundesverwaltung und in diesem Zusammenhang auch eine Stärkung von BSI und Bundeskriminalamt (BKA).

Besondere Bedeutung kommt im Bereich der IT-Sicherheit von Unternehmen den Infrastrukturen zu, die für das Funktionieren unseres Gemeinwesens von überragender Bedeutung sind. Der Schutz der IT-Systeme Kritischer Infrastrukturen und der für den Infrastrukturbetrieb nötigen Netze hat daher höchste Priorität. …

Parallel dazu trägt das Gesetz dazu bei, BSI und BKA rechtlich so aufzustellen, dass diese der steigenden Cyber-Bedrohungslage zum Schutz der Bürgerinnen und Bürger angemessen begegnen können.“

Die Erweiterungen der Befugnisse und Aufgaben des BKA werden so formuliert „ …Die Zuständigkeit des BKA wird für polizeiliche Aufgaben auf dem Gebiet der Strafverfolgung über die bereits bestehende Zuständigkeit für Straftaten nach § 303b des Strafgesetzbuches (Computersabotage) hinaus auf Straftaten nach §§ 202a (Ausspähen von Daten), 202b (Abfangen von Daten), 202c (Vorbereiten des Ausspähens und Abfangens von Daten), 263a (Computerbetrug) und 303a (Datenveränderung) des Strafgesetzbuches ausgedehnt, sofern sich diese gegen die innere oder äußere Sicherheit der Bundesrepublik Deutschland oder sicherheitsempfindliche Stellen von lebenswichtigen Einrichtungen richten.“

Weitere durch das Gesetz, neben dem BKA und dem BSI, eingebundene staatliche Stellen sind das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK) für die Aufgaben nach § 8a Absatz 2 und 3, § 8b Absatz 2 Nummer 2 und § 10 BSI-Gesetz sowie das Bundesamt für Verfassungsschutz (BfV) für die Zuständigkeit gemäß dem neuen § 8b Absatz 2 Nummer 2 BSI-Gesetz. [3]

Darüber hinaus soll das neue Gesetz die Bundesregierung darin unterstützen, die in den Verhandlungen befindlichen Maßgaben mit Brüssel zielgerichteter zu formulieren, da die Inhalte des neuen Gesetzes im Rahmen der laufenden Verhandlungen zu der entsprechenden Richtlinie des Europäischen Parlamentes als Leitplanken bzw. Wegweiser dienen soll. Dazu im Referentenentwurf:

„… Die Regelungen zu den branchenspezifischen Sicherheitsanforderungen und den Meldungen erheblicher IT-Sicherheitsvorfälle für Betreiber Kritischer Infrastrukturen entsprechen im Grundsatz den Vorschlägen der Kommission für eine Richtlinie des Europäischen Parlaments und des Rates über Maßnahmen zur Gewährleistung einer hohen gemeinsamen Netz- und Informationssicherheit in der Union. So enthalten die Art. 14 bis 16 des Richtlinienentwurfs Mindestanforderungen bezüglich der Sicherheit der Netze und Informationssysteme. Die Mitgliedstaaten sollen nach den derzeitigen Entwürfen der EU Marktteilnehmer (bestimmte Telemedienanbieter sowie Betreiber Kritischer Infrastrukturen in den Bereichen Energie, Verkehr, Banken und Börsen und Gesundheitswesen und die öffentliche Verwaltung zu Maßnahmen zum Risikomanagement und zur Meldung von Sicherheitsvorfällen an die zuständigen nationalen Behörden verpflichten. …“
 

Eckpfeiler des Gesetzentwurfes

Im Wesentlichen werden in dem Referentenentwurf zum „IT-Sicherheitsgesetz“ die folgenden Eckpfeiler als Erfolgsgarant für eine sichere digitale Landschaft in Deutschland herausgearbeitet.

Bild 2

Der Bundesinnenminister Dr. Thomas de Maizière äußerte sich im Zusammenhang mit der Vorstellung des Gesetzentwurfes wie folgt "Wir müssen sicherer werden als bisher. Wer ein Risiko setzt für andere, trägt dafür auch die Verantwortung. Wer Kritische Infrastrukturen betreibt, der muss sie sicher betreiben." [4]
 

Die glorreichen Fünf

Das aus sechs Artikeln bestehende Gesetz sieht zur Schaffung der Voraussetzungen für eine sicherere digitale Welt im deutschen Hoheitsgebiet die Änderungen der nachfolgenden Gesetzgebungen in fünf Artikel vor[5] :

Artikel 1          Änderung des Gesetzes über das Bundesamt für Sicherheit in der Informationstechnik

Artikel 2          Änderung des Telemediengesetzes

Artikel 3          Änderung des Telekommunikationsgesetzes

Artikel 4          Änderungen des Außenwirtschaftsgesetzes

Artikel 5          Änderung des Bundeskriminalamtgesetzes

Der 6. Artikel beschäftigt sich lediglich mit dem „Inkrafttreten“ des Gesetzes.

 

Kritischen Infrastrukturen – eine Definition

Die oft zitierten „Kritischen Infrastrukturen“ werden in dem Referentenentwurf wie folgt benannt und klassifiziert [6] :

1. SEKTOR ENERGIE

  • Stromversorgung (Branche: Elektrizität)
  • Versorgung mit Erdgas (Branche: Gas)
  • Versorgung mit Kraftstoff (Branche: Mineralöl)
  • Versorgung mit Heizöl (Branche: Mineralöl)

2. SEKTOR INFORMATIONSTECHNIK UND TELEKOMMUNIKATION

  • Sprach- und Datenkommunikation (Branchen: Telekommunikation, Informations-technik)
  • Verarbeitung und Speicherung von Daten (Branche: Informationstechnik)

3. SEKTOR TRANSPORT UND VERKEHR

  • Transport von Gütern (Branchen: Luftfahrt, Seeschifffahrt, Binnenschifffahrt, Schienenverkehr, Straßenverkehr, Logistik)
  • Transport von Personen im Nahbereich (Branchen: Seeschifffahrt, Binnenschifffahrt, Schienenverkehr, Straßenverkehr, Logistik)
  • Transport von Personen im Fernbereich (Branchen: Luftfahrt, Seeschifffahrt, Binnenschifffahrt, Schienenverkehr, Straßenverkehr, Logistik)

4. SEKTOR GESUNDHEIT

  • Medizinische Versorgung (Branchen: Medizinische Versorgung, Labore)
  • Versorgung mit Arzneimitteln und Medizinprodukten (Branchen: Medizinische Versorgung, Labore, Arzneimittel und Impfstoffe)

5. SEKTOR WASSER

  • Trinkwasserversorgung (Branche: Öffentliche Wasserversorgung)
  • Abwasserbeseitigung (Branche: Öffentliche Abwasserbeseitigung)

6. SEKTOR ERNÄHRUNG

  • Versorgung mit Lebensmitteln (Branchen: Ernährungswirtschaft, Lebensmit-telhandel)

7. SEKTOR FINANZ- UND VERSICHERUNGSWESEN

  • Zahlungsverkehr und Kartenzahlung (Branchen: Banken, Finanzdienstleister)
  • Bargeldversorgung (Branche: Banken)
  • Kreditvergabe (Branche: Banken, Finanzdienstleister)
  • Geld- und Devisenhandel (Branche: Börsen)
  • Wertpapier- und Derivatshandel (Branche: Börsen)
  • Versicherungsleistungen (Branche: Versicherungen)
     

Kostenschätzung für die Umsetzung

Der Referentenwurf geht ferner auf die mit der möglichen Umsetzung des Gesetzes in Verbindung stehenden Kosten für Verwaltung, Wirtschaft und die Bürger ein und beschreibt die Kostensituation für den Erfüllungsaufwand wir folgt:

Aufwände für die Wirtschaft [7]

Für die Wirtschaft entsteht bei Betreibern Kritischer Infrastrukturen sowie bestimmten Telekommunikations- und Telemediendiensteanbietern Erfüllungsaufwand für die Einhaltung eines Mindestniveaus an IT-Sicherheit und die Einrichtung und Aufrechterhaltung entsprechender Meldewege.

Dies wird faktisch aber nur dort zu Mehrkosten führen, wo bislang noch kein hinreichendes Niveau an IT-Sicherheit bzw. keine entsprechenden Meldewege etabliert sind. Für diejenigen betroffenen Wirtschaftsteilnehmer, bei denen dies bereits ganz oder teilweise der Fall ist, entstehen insoweit keine gesonderten Kosten. Zusätzliche Kosten entstehen für die Betreiber Kritischer Infrastrukturen durch die Durchführung der vorgesehenen Sicherheitsaudits.

Die konkrete Berechnung und Darstellung des Erfüllungsaufwands kann erst mit Erlass der Rechtsverordnung nach § 10 BSI-Gesetz auf der Grundlage des im Zweiten Teils der Begründung zu Nummer 9 dargestellten Verfahrens erfolgen, da erst durch die Rechtsverordnung der Adressatenkreis der entsprechenden Verpflichtungen hinreichend konkret eingegrenzt wird.

Aufwände für die Verwaltungen [8]

Die neu geschaffenen Befugnisse und Aufgaben des Bundesamts für Sicherheit in der Informationstechnik sind mit einem entsprechenden Vollzugsaufwand verbunden. Für die Erfüllung der im Gesetz vorgesehenen Aufgaben besteht beim BSI ein zusätzlicher Aufwand von insgesamt 133 zusätzlichen Planstellen/Stellen mit Personalkosten in Höhe von jährlich rund 8.897 T€ sowie zusätzlichen Sachkosten in Höhe von jährlich rund 5.000 T€.

Die neuen Mitwirkungsaufgaben für das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK) führen dort zu einem zusätzlichen Bedarf von 9 Planstellen/Stellen mit jährlichen Personal– und Sachkosten in Höhe von 681 T€ für die Aufgaben nach § 8a Absatz 2 und 3, § 8b Absatz 2 Nummer 2 und § 10 BSI-Gesetz.

In den Fachabteilungen des BKA entsteht durch die Erweiterung der originären Ermittlungszuständigkeit ein Ressourcenaufwand von 79 zusätzlichen Planstellen / Stellen mit jährlichen Personalkosten in Höhe von rund 5.385 T€ sowie zusätzlichen Sachmitteln in Höhe von einmalig 630 T€ im ersten Jahr.

In den Fachabteilungen des Bundesamtes für Verfassungsschutz (BfV) entsteht durch die Zuständigkeit gemäß dem neuen § 8b Absatz 2 Nummer 2 BSI-Gesetz ein zusätzlicher Ressourcenbedarf von 55 Planstellen / Stellen mit Personal und Sachkosten in Höhe von 4.496 T€ für das Jahr 2015 sowie jeweils ein Haushaltsmittelbedarf in Höhe von 4.170 T€ für die Folgejahre.
 

Fazit

Ist es wirklich nötig ein Gesetz zu erlassen, um die Unternehmen und Verwaltungen dieses Landes zu mehr Sicherheitsaufwendungen im Bereich der digitalen Infrastruktur zu animieren?

Vergleicht man dies mit der Einführung der Gurtpflicht in Deutschland – dann ja!

Auf freiwilliger Basis ist seinerzeit die Gurtnutzung gescheitert, was zu einer gesetzlichen Regelung führte, erst mit einer Übergangsfrist und dann mit Geldstrafe. Ein weiteres, vergleichbares Highlight ist das Tragen von Helmen beim Radfahren. Eine Gesetzesinitiative ist gescheitert – dennoch ändert es nichts daran, dass das Tragen von Fahrradhelmen Leben schützt - wie die Nutzung von Sicherheitsgurten.

Was also zwingt die durch das deutsche Volk gewählten Volksvertreter dazu, auch in diesem Bereich explizite gesetzliche Vorgaben zu machen, anstatt die bestehenden gesetzlichen Vorgaben hinreichend zu nutzen und auf deren Umsetzung zu drängen?

Offensichtlich entspricht es weniger der menschlichen Natur, auf den eigenen gesunden Menschenverstand zu setzen, als sich mehr durch private und/oder wirtschaftliche Interessen leiten zu lassen.   

Daher erscheint es durchaus als sinnvoll und nur logisch, auch die digitale Welt auf deutschem Hoheitsgebiet durch eine gesetzliche Regelung vor Schaden zu schützen bzw. in einem Gesetz Maßgaben zu formulieren, die einen Schutz ermöglichen.

Dabei sollte ein Unternehmen oder eine Verwaltung bereits aus eigenem Antrieb heraus mögliche Schäden durch Angriffe auf die „digitale Infrastruktur“, die zu einem Verlust, einer Zerstörung oder einer Nichtverfügbarkeit von Daten führen vermeiden, da die Kosten hierfür für eine Organisation in der Regel immer höher anzusetzen sind, als die Vorsorgekosten (vergl. z.B. Studie von Ernst und Young aus 2011 [9], welche die Kosten für den Verlust oder die Beschädigung von einem Datensatz auf 214 US Dollar (rd. 157 EUR) beziffert).  

Wird der Referentenentwurf verabschiedet und das „IT-Sicherheitsgesetz“ tritt in Kraft, würde dies lediglich auf ausgewählte Unternehmen zutreffen. Und zwar auf diejenigen Unternehmen, die nach der Definition des Gesetzgebers als „kritische Infrastruktur“ definiert wurden und den Wirtschaftsbereichen Energie, Informationstechnik und Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung und das Finanz- und Versicherungswesen zuzuordnen sind.

Damit sind die Mehrzahl der Deutschen Unternehmen, vor allem im Mittelstand (Motor der Deutschen Wirtschaft), nicht dazu verpflichtet, die IT-Sicherheit in ihren Unternehmen auf den Stand der Technik zu bringen und regelmäßig zu pflegen. Bleibt zu hoffen, dass die mit dem Gesetz verbundenen Hoffnungen der Volksvertreter nicht unerfüllt bleiben und der Motor durch eine weiterhin unsichere digitale Welt nicht ins Stocken gerät.

Hier sollte eine entsprechende Nachbesserung des Gesetzentwurfes stattfinden und alle  Unternehmen in Deutschland einbeziehen und diesen maximal zwei Jahre Zeit geben, um unter Strafandrohung von empfindlichen Geldstrafen für die verantwortlichen Personen (z.B. Geschäftsführer, Vorstände, Präsidenten) und nicht Organisationen,  ihre Schutzmaßnahmen auf den Stand der Technik zu bringen und diese z.B. regelmäßig im Rahmen der Jahresabschlussprüfungen (z.B. IKS und Risiko Management) bewerten zu lassen.

Der Bezug auf verantwortliche Personen und nicht Organisationen (Unternehmen, Verwaltungen etc.) hat sich bei der Einführung der Sarbanes-Oxley Act [10] - Vorschiften für in den USA börsennotierte Unternehmen als außerordentlich zielführend erwiesen.

Es ist wie zur Einhaltung der Gurtpflicht: Erst die gesetzliche Regelung in Verbindung mit Geldstrafen hat die allermeisten Menschen dazu bewegt, diese einzuhalten – nicht der gesunde Menschenverstand.

______________________________________________________________

Wenn Sie Fragen oder Anregungen an den  Autor haben, wenden Sie sich gerne an

Dr. K.-D. Krause. Herr Dr. Krause ist einer der Geschäftsführer der compliance-net GmbH.

Sie erreichen ihn unter Klaus.d.krause@compliance-net.com

 

[1]       Vergl. Deutschlands Zukunft gestalten, Koalitionsvertrag zwischen CDU, CSU und SPD, 18. Legislaturperiode, Kapitel 5 „Moderner Staat, innere Sicherheit und Bürgerrechte“, Absatz „IT-Infrastruktur und digitaler Datenschutz“, Seite 103, 12/1213 · Bestell-Nr.: 5283, 2014

[2]       Vergl. Entwurf eines Gesetzes zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz), http://www.bmi.bund.de/SharedDocs/Downloads/DE/Gesetzestexte/Entwuerfe/Entwurf_IT-Sicherheitsgesetz.pdf?__blob=publicationFile, Seite 2, 2014

[3]         Vergl. Entwurf eines Gesetzes zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz), http://www.bmi.bund.de/SharedDocs/Downloads/DE/Gesetzestexte/Entwuerfe/Entwurf_IT-Sicherheitsgesetz.pdf?__blob=publicationFile, Seite 7, 2014

[4]         Vergl. „Bun­desin­nen­mi­nis­te­ri­um legt Ent­wurf für IT-Si­cher­heits­ge­setz vor“, http://www.juris.de/jportal/portal/page/homerl.psml?nid=jnachr-JUNA140802205&cmsuri=%2Fjuris%2Fde%2Fnachrichten%2Fzeigenachricht.jsp, 2014

[5]         Vergl. Entwurf eines Gesetzes zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz), http://www.bmi.bund.de/SharedDocs/Downloads/DE/Gesetzestexte/Entwuerfe/Entwurf_IT-Sicherheitsgesetz.pdf?__blob=publicationFile, 2014

[6]         Vergl. „Entwurf eines Gesetzes zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz)“, Seite 46/47,  http://www.bmi.bund.de/SharedDocs/Downloads/DE/Gesetzestexte/Entwuerfe/Entwurf_IT-Sicherheitsgesetz.pdf?__blob=publicationFile, 2014

[7]         Vergl. Entwurf eines Gesetzes zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz), Seite 6,  http://www.bmi.bund.de/SharedDocs/Downloads/DE/Gesetzestexte/Entwuerfe/Entwurf_IT-Sicherheitsgesetz.pdf?__blob=publicationFile, 2014

[8]         Vergl. Entwurf eines Gesetzes zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz), Seite 7,  http://www.bmi.bund.de/SharedDocs/Downloads/DE/Gesetzestexte/Entwuerfe/Entwurf_IT-Sicherheitsgesetz.pdf?__blob=publicationFile, 2014

[9]         Vergl. Ernst & Young-Studie zur Prävention von Datenverlusten, „Durch zuverlässigen Datenschutz Millionenverluste verhindern“,  http://www.portal-21.de/cebit/artikel/54640-ernst-young-studie-zur-praevention-von-datenverlusten-111843280/, 2011

[10]       Vergl. Strafen bei Zuwiderhandlung gegen den Sarbanes-Oxley Act of 2002, erstellt von Paul Sarbanes und Michael Oxley, „PUBLIC LAW 107–204—JULY 30“, 2002