Die Deadline ist bereits abgelaufen: Die Netz- und Informationssysteme-Richtlinie (NIS2) der Europäischen Union, die schon Ende 2022 verabschiedet worden war, hätte spätestens am 18. Oktober 2024 in Deutschland in nationales Recht umgesetzt sein müssen. NIS2 schreibt neue Pflichten bei der IT-Sicherheit und beim IT-Risikomanagement vor, die alle EU-Länder einführen müssen. In Deutschland werden knapp 30.000 Unternehmen die neuen Regeln zu beachten haben, sonst drohen ihnen erhebliche Strafen.
Der Gesetzentwurf des Innenministeriums wurde erst Ende Juli 2024 vom Bundeskabinett beschlossen: das NIS-2-Umsetzungsgesetz. Damit soll vor allem die gesetzliche Grundlage des Bundesamts für Sicherheit in der Informationstechnik (BSI), nämlich das BSI-Gesetz (BSIG), grundlegend überarbeitet werden.
Erst nach dem Sommer kam nun das Gesetzgebungsverfahren in Gang. Heute hat sich der Innenausschuss des Bundestags in einer Sachverständigenanhörung mit dem Gesetzentwurf beschäftigt. Er stieß weitgehend auf Kritik der Experten.
Die verschleppte Umsetzung in nationales Recht ist mit Blick auf die gefährlichen Zustände in Fragen der IT-Sicherheit fatal: Obwohl jeden Tag neue Nachrichten über Ransomware-Angriffe, millionenfache Datenabflüsse und kritische Sicherheitslücken klarmachen, wie desolat die Situation ist, ließ sich die Bundesregierung übermäßig viel Zeit, um konkrete Gegenmaßnahmen zu ergreifen und ins Gesetz zu gießen.
Denn das Ziel von NIS2 ist die Umsetzung zahlreicher IT-Sicherheitsanforderungen und Pflichten zur Risikosenkung mit technischen und organisatorischen Maßnahmen sowie Meldepflichten, die eine behördliche Unterrichtung im Krisenfall verbindlich machen. Dazu kommt eine Registrierungspflicht bei den zuständigen Behörden: vor allem das BSI, aber auch die Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin), die Bundesnetzagentur und das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK).
Viele Ausnahmen
Die BSI-Präsidentin Claudia Plattner, die als Sachverständige in den Ausschuss geladen war, geht davon aus, dass die neuen Anforderungen für 29.500 Unternehmen verbindlich sein werden, wie eine aktuelle Schätzung ihrer Behörde ergeben hätte. Viele dieser Unternehmen wüssten allerdings noch gar nicht, dass sie betroffen sind. Als Vertreter der Wirtschaft forderte Felix Kuhlenkamp vom Verband bitkom, der Staat müsse „pro-aktiv informieren“, so dass diese knapp 30.000 Unternehmen von ihren neuen Pflichten zeitnah erfahren.
Was für Unternehmen gilt, muss nicht für Behörden gleichermaßen gelten: Ausgeklammert von einigen der neuen Pflichten sind beispielsweise die Strafverfolgungsbehörden und deren Dienstleister, aber auch das Auswärtige Amt oder das Bundeskanzleramt sowie die Bundesverwaltung. Der Sachverständige Timo Kob nannte es in seiner Stellungnahme ein „Horrorkabinett für alle sicherheitsaffin denkenden Personen“, wenn die Ausnahmen für nachgelagerte Bundesbehörden bestehen blieben.
Kuhlenkamp nannte es eine „große Glaubwürdigkeitslücke“, wenn die zahlreichen Ausnahmen ins Gesetz kommen. Auch alle anderen Sachverständigen setzten sich dafür ein, möglichst wenige Ausnahmen zuzulassen. Die Sachverständige Haya Schulmann, Informatik-Professorin an der Johann-Wolfgang-Goethe-Universität in Frankfurt am Main, betonte, die Ausnahmen seien eine vertane Chance und „sollten reduziert werden“.
Die Pflichten nach dem IT-Grundschutz des BSI sollten auf alle Bundesverwaltungen ausgedehnt werden. Auch BSI-Chefin Plattner forderte das für die gesamte Bundesverwaltung, ohne Ausnahmen. Diese Pflichten müssten für alle gelten, das sei sonst „unglaubwürdig“.
„Jede Schwachstelle schließen“
Großen Raum in der Anhörung nahm das Problem des sogenannten IT-Schwachstellenmanagements ein. Dabei geht es um die Frage, ob und wenn ja nach welchen Kriterien den Behörden bekanntgewordene IT-Sicherheitslücken nicht sofort den betroffenen Softwareanbietern gemeldet werden, um dann möglichst schnell reagieren und die Lücken schließen zu können. Denn absichtlich offen gehaltene Sicherheitslücken gefährden die IT-Sicherheit für alle: Unternehmen, Behörden, Privatpersonen.
Der Gesetzentwurf hat hier eine klaffende Lücke, denn er enthält keine Regelungen zum Umgang mit IT-Sicherheitslücken für staatliche Zwecke. Dem BSI gemeldete Informationen sollten aber nur für die Verbesserung der IT-Sicherheit genutzt werden, andernfalls droht ein erhebliches Vertrauensproblem in die Behörde.
Beim Schwachstellenmanagement liefert die Regierung schlicht nichts. Der Sachverständige Sven Herpig vom Verein interface beklagte trotz mehrjähriger Diskussion das Fehlen solcher Regelungen und einer übergeordneten Strategie in Deutschland, wie man mit IT-Schwachstellen umzugehen gedenke, die nicht sofort geschlossen werden. Man diskutiere das nun „seit sieben Jahren“, das mangelnde Ergebnis sei enttäuschend. Damit würden auch die Versprechen aus dem Koalitionsvertrag der Ampel missachtet.
Die Ampel-Parteien hatten im Koalitionsvertrag festgelegt, dass staatliche Stellen IT-Schwachstellen nicht kaufen oder offenhalten sollen. „Wir führen […] ein wirksames Schwachstellenmanagement mit dem Ziel, Sicherheitslücken zu schließen, […] ein“, hieß es dort unzweideutig. Man werde sich „immer um die schnellstmögliche Schließung bemühen“.
Zum IT-Schwachstellenmanagement positionierte sich Plattner vom BSI wie schon öfter seit Beginn ihrer Amtszeit im Juli 2023 deutlich: Beim BSI werden gemeldete Schwachstellen unmittelbar „der Schließung zugeführt“, wenn sie der Behörde bekannt werden. Man müsse möglichst „jede Schwachstelle schließen“, dafür plädiere sie, das sei ihr Job. Sie sagte aber auch, dass andere Behörden andere Perspektiven hätten und eventuell anderen Regeln folgen könnten, dafür hätte sie Verständnis.
Denn IT-Schwachstellen werden von anderen Staaten als politisches Mittel eingesetzt, so Plattner. Sie würden gesammelt, um sie für staatliche Zwecke wie beispielsweise Sabotage und Spionage einzusetzen.
Den Elefant im Raum nannte aber niemand beim Namen, obwohl es kein Geheimnis ist, wer diese anderen deutschen Behörden sind, denen die sofortige Schließung von IT-Sicherheitslücken ein Dorn im Auge sind: Geheimdienste, Militärs und Polizeien, die auch in Deutschland mit Hilfe von Schwachstellen Staatstrojaner und andere IT-Angriffswerkzeuge zum Einsatz bringen wollen. Eine sofortige Schließung von Sicherheitslücken macht solche teuren Angriffswerkzeuge schnell unbrauchbar.
Experte Herpig forderte, dass alle Behörden Schwachstellen zeitnah an das BSI zu melden hätten, das dann für die Schließung sorgt. Aber man könne sich Beispiele vorstellen, bei denen Ausnahmen gelten könnten. Er führte auch gleich das allseits gern verwendete Musterbeispiel an: eine gefundene „Schwachstelle in Ransomware“, die man der Ransomware-Bande nicht melden wolle.
Jemand müsse beurteilen, was in solchen Fällen geschehen solle, so Herpig. Ein Gremium müsse her, und auch das BSI solle in diesem Gremium sitzen. Schließlich brauche man gar nicht erst ein solches Gremium, wenn es darin keinen Diskurs um IT-Sicherheit gäbe, sondern sich ohnehin alle einig wären.
BSI-Chefin Plattner macht klar, dass ihre Behörde bereits Kriterien erstellt hätte, mit denen ein solches „Gremium“ arbeiten könne. Aber teilnehmen werde das BSI nicht: „Das geht auch ohne uns.“
Ob sie sich das aussuchen kann, steht aber in Frage. Denn das BSI ist keine unabhängige Behörde, sondern dem Innenministerium unterstellt, das die Aufsicht über das BSI hat. Zwar steht im Koalitionsvertrag, dass man das BSI zu einer „unabhängigeren“ Behörde und zur „zentralen Stelle im Bereich IT-Sicherheit“ ausbauen will, aber praktisch ist das in Fragen der Unabhängigkeit nicht geschehen.
Der Sachverständige Herpig kritisiert dann auch, dass NIS2 eine operativ unabhängige Stelle als Implementierungsbehörde fordere, das BSI daher auch unabhängig werden müsse. Auch der Sachverständige Dennis-Kenji Kipker von der Universität Bremen bemängelte, dass die Rolle des BSI nicht angetastet worden wäre.
Regelungen beim Datenschutz „teils unionsrechtswidrig“
Experte Kipker hatte gleich zu Beginn der Anhörung klargemacht, dass die Regelungen in Fragen des Datenschutzes „teils unionsrechtswidrig“ seien. Der Datenschutz werde „nicht ausreichend berücksichtigt“. IT-Angriffe seien oft auch Datenschutz-Vorfälle, etwa wenn Personaldaten oder andere personenbezogene Daten abhanden kämen.
Er hätte sich eine frühzeitige Einbindung der Bundesbeauftragten für den Datenschutz und die Informationsfreiheit gewünscht. Die Stellungnahme der neuen Bundesbeauftragten Louisa Specht-Riemenschneider sei aber erst heute und damit deutlich zu spät in den Ausschuss gekommen.
Eingebunden hingegen war als Sachverständiger Andreas Könen, der im Namen des Brandenburgischen Instituts für Gesellschaft und Sicherheit eine schriftliche Stellungnahme abgab und in die Anhörung geladen war. Der Ex-BND-Mann, der danach im BSI und im Innenministerium diente, ist nun im einstweiligen Ruhestand und war zuvor im Innenministerium für genau den Gesetzentwurf zuständig, der Gegenstand der Anhörung war.
Das allerdings sagte der Ex-Ministeriale in der Anhörung nicht. Er macht nur die Bemerkung, dass ihn wohl schon alle kennen würden. Dass aber ein als unabhängiger Sachverständiger Firmierender das zu bewertende Gesetz größtenteils verantwortet, hätte offen angesprochen werden müssen. Die Chuzpe muss man erstmal haben.
Boris Eisengräber wurde von der CDU/CSU „vorgeschlagen“. Er ist Leiter Cyber Security – Schwarz Digits, Neckarsulm.
Ende September 2023 gab die Schwarz-Gruppe die Gründung einer fünften Konzernsparte bekannt. Unter der Schwarz IT KG (Schwarz Digits) werden alle Services rund um Cloud, Cyber-Sicherheit und E-Commerce zusammengefasst. Neben Stackit und XM Cyber gehören auch die Online-Shops von Lidl und Kaufland zur Schwarz IT KG. Schwarz Digits verfügt über ca. 7.500 Mitarbeiter.
Die Containerreederei Tailwind Shipping Lines GmbH + Co. KG wurde inzwischen konzernintern an die Schwarz IT KG verkauft. Tailwind bereedert insgesamt zehn Containerschiffe (1. Panda 001 – 5.527 TEU 2. Jadrana – 4.957 TEU 3. Chicago – 6.078 TEU 4. Tabea – 5.527 TEU 5. Kumasi – 1.730 TEU 6. Nordtiger – 1.756 TEU 7. Panda 002 – 803 TEU 8. Faith – 917 TEU 9. Panda 006 – 6.864 TEU 10. Panda 003 – 1.120 TEU). Der Bestand an eigenen Containern liegt bei über 21.300, davon 300 Tiefkühlcontainer.
Schwarz Digits gehört zur Schwarz-Gruppe, die ein deutscher Mischkonzern mit faktischem Sitz in Neckarsulm ist. Unter den Marken Lidl und Kaufland werden insgesamt ca. 13.900 Filialen betrieben.
Das Magazin Forbes schätzte 2023 das Vermögen von Dieter Schwarz auf 39,2 Milliarden US-Dollar, womit er auf Platz 1 in der Liste der reichsten Deutschen stünde.
Eisengräber hat gleich zu Beginn gesagt, dass er die Schwarz-Gruppe vertritt. Zum Gesetz selbst hat er recht wenig gesagt, hat aber den partnerschaftlichen Ansatz mit der Privatwirtschaft beim BSI gelobt.
„Aber man könne sich Beispiele vorstellen, bei denen Ausnahmen gelten könnten. Er führte auch gleich das allseits gern verwendete Musterbeispiel an: eine gefundene „Schwachstelle in Ransomware“, die man der Ransomware-Bande nicht melden wolle.“ – Nix „aber“. Auch Schwachstellen in Ransomware sollen sofort veröffentlicht werden, damit sie geschlossen werden können. Wir müssen endlich mit der Opfer-Täter-Umkehr aufhören. Täter sind IMMER die Leute, die unsichere Konfigurationen öffentlich entblößen. Ransomware auf solche Konfigurationen loszulassen ist gemeinnützige Arbeit, die belohnt und nicht bestraft werden sollte.
(Die Ampel verabschiedet sich von gleich zwei Versprechen aus dem Koalitionsvertrag)
Die Ampel hat sich schon längst von noch weitaus mehr aus dem Koalitionsvertrag verabschiedet!
„obwohl es ist kein Geheimnis ist“ ->
„obwohl es kein Geheimnis ist“
Danke, ist jetzt korrigiert.
Ist in diesem Zusammenhang mit NIS2 denn auch die Thematik DORA für Finanzunternehmen verbunden? Ich lese leider sehr viel über die Unfähigkeit der nationalen Umsetzung. Leider aber meist nur auf NIS2 bezogen. Daher die Frage nach DORA…
DORA fand keinerlei Erwähnung in der Anhörung, nein. Da die Berichtspflichten bei IT-Vorfällen hier schon bestehen, hat mich das auch nicht überrascht.
Ich fände es schön, wenn in dieses NIS2 eine Werbeblockerpflicht für alle dienstlich genutzten Geräten mit Internetzugang eingefügt würde. Am besten so, dass sich die Versicherungsgesellschaften genötigt fühlen, Haftungsausschlussklauseln für den Fall fehlender Werbeblocker in ihre „Cyberschadens“-Policen hinein zu schreiben.
Als Mensch von außerhalb der IT kommt mir das nämlich immer so ein bisschen wie eine Art „Elefant im Raum“ vor. Alle wissen, dass das dringend notwendig ist, aber in bester Beamten-Mikado-Manier („Wer sich zuerst bewegt, hat verloren.“) will irgendwie niemand der „Buhmann“ sein.