Wie bereits angekündigt, findet heute ab 14 Uhr eine Expertenanhörung zum Thema IT-Sicherheitsgesetz (ITSG) im Innenausschuss des Bundestages statt.

Kurze Erinnerungsauffrischung: Das IT-Sicherheitsgesetz liegt derzeit in Fassung eines Gesetzesentwurfes vor, der von uns und vielen anderen, wie etwa dem CCC, stark kritisiert wird. Eigentlich soll er für mehr Sicherheit, vorrangig bei „Kritischen Unternehmen und Infrastrukturen“ sorgen. Durch schwammige Formulierungen und wirtschaftsfreundliche Verwässerung verfehlt der Entwurf dieses Ziel und verdient eher den Namen IT-Sicherheitssimulationsgesetz. Es ist weder genau definiert, wer eine kritische Infrastruktur bereitstellt, noch, was ein schwerwiegender Vorfall ist, der gemeldet werden müsste. Meldungen können im Normalfall anonym erfolgen und auch Sanktionsmöglichkeiten sind in dem Entwurf nicht vorgesehen. Mehr kritische Punkte haben wir hier zusammengefasst.

Wir haben live aus der Anhörung berichtet, für die ganze drei Stunden vorgesehen waren. Wer die Anhörung selbst nachvollziehen wollte, konnte das im Parlamentsfernsehen tun. Die eingeladenen Sachverständigen waren:

• Michael Hange, Präsident des Bundesamtes für Sicherheit in der Informationstechnik
• Prof. Dr. Gerrit Hornung, Universität Passau, Lehrstuhl für öffentliches Recht, IT-Recht und Rechtsinformatik
• Linus Neumann, Chaos Computer Club (CCC), Berlin [Text der Stellungnahme, Blogpost]
• Iris Plöger, Bundesverband der Deutschen Industrie e.V., Leiterin der Abteilung Digitalisierung
• Prof. Dr. Alexander Roßnagel, Universität Kassel, Institut für Wirtschaftsrecht
• Prof. Dr.-Ing. Jochen Schiller, Freie Universität Berlin, Institute of Computer Science
• Dipl.-Ing. (FH) Thomas Tschersich, Deutsche Telekom AG, Leiter Group Security Services
• Dr. Axel Wehling, Gesamtverband der Deutschen Versicherungswirtschaft e.V., Mitglied der Hauptgeschäftsführung, Geschäftsführer des Krisenreaktionszentrums der deutschen Versicherungswirtschaft

Eingangsstatements

Sitzungsvorsitzender Wolfgang Bosbach (CDU/CSU)

$begrüßungs-foo

Es wird ein Wortprotokoll geben. Und schriftliche Stellungnahmen, die ins Internet gestellt werden.

Michael Hange

Herausragende Punkte

Lagebericht zur IT-Sicherheit, BITKOM-Studie und Snowdenenthüllungen zeigen, wie verletztlich der Cyberraum ist.

Es gibt drei kritische Punkte: Vernetzung, Komplexität, die Erreichbarkeit jedes System über das Internet.

Gefährdungslage: Internet ist als Plattform für Angreifer attraktiv. Dienste und Angriffe sind zu kaufen, Entdeckungsrisiko ist gering, Masse der möglichen Ziele ist groß, Cyber-Angriffe kennen keine Grenzen.

Schwachstellen sind systemimmanent. Bei üblicher Software existieren 2–5 Promille Fehler pro Programmzeile. Bei gängigen Betriebssystemen ergibt das über 20.000 Schwachstellen. Die Bedeutung von Advanced Persistent Threats nimmt zu – das sind „hochwertige Premiumangriffe“.

Apps nähern sich 1,5 Millionen nur für Android.

Cybersicherheit rückt im KRITIS-Bereich [Kritische Infrastrukturen] in den Vordergrund. Bisher ist die Zusammenarbeit mit den Behörden freiwillig, aber angesichts des Risikos wird das der Realität nicht mehr gerecht.

Der Zeitpunkt ist gekommen, für KRITIS und Internetnutzer mehr zu tun. Mindeststandards, Meldepflicht, Warnpflicht, jährliches Lagebild, Prüfung zentraler Produkte, Änderungen in TMG und TKG.

BSI soll aktiv präventiv werden in Zusammenarbeit mit den Aufsichtsbehörden. ITSG ist ein notwendiger und wichtiger Schritt.

Prof. Dr. Gerrit Hornung

Gesetzentwurf adressiert eine relevante Frage und ist ein sinnvoller Ansatz. In aller Kürze:

1. Inhaltliche Standards: Ziel ist Verbesserung der IT-Sicherheit. Stand der Sicherheit soll berücksichtigt werden, das ist zu wenig. Sicherheit muss eingehalten werden. Branchenstandards sind ein probates Mittel, bringen aber auch Probleme.

2. Wie weist man die Einhaltung nach? Bereich der Audits ist ungeregelt. Das ist unzureichend, braucht genauere Regelung.

Meldepflichten: Entwurf sieht Sonderregelungen vor, keine Rechtfertigung für terminologische Abweichungen. Ist damit auch unterschiedlicher Inhalt gemeint. Bereich der hoheitlichen Anwender wird nicht geregelt. Nicht einsichtig, warum diese anders als KRITIS behandelt werden sollen.

Umgang mit den Informationen durch das BSI ist wichtig. Meldungen enthalten sensible Informationen über Wirtschaft. BSI sollte mehr für Öffentlichkeitsarbeit tun und Dritte informieren. Nicht nur Bedürfnisse der Wirtschaft berücksichtigen.

Kriminelle dürfen nicht auf Lücken hingewiesen werden, Lücken müssen vorher geschlossen werden. Information der Öffentlichkeit ist nicht adressiert, das ist ergänzungsbedürftig. Auch europäische Richtlinie sieht das vor.

3. Fehlende Sanktionen: Nicht alle Betreiber sind kooperativ, BSI braucht deshalb Durchsetzungs- und Anordnungsbefugnisse. Ungleichbehandlung, Bußgelder nur für TK-Bereich vorgesehen.

Zu §100 TKG: Wird als kleine Vorratsdatenspeicherung bezeichnet.

Linus Neumann

Im Gesetz sollen technische Probleme adressiert werden. Schwierig mit juristischen Mitteln zu machen.

Zwei Möglichkeiten für mehr IT-Sicherheit:

Härtung – Im Schadensfall den Schaden begrenzen – und Prävention – Finden und Entfernen von Bugs im Code. Am Ende die einzige Möglichkeit, ein Sicherheitsrisiko loszuwerden.

Anreize für eine Erhöhung der IT-Sicherheit im ITSG? Im ITSG starken Fokus auf KRITIS, aber Endnutzerschutz sollte größere Rolle spielen.

Stört, dass jegliche Proaktivität fehlt. Stand der Technik soll eingehalten werden, wird aber schon per Definition eingehalten. Technische Sicherheit muss erhöht werden, das kann nicht durch Meldepflichten im Nachhinein passieren.

Erstellung von Sicherheitskonzepten ist vorgesehen, um Rechtsunsicherheit des „Stands der Technik“ zu entfliehen. Verbände müssen sich für gemeinsames Sicherheitskonzept zusammensetzen. Dilemma: Standard, den alle erfüllen oder Standard, den man noch nicht erfüllt. Letzteres würde Investitionen benötigen.

§100 TKG, damit wird Datenvorhaltung ermöglicht. Aber Störungen sind akute Probleme, da bringt 180 Tage zurückreichender Datensatz nicht. „Das ist einfach Unsinn.“

BSI hat inhärenten Interessenskonflikt, weil BMI untergeordnet. Es ist auch im offensiven Bereich der IT-Sicherheit tätig, Verweis auf Wunschliste des BND. BSI unterstützt auch die Entwicklung von Staatstrojanern. Als zentrale Meldestelle daher grundsätzlich nicht geeignet.

Iris Plöger

BDI findet die Maßnahmen, wie Meldepflicht, unverhältnismäßig. Es entstehen finanzielle Aufwände. Nutzen ist nicht einschätzbar. Industrie hat Eigeninteresse an IT-Sicherheit.

Meldepflicht allein führt nicht zum Ziel, da reaktiv. Freiwillige Zusammenarbeit funktioniert sehr gut.

Eigene Vorschläge schon 2014 eingebracht, Studie „IT-Sicherheit in Deutschland.“ Konkrete Handlungsempfehlungen präsentiert.

1. KRITIS klar definieren. Ist nicht klar, an wen sich das Gesetz richtet. Unternehmen müssen wissen, ob sie betroffen sind. Staat ist der größte Betreiber kritischer Infrastrukturen. Schutzgut des Gesetzes ist kein Grund für Ungleichbehandlung staatlicher und privater Betreiber.

2. Umfang und Inhalt der Meldepflichten im Gesetz nicht bestimmt. Definition „erheblicher Störungen“ nicht hinreichend. Weitergabe von Daten sollte gesetzlich ausgeschlossen werden.

3. Mindeststandards sind branchenspezifisch wichtig.

4. Kompatibilität zwischen ITSG und NIS-Richtlinie wichtig. Stehen bisher nicht im Einklang. Unterschiedliche nationale und europäische Anforderungen.

5. Keine Doppelregelungen und Doppelzuständigkeiten schaffen.

6. Zusammenarbeit BSI und Unternehmen ausbauen. Informationen müssen zeitnah und praxisorientiert an Unternehmen gegeben werden – tagesaktuell. Allianz für Cybersicherheit stärken.

Prof. Dr. Alexander Roßnagel

1. Gesetzentwurf grundsätzlich zu begrüßen. Name verspricht mehr, als die Regelungen verfolgen. Maßnahmen sind grundsätzlich geeignet, Grundrechtseingriffe erforderlich und verhältnismäßig.

2. Definition kritischer Infrastrukturen erscheint ausreichend. Für Rechtssicherheit müssen sie so detailliert beschrieben werden wie in Emmissionsschutzverordnung, detaillierte Merkmale sind sachlich geboten.

3. Sicherheitsvorkehrungen sind für ein gleichmäßiges Mindestniveau erforderlich. Stand der Technik soll nicht nur berücksichtigt, sondern eingehalten werden. Branchengerechte Vorgaben sind zu begrüßen. Aber eingesetzte Technik kann nicht durch Betreiber selbst verbessert werden, daher müssen Sicherheitsnachweise hier präziser gefasst werden.

4. Kooperatives Sicherheitssystem ist zu begrüßen, wie anonyme und identifizierende Meldepflicht. Wann eine Meldepflicht besteht, sollte jedoch präziser geregelt werden. Ausnahmen sollen nur bei spezielleren Regelungen greifen. Verbessert werden muss Information der Öffentlichkeit und Nutzer. Staat hat Schutzpflicht, daher sollte Information die Regel sein.

Pflichten der Betreiber müssen sanktionsbewährt sein.

5. §100 TKG, Gesetzentwurf erweitert Begriff der Störung. Vorschrift erlaubt anlasslos Speicherung von Verkehrsdaten, das ist unverhältnismäßig. Muss eingeschränkt werden.

Prof. Dr.-Ing. Jochen Schiller

Gedankenexperiment: Smarter Backofen, lädt Backprogramme aus dem Internet. Steuerung übernimmt ein Webserver. Hat Schadsoftware, verkohlt nicht nur Kuchen, sondern die ganze Wohnung. Wer ist haftbar? Nutzer, Hersteller, Hacker?

Backofen ist keine kritische Infrastruktur, aber Probleme sind ähnlich. Eingebettete Computer steuern vielfältige Systeme, sind aber kaum abgesichert. Haben wir das richtige Sicherheitsbewusstsein?

Grundlegender Bewusstseinswandel ist notwendig, Sicherheit ist ein dynamischer Prozess.

Sicherheitsprozesse müssen branchenübergreifend gedacht werden. Alle müssen eingeschlossen werden, um wirksam zu sein. Drei Viertel aller Angriffe betreffen KMUs, diese stellen in ihrer Gesamtheit auch kritische Infrastrukturen dar – Wirkungsbereich des ITSG überdenken!

TMG und TKG sind nicht konsistent, um Angreifer zu erkennen. Das ist aus technischer Sicht nicht sinnvoll. Man muss reagieren können, bevor etwas passiert. Lagebild erfasst nicht alles im notwendigen Detailgrad.

Insgesamt: Gelebte IT-Sicherheit liegt hinter dem Stand der Technik zurück, ITSG ist Startschuss zum Sicherheitsbewusstsein.

Dipl.-Ing. (FH) Thomas Tschersich

Gesetz ist absolut notwendiger Schritt in die richtige Richtung. Geht um unsere Zukunftsfähigkeit in der digitalen Welt.

Historische Chance für Standortfaktor der sicheren Dienstleistungsumgebung. Nicht aus den Augen verlieren, dass weitere Schritte erforderlich sind.

Es fehlt die Einbeziehung der Hard- und Softwarehersteller. Angreifer sind erfolgreich, weil Schwachstellen ausgenutzt werden können. Betreiber kann die nicht allein beheben, Hersteller müssen unterstützen und Updates zur Verfügung stellen.

Vermutet, dass 95 Prozent aller Angriffe vergebens wären, wenn alle auf dem „Stand der Technik“ wären.

Man braucht ein Warnmeldungsregime zum Austausch von Informationen über Angriffe. Meldepflicht ist sinnvoll, relevante Meldungen sind notwendig für praktischen Nutzen.

Speichern von Daten in Telediensten: Diskussion um Erforderlichkeit ist notwendig. Logs sind notwendig für Schutz vor und Erkennung von Angriffen. Es braucht eine Definition, was gespeichert werden kann und darf.

Dr. Axel Wehling

Ist der richtige Zeitpunkt mit der richtigen Dosierung, gibt drei Kernpunkte:

1. Anonymisierte Meldung

2. Fortschreiten bei kooperativem Ansatz: Muss ausgebaut werden. Insbesondere in der Frage, welche Unternehmen zu KRITIS zählen. Bei Definition von Sicherheitsaudits und Zertifizierungen sollten branchenspezifische Lösungen möglich sein.

Kleinere Anpassungen sind erforderlich.

3. Branchenansatz: Versicherungsbranche hat Single Point of Contact mit BSI schon 2010 eingerichtet. Soll ausgebaut werden. Branchenansatz ist das Tool, um spezifisch IT-Sicherheit voranzubringen und Bürokratie zu vermeiden. Branchen haben unterschiedliche Anforderungen.

Um Meldekultur zu etablieren von Spezialgesetzen absehen. Lagebild reicht, evtl auch spezielle Lagebilder. Keinen Konkurrenzkampf zwischen den einzelnen Meldewegen generieren.

Fragerunde

Wendt (CDU/CSU)

@Tschersich/Wehling: Konkreter Wert als Anhaltspunkt für Definition kritischer Infrastruktur möglich? Welche Bereiche und Sektoren sollten unter KRITIS fallen, wird das europaweit tragfähig sein?

Tschersich: Kennzahlen schwierig. KRITIS alles, was unter Grundversorgung fällt, egal wie groß oder klein. D.h. auch Nahrungsmittel. Hier ist branchenspezifischer Ansatz sachdienlich. BSI bildet das Korrektiv, wenn eine Branche sich entziehen will, um Investitionen zu vermeiden.

Wehling: 1200 Versicherungsunternehmen in Deutschland, im GdV nur 430 Unternehmen. Nicht alle müssen miterfasst werden – branchenspezifisch gucken. In Übungen die Response-Zeiten angeschaut und geschätzt, ob diese adäquat sind. Nicht alle können in einen Topf geworfen werden.

Man kann ein Gefühl entwickeln, wer dazugehört oder nicht.

Schwer zu sagen, ob mit EU-Regelung kompatibel. National andere Aufteilung ist unschädlich, in etlichen Staaten gar keine nennenswerte Versicherungswirtschaft.

@Plöger/Hornung: Wesentlichkeit und Bestimmtheit, ist Gesetz ausreichend konkret? Ist sichergestellt, dass Kooperation von Unternehmen, Wissenschaft und Behörden funktioniert

Plöger: Große Unsicherheit bei Unternehmen besteht. Umfang und Inhalt der Meldepflicht wird kritisiert. Anzahl der Personen in großen Unternehmen, um das zu leisten, wird sehr groß sein.

Begrüßt kooperativen Ansatz, wünscht sich mehr Präzision im Gesetz. Frage, ob man mit Meldepflichten dem Problem Herr wird, unklar.

Hornung: Anforderung aus Grundgesetz, wesentliche Entscheidungen muss Gesetzgeber treffen. Also auch, auf wen ein Gesetz angewendet wird. Nicht jedes Unternehmen muss das direkt aus dem Gesetz sehen können. Empfiehlt Konkretisierung, gibt im Gesetz Ansätze dafür.

Wie ist die Zahl von maximal 2000 betroffenen Unternehmen, die im Gesetz genannt wird, zustande gekommen? Sollte präzisiert werden.

Je vager der Entwurf, desto größer die Chance, mit der EU-Richtlinie kompatibel zu sein. Eigentliche Probleme bei EU liegen bei Veröffentlichung der Ergebnisse und Sanktionen.

@Hange: Meldepflichten, Einschätzung der Menge der zu meldenden Vorfälle? Wie wird mit Meldefällen umgegangen? Wie wird der Mehraufwand?

Hange: BSI hat ein Lagezentrum, dass künftig 24/7 präsent sein wird. Zweistufiger Prozess: Was ergibt sich an Gefährdung für andere? Daraus ergibt sich eine Warnung. Dann: Meldepflichten sind kein Selbstzweck. Jede Meldung braucht auch Analyse, 80 – 90 Prozent aller Angriffe können abgewehrt werden. Spam ist nicht meldewürdig, sondern neuartige Angriffe. Betrifft vermutlich 5 – 10 Angriffe pro Jahr.

Ist ein dynamischer Prozess, wichtig ist, die Methoden festzulegen und Common Sense für Vorgehensweise zu etablieren. Informationen müssen vertraulich bleiben.

Reichenbach (SPD)

@Hornung/Roßnagel: Websteuerungen in eingebetteten Systemen: Zuordnungsschwierigkeiten zu TMG oder TKG, wie ist das Problem zu lösen?

Hornung: Sowohl in TMG und TKG Problem mit Umgang mit Verkehrsdaten. Es gibt überlappende Bereiche. Lösung nicht im Gesetzentwurf, Erforderlichkeitskriterium zu vage, Speicherdauer läuft völlig auseinander. Man braucht eine Erheblichkeitsschwelle und Zweckbindungsregelung, sowie Obergrenze für Speicherpflicht.

Roßnagel: Wenn man TMG miteinbezieht hat man nicht nur Verkehrs- sondern auch Nutzungsdaten. Eingriff in Grundrechte wird dadurch tiefer. Schließt nicht aus, dass trotzdem Vorsorgemaßnahmen getroffen werden. Aber darauf achten, dass stufenweise vorgegangen wird. Nicht alle Daten aller Nutzer für unbestimmten Zeitraum aufbewahren. Erstmal anonyme Statistiken analysieren. Sollte im Gesetz verankert werden. BVerfG hat eingefordert, dass nicht einfach alles gespeichert werden darf.

@Hange/Roßnagel/Schiller: Mitwirkungspflicht von Herstellern. Was passiert, wenn Monopolist ein Sicherheitsproblem ignoriert? Wie können Regelungen Mitwirkung garantieren?

Roßnagel: BSI kann Betreiber zu Nachbesserung auffordern, aber nicht Hersteller. Das muss aber möglich sein.

Schiller: Kann nicht so tun, als wäre IT-Bereich etwas ganz Neues. Nicht einzusehen, dass derjenige, der das Produkt anbietet, nicht zur Rechenschaft gezogen werden soll. Der Anbieter selbst muss Anforderungen an Hardwarehersteller stellen. Nicht logisch, dass in diesem Fall Haftung nicht greifen soll. Weiterpropagieren von Verantwortlichkeiten kann nicht sein.

Hange: Mit Mindeststandards wird ein Rahmen vorgegeben. Bindung des Herstellers an den KRITIS-Betreiber notwendig, z.B. in AGBs. BSI kann auch öffentlich warnen, das hat hohen Wirkungsgrad. Via Gesetz auf Zulieferer einwirken ist wirksam. Produktauswahl muss am Markt entschieden werden. Benennung von Schwachstellen schafft Druck auf Hersteller.

@Hornung/Roßnagel: Sanktionsmechanismen, wie ist das besser formulierbar? Wie lässt sich Wettbewerbsverzerrung vermeiden?

Hornung: TKG-Bereich kann als Modell gelten, nur erhebliche Verstöße Bußgeld-bewehrt. Nicht auf Sanktionsbefugnisse verzichten.

Roßnagel: Sicherungs- und Meldepflicht werden von großer Anzahl an Unternehmen befolgt. Muss dafür sorgen, dass diejenigen keine Wettbewerbsnachteile haben. Daher ist Sanktion notwendig. Regelung aus TKG könnte übertragen werden.

@Hornung/Roßnagel/Hange: Kritik von außen: Zweckbindung nicht ausreichend. Nachschärfung notwendig?

Roßnagel: Zweckbindung in §7a Abs. 2, Gesetz wird aber nicht nur von Rechtsabteilungen angewendet, daher sollte diese Frage präzise und detailliert beschrieben werden. Darf nicht nur Juristen-lesbar sein.

Hange: Nur dazu da, um Schwachstellen dem BSI zu nennen. Keine Weitergabe vorgesehen.

Wawzyniack (Linke)

@Neumann: Hat gesagt, dass Meldepflichten noch keinen Hack verhindert haben. Wenn Endnutzerschutz im Mittelpunkt, ist da Meldepflicht nicht doch sinnvoll? Vielleicht sogar ein Mehr an Meldepflicht? Verbot des Verkaufs von Sicherheitslücken?

Neumann: Gibt Ad-Hoc-Angriffe, Angriffe sind erfolgreich, wenn sie neuartig sind. Hohe Kunst fängt bei neuen Angriffen an, z.B. OpenSSL. Konnte keiner vorhersehen und fast niemand detektieren. Meiste Unternehmen haben hier Defizite. Angreifer hat keine Motivation, die Meldung der Telekom abzuwarten, bis er andere angreift.

Warum meldet bisher niemand freiwillig, Gelegenheit besteht seit 2012 in der Allianz für Cybersicherheit? Irgendwas funktioniert da nicht.

IT-Sicherheit ist multidimensionales Problem, es gibt viele Angriffsmotivationen.

@Neumann: Mehr Proaktivität gefordert, wie kann das aussehen?

Man sollte den Unternehmen Anreize geben – durch Haftung, Zwänge, … – den Risikoszenarien zu begegnen, bei denen Endnutzer zu schaden kommen und nicht nur das Kerngeschäft.

Bereits vorgeschlagen zu schauen: Was sind Softwareprodukte, die ein Großteil der Menschen nutzen? OpenSSL: Niemand hat das auditiert, um das eigene Risiko zu verringern. Alle profitieren von einer Sicherheitsüberprüfung, daher haben einzelne Unternehmen wenig Anreiz, profitieren aber davon.

Was macht man mit der proprietären Software? Kann bisher noch ohne jegliche Garantie operieren. Haftung würde mit wenig Bürokratie schönen Effekt erzielen. Gesamte Awareness für IT-Sicherheit ist noch nicht so hoch, wie sie sein könnte.

@Neumann: Ambivalente Funktion des BSI angesprochen. Aus Sicht der Endnutzer evtl. Auditierung sinnvoll, das scheint aber schwierig. Ist Auditierung sinnvoll, mit BSI als unabhängiger Stelle?

Unabhängigkeit ist ein dringendes Anliegen. BSI hat Imageproblem: Staatstrojaner, ungenügende Aufklärung bei Identitätsdiebstählen. Erfolg der Allianz für Cybersicherheit nicht groß. Mangelnde Unabhängigkeit ist dabei ein Kernproblem. Schade, dass sich das Gesetz nicht auf BSI-Lageberichte stützt.

@Neumann: Datenvorhaltung bei Störungen kritisiert. In welchem Umfang sind welche Daten notwendig?

Es darf keinen Freibrief geben, alle Daten unbegrenzt vorzuhalten. Aber es gibt konkrete Notwendigkeit, in Verkehrsdaten zu schauen, um Angriff vernünftig aufzuklären. Betreiber muss das tun, aber in diesem Fall ist Informieren der Nutzer notwendig.

Oft werden die Daten für Kleinstvergehen angefragt, daher sieht man, dass massive Einschränkung des Verwendungszwecks notwendig ist. Wenige Stunden bis Tage Speicherung sind ausreichend.

@Schiller/Hornung: Anwendungsbereich des Gesetzes, kleinere Unternehmen werden ausgenommen (< 250 Mitarbeiter, 43 Mio. Euro Bilanzsumme). Macht Bestimmtheitsgebot da noch Sinn? Nicht alle von Anfang an einbeziehen?

Hornung: Ausnahme für Kleinstunternehmer (kleiner 10 Mitarbeiter), nicht für KMUs. Wenn die reingenommen werden, kann das unverhältnismäßige Kosten verursachen.

Schiller: Stand der Technik und Sicherheitsbewusstsein. Stand der Technik ist definierbar. Warum KMUs? Bewusstseinsbildung. Oft kein Sicherheitsbewusstsein vorhanden, auch wenn keine Mitwirkungspflicht. Außerdem ist die Menge der KMUs zusammen relevant. Alle einzeln nicht erfasst. Wenn man ein Land lahmlegen will, dann geht man zu denen, die schlecht geschützt sind. Angriff ist dann in der Menge kritisch.

@Hange/Hornung: BfV soll bis zu 50 Stellen mehr bekommen, weil BSI dem BfV Daten übermitteln soll. Aber im Gesetz stehen nur Unterrichtungspflichten. Ist tatsächlich die Möglichkeit einer Datenübermittlung vorgesehen, Ermächtigungsgrundlage?

Hange: BSI hat technischen Blick auf Analyse. Wird warnen und Handlungsempfehlungen geben, Lageberichte erstellen. Bei Angriffen auf Regierungsnetze liegt Anteil der „hochwertigen Angriffe“ im einstelligen Bereich.

Zu Heartbleed – auch BSI macht Open Source. Auch Open Source muss geprüft werden. BSI will hier die Rolle des Prüfens übernehmen. Krypto-Bibliothek soll geprüft werden, BSI kann das finanzieren. Zertifizierung soll genutzt werden, um auch proprietäre Produkte zu prüfen, zum Beispiel bei eGK, Smart Meter.

Mitarbeit am Staatstrojaner wird auch Gegenstand des NSA-Ausschusses sein. BSI kann auch beauftragt werden, für Sicherheit zu sorgen. Darauf beschränkt sich das. Bei Identitätsdiebstahl waren die Server ruckelig, wurde aber in den Griff bekommen. Täglich werden bis 20.000 IP-Adressen an Provider gegeben, damit Kunden gewarnt werden können.

Gesamtgesellschaftlich muss gefragt werden, wie man Bürger besser schützen kann. Auch um kriminelle Bedrohungen an den Bürger zu reduzieren.

Hornung: BSI muss Stellen wie BfV unterrichten. Dieser Begriff ist unbestimmt. Auffällig, dass Gesetzesbegründung unspezifisch ist. Was BfV damit macht, muss das BfV selbst entscheiden. Scheint so zu sein, dass substantieller Teil der Auswertung beim BfV liegen soll. Sieht das kritisch.

von Notz (Grüne)

@Roßnagel/Hornung/Neumann: Was sind konkrete Punkte, die noch in das Gesetz hineingehören, damit auch Bürger geschützt werden?

Hornung: Hersteller mit ins Boot holen, Auditierung detaillierter formulieren. Anreize durch Haftungsregelungen. Inwieweit können sich Anbieter durch AGBs freizeichnen? Das im AGB-Recht beschränken. Meldepflicht für weitere Behörden und sonstige Anbieter.

Neumann: IT-Systeme sind komplex, schwer zu beherrschen. Meist gibt es aber nur Checklisten. Angreifer muss sich darum nicht kümmern, ist viel flexibler. Das erzeugt ein Ungleichgewicht. Schnellere Auditierung notwendig. Nicht IT-Sicherheit mit noch mehr Bürokratie erschlagen. Das geht zu Lasten proaktiver Maßnahmen.

Haftung bei Fahrlässigkeit einführen, Erhöhung der Schutzziele über den Stand der Technik hinaus. Konkrete Vorgaben für die Zukunft formulieren – das wäre Standortvorteil. Konkrete Schutzziele vorgeben. Grundlagen für gesamte deutsche Wirtschaft schaffen.

Roßnagel: Geht nicht nur darum, Wahrscheinlichkeit von Schäden und Angriffen zu reduzieren. Sondern auch um Schadenspotential. Haftung kann präzisiert werden, was sind berechtigte Sicherheitserwartungen und ‑pflichten? Öffentliche Hand sollte vorbildhaft vorangehen, z.B. nur zertifizierte Produkte einsetzen. Aktuellen Entwurf aber nicht deswegen aufhalten, sondern Schritt für Schritt vorgehen.

@Roßnagel/Hornung/Neumann: In Hinblick auf Scheinabsicherungen – was wären harte, notwendige Prüfungsschritte, um Hard- und Software als sicher beschreiben zu können? Z.B. bei Netzwerk-Switches.

Neumann: Zwei Teilprobleme, es gibt die Sicherheit, die das Produkt bieten kann und die Sicherheit, die man kaputtkonfigurieren kann. Man kann Anbieter von Produkten durch Zertifizierung zu Überprüfungen anhalten. Dort gibt es noch Luft nach oben, aktuelle Kontrollmöglichkeiten scheinen noch nicht zu greifen. Problembewusstsein ist nicht gegeben.

Roßnagel: Aus Technikrecht kann man Mindestniveau übertragen. Einheitlichkeit erreichen, wird aber nicht jedem Risiko gerecht. Dann spezifischere Anforderungen stellen. Schauen, ob IT-Sicherheitskonzepte existieren und umgesetzt werden.

@Hange/Roßnagel/Hornung/Neumann: Problem in Diskussion um IT-Sicherheit, Cyberwar und Co. bei Verteidigung und Angriff? Wie kann es sein, dass das BSI dem BMI unterstellt ist?

Hornung: Bei Zusammenarbeit BSI und andere Behörden aufpassen, aber komplette Unabhängigkeit nicht notwendig. Muss über Zusammenarbeit der verschiedenen Abteilungen nachdenken.

Roßnagel: Frage nach Unabhängigkeit zweitrangig, relevant ist, ob es Interessensgegensätze gibt. Evtl. ist Unabhängigkeit ein Mittel, darauf zu reagieren.

@Roßnagel/Hornung/Neumann: Parallele Verhandlung der NIS-Richtlinie in der EU. Ist es sinnvoll, dass das ITSG Vorbild der NIS-Richtlinie werden soll?

Hornung: Abhängig davon, wie der Zeitplan für die NIS-Richtlinie aussieht. Keine Prozesse vorgeben, die Unternehmen teuer umsetzen müssen.

Roßnagel: Artikel 2 der NIS-Richtlinie sagt, sie betreibt nur eine Mindestharmonisierung, Länder dürfen trotzdem noch eigene spezifische Regelungen über Mindestniveau erlassen. Definition von kritischen Infrastrukturen in NIS nicht enthalten.

Jarzombek (CDU/CSU)

@Tschersisch: Wie wird bei Telekom vorgegangen, wenn Kunden als Teil eines Botnetzes unterwegs sind?

Tschersisch: Monatlich werden viele Endkunden angeschrieben, von deren IPs Angriffe stammen. Hat einen enormen positiven Effekt, viele Kunden fragen nach und nehmen das ernst. Problem ist, dass solche Informationen nicht durch eigene Auswertungen ermittelt werden dürfen. Man ist auf Meldungen von Dritten angewiesen.

@Hange: Wie sind Reaktionszeiten des BSI bei eingehenden Meldungen geplant? Wie sieht Unterstützung von Unternehmen bei persistenten Angreifern aus?

Hange: Schon jetzt sind Prozesse etabliert. Prozesse müssen mit den Branchen transparent gemacht werden. Man kann nicht zeitlich genau definieren.

BSI kann Betreiber von KRITIS unterstützen – als Ersthilfe – oder an dritte Dienstleister verweisen.

@Plöger/Hornung: Wie ist Alternativvorschlag zur Konkretisierung von Begriffen, z.B. Stand der Technik?

Plöger: Parallele zu Patentrecht – Industrie hat sich zurückhaltend geäußert, den Stand der Technik in einem Gesetz zu formulieren.

Hornung: Man kommt nicht ohne unbestimmte Rechtsbegriffe aus. Man braucht jemanden, der entscheidet, was Stand der Technik ist. Das ist Dynamik, aber die fehlt im Gesetzesentwurf.

Hakverdi (SPD)

@Roßnagel: Wie kann man §100 TKG verfassungskonform formulieren?

Roßnagel: Man muss den zulässigen Anlass genau beschreiben. Stufenweise vorgehen: Verkehr beobachten ohne Personenbezug, bei Anlass auch Anomalien näher anschauen, auch anonym und pseudonym. Erst bei Entdeckung eines Angriffs den Personenbezug herstellen. Im ersten Schritt keine flächendeckende und anlasslose Speicherung von personenbezogenen Daten durchführen. EuGH verlangt, dass Verarbeitung personenbezogener Daten auf das absolut Notwendige beschränkt wird.

Ausnahmen für bestimmte Berufe (Ärzte, Rechtsanwälte, etc.) – überlegen, ob man eine Whitelist mit bestimmten Anschlüssen erstellt. §100 TKG modernisieren. Mehr Kriterien zum Schutz der betroffenen Bürger.

Nachfrage: Sind Whitelists technisch möglich?

Tschersisch: Technisch möglich so gut wie alles, aber Realismus fraglich.

Fazit

Im Grunde entsprachen die vorgebrachten Argumente den Punkten, die bereits im Vorfeld kritisiert wurden. Ein Streitfaktor ist dabei die Frage, ob eine im Normalfall anonyme Meldepflicht ausreicht. Ein weiterer, viel bemängelter Punkt sind die unklaren Begriffsdefinitionen, die unter anderem dazu führen, dass Unternehmen nicht wissen würden, ob sie selbst zur betroffenen kritischen Infrastruktur gehören. Auch die Festlegung auf einen Stand der Technik gibt keine klaren Leitlinien, eine Konkretisierung des Begriffes ist jedoch im Rahmen eines Gesetzes schwer umzusetzen.

Die Begrenzung des Gesetzes auf kritische Infrastrukturen ist dabei ein Kritikpunkt an sich. Denn eigentlich, sollte man meinen, ist IT-Sicherheit für alle ein maßgeblicher Faktor. Denn wenn eine Vielzahl an Unternehmen, die vielleicht für sich genommen nicht kritisch wären, von einem Angriff betroffen ist, kann das in der Masse einen ebenso kritischen Vorfall darstellen wie beispielsweise ein Angriff auf einen einzelnen, großen Energieversorger. Ebenso wichtig für die IT-Sicherheit sind diejenigen, die Komponenten für IT-Systeme liefern, auf deren Basis die Betreiber arbeiten müssen. Existieren beispielsweise Sicherheitslücken in verwendeter Hard- oder Software, hat ein Betreiber eines Unternehmens wenig Handhabe, das ITSG hilft ihm dabei nicht.

Inwiefern der Gesetzesentwurf helfen kann, proaktiv Angriffe zu bekämpfen bleibt fraglich und so stellten einige der Sachverständigen in Frage, ob eine vorgesehene nachträgliche Meldepflicht ausreichend ist, wenn Angreifer sich normalerweise nicht darauf beschränken, Infrastrukturen nacheinander anzugreifen, sondern dies in der Regel parallel erfolgt. Was die Wirksamkeit des Gesetzes darüberhinaus behindern könnte, sind die mangelnden Sanktionierungsbefugnisse. Denn gibt es keinen wirtschaftlichen Anreiz, Sanktionen zu vermeiden, da schlichtweg keine vorgesehen sind, ist es fraglich, ob Unternehmen mitunter intensive Investitionen in IT-Sicherheit tätigen werden.

Ein anderes, viel angesprochenes Thema sind die Speicherbefugnisse für Telemedien- und Telekommunikationsanbieter bezüglich Verkehrsdaten nach §100 TKG, die zur Angriffserkennung gewährt werden sollen. Hier ist eine Konkretisierung und Beschränkung der Befugnisse dringend erforderlich, um nicht eine Vorratsdatenspeicherung durch die Hintertür einzuführen.

Ob eine Verabschiedung des IT-Sicherheitsgesetzes zum aktuellen Zeitpunkt überhaupt sinnvoll ist, wurde aufgrund der aktuell debattierten NIS-Richtlinie an mehreren Stellen angezweifelt. Die NIS-Richtlinie stellt quasi das europäische Äquivalent des ITSG und damit Mindeststandards dar. Bei Widersprüchen müsste das ITSG nachgeregelt werden, manche sehen das ITSG jedoch als mögliche Vorlage für die europäische Regelung.

Worin sich alle Beteiligten einig waren ist der Punkt, dass eine Regelung von IT-Sicherheitsstandards dringend geboten ist. Dass das IT-Sicherheitsgesetz in der aktuellen Entwurfsfassung das gebotene Mittel ist, ist jedoch unwahrscheinlich.