Wie schon beim ersten IT-Sicherheitsgesetz (IT-SiG) geht es zum einen um die Ausweitung der Kompetenzen des BSI durch neue Paragraphen sowie zum anderen um Änderungen im BSI-Gesetz (BSIG) und entsprechend in Gesetzen über betroffene Branchen, hauptsächlich der Telekommunikation. Zwei Punkte sind dabei besonders interessant. Einerseits sind erste Ansätze zu erkennen, dem BSI in der Erfüllung seines Auftrags als zentrale deutsche IT- und Cyber-Security-Behörde mehr Handlungsmöglichkeiten einzuräumen, diese werden weiter unten beleuchtet. Andererseits wird neben den Kritischen Infrastrukturen (KRITIS), zu denen jetzt auch das Entsorgungswesen zählen soll, auf „Unternehmen im besonderen öffentlichen Interesse“ eingegangen, für die das BSI ebenfalls zentraler Ansprechpartner werden soll.

Unternehmen im besonderen öffentlichen Interesse und KRITIS

Es wird im Gesetzentwurf zwischen drei Arten dieser Unternehmen unterschieden. Grob gesagt sind das entweder solche, die mit Rüstung oder Gefahrgut zu tun haben oder es sind Unternehmen, die im besonderen volkswirtschaftlichen Interesse stehen. Was das genau heißt, soll durch eine separate Verordnung geklärt werden, für die dann, genau wie für die Rüstungsindustrie, die Regeln etwas schärfer sein werden.

Diese Unternehmen sind, ähnlich wie KRITIS-Betreiber, dem BSI bezüglich ihres Sicherheitskonzepts sowie schwerwiegender Sicherheitsvorfälle Rechenschaft schuldig. Wie gehabt muss es einen klaren Kommunikationskanal in das Unternehmen geben, über den das BSI im Gegenzug vor Gefahren warnen und über IT-Sicherheit informieren kann. Weiter soll das BSI auch im Katastrophenfall bei einer schnellen Wiederaufnahme des Betriebs behilflich sein.

Im Gegensatz zu Regelungen für KRITIS wird bei Unternehmen im besonderen öffentlichen Interesse aber die Leine wohl vorerst locker gehalten. Vorschriften über spezielle technische Vorkehrungen werden nicht formuliert, es wird lediglich auf den Stand der Technik und angemessene Schutzmaßnahmen verwiesen. Ebenfalls muss zwar alle zwei Jahre ein Sicherheitskonzept vorgelegt werden, zu diesem wird aber kein Nachweis verlangt.

Für die Betreiber kritischer Infrastrukturen ändert sich, dass bisherige Regelungen schärfer gefasst werden, insbesondere in ihrer Durchsetzbarkeit durch Bußgelder. Außerdem kann das BSI beispielsweise Unterlagen anfordern, die belegen, dass keine kritische Infrastruktur betrieben wird, falls es Grund zu der Annahme gibt, dass die unternehmensseitige Selbsteinschätzung, nicht KRITIS zu sein, falsch ist.

Und das Entsorgungswesen soll zur kritischen Infrastruktur werden, was zwar als winzige Änderung im Gesetzestext banal klingt, aber in der Konsequenz in entsprechenden Unternehmen eventuell sehr viel Arbeit bedeutet.

Erweiterung der Kompetenzfelder des BSI auf aktive Tätigkeiten

Aber nicht nur bei passiven Kontrollmöglichkeiten soll sich etwas ändern. Es sieht so aus, als solle das BSI in Zukunft eine aktivere Rolle in der deutschen IT-Sicherheitslandschaft spielen.

Speziell wird in der Gesetzesbegründung (etwa zum geplanten §7b BSIG [1]) als Beispiel mit Botnetzen argumentiert, unter anderem in Bezug auf IoT-Devices. Für den Fall, dass kritische Infrastrukturen von diesen angegriffen werden, sollen Provider durch das BSI angewiesen werden können, infizierte Geräte zu patchen und somit unschädlich zu machen.

Aber auch ohne konkrete Gefahr soll gegen Botnetze vorgegangen werden. Diese gehorchen zumeist einem Command-and-Control-Server. Bei dieser Kommunikation soll angesetzt und ein gesetzlicher Rahmen dafür geschaffen werden, dass Telekommunikationsanbieter auf Anweisung den entsprechenden Datenverkehr umleiten, damit er unschädlich gemacht und vom BSI analysiert werden kann. Diesbezüglich stand bisher eher das Informieren der Betreiber der infizierten Systeme im Vordergrund.

Das gilt ebenfalls für offene Schwachstellen, die noch nicht von Angreifern ausgenutzt worden sind. Das BSI soll die Nutzer solcher nicht abgesicherten Systeme zwar weiterhin durch die Provider nur informieren lassen, doch nun soll auch ein Rahmen dafür geschaffen werden, dass es aktiv nach diesen Schwachstellen sucht.

Die Implikationen für die Rolle des BSI könnte man zunächst als überschaubar abtun, schließlich bleibt die Hauptkonsequenz aus gefundenen Sicherheitslücken das Informieren der Betreiber bzw. Provider. Doch es dürfte interessant werden, wie sich diese Rolle nach dem geplanten Schritt in eine aktivere Richtung auch in weiterer Zukunft noch verändern wird.

Vorerst bleibt jedoch abzuwarten, ob und in welcher Form sich die Koalition auf das Gesetz einigen kann und wie sich dieser Entwurf ansonsten entwickelt. Das wird gegebenenfalls Geduld erfordern. Seit dem letzten Versuch ist schließlich auch schon über ein Jahr verstrichen.

Verweise

[1] siehe https://netzpolitik.org/2020/seehofer-will-bsi-zur-hackerbehoerde-ausbauen/