Positionspapier: Berlin, 31. März Gesetzliche Bestrebungen zur Erhöhung der IT-Sicherheit

Transkript

1 Positionspapier: Berlin, 31. März 2014 Gesetzliche Bestrebungen zur Erhöhung der IT-Sicherheit eco Verband der deutschen Internetwirtschaft e.v. versteht sich als Interessenvertreter und Förderer aller Unternehmen, die mit oder im Internet wirtschaftliche Wertschöpfung betreiben. Der Verband vertritt derzeit rund 700 Mitgliedsunternehmen. Hierzu zählen unter anderem ISP (Internet Service Provider), Carrier, Hard- und Softwarelieferanten, Content- und Service-Anbieter sowie Kommunikationsunternehmen. eco ist damit der größte nationale Internet Service Provider-Verband Europas. Auf nationaler sowie auf europäischer Ebene gab und gibt es Bestrebungen für weitere gesetzliche Regelungen in Bezug auf IT-Sicherheit. Auf Bundesebene hatte das Bundesministerium des Innern am 5. März 2013 einen Entwurf eines Gesetzes zur Erhöhung der Sicherheit informationstechnischer Systeme vorgelegt. Am 14. Juni 2013 fand hierzu eine Anhörung statt, in der auch eco die Gelegenheit zur Stellungnahme wahrnahm. Der Gesetzgebungsprozess für den Entwurf des sogenannten IT-Sicherheitsgesetzes ist vor der Wahl des 18. Deutschen Bundestages jedoch nicht abgeschlossen worden. Auf europäischer Ebene hat die EU-Kommission im Februar 2013 den Entwurf einer Richtlinie über Maßnahmen zur Gewährleistung einer hohen gemeinsamen Netz- und Informationssicherheit vorgestellt, dass Gesetzgebungsverfahren kann nach der Wahl des neuen europäischen Parlaments abgeschlossen werden. Im Koalitionsvertrag hat sich die Bundesregierung auf die Etablierung eines IT-Sicherheitsgesetzes geeinigt. Darüber hinaus hat die Bundesregierung vielfältige Handlungs- und Prüfaufträge mit Bezug zur IT-Sicherheit im Koalitionsvertrag festgehalten. Im Einzelnen: Die Bundesregierung will für eine europäische Cybersicherheitsstrategie eintreten, es wird angestrebt, den Rechtsrahmen für die IT-Sicherheit auf EU-Ebene zu vereinheitlichen, was auch die Standardisierung von IT-Sicherheit betreffen soll. Es sollen verbindliche Mindestanforderungen an die IT-Sicherheit kritischer Infrastrukturen sowie eine Verpflichtung zur Meldung erheblicher IT-Sicherheitsvorfälle geschaffen werden. Angebote eines nationalen bzw. europäischen Routings sollen geprüft werden. Seite 1 von 8

2 Für Internetprovider soll eine Hinweispflicht eingeführt werden, wenn sich bei ihren Kunden Hinweise auf Schadprogramme oder andere Missbräuche ergeben. IT-Hersteller und -Diensteanbieter sollen für Datenschutz- und IT-Sicherheitsmängel ihrer Produkte haften. Europäische Telekommunikationsanbieter sollen verpflichtet werden, ihre Kommunikationsverbindungen mindestens in der EU zu verschlüsseln. Es soll sichergestellt werden, dass europäische Telekommunikationsanbieter ihre Daten nicht an ausländische Nachrichtendienste weiterleiten dürfen. Die Bundesregierung will sich auch für eine Stärkung der Transparenz der Standardisierungsgremien und eine stärkere deutsche Beteiligung in diesen und anderen internationalen Gremien, besonders solchen der Internetarchitektur und Internet Governance einsetzen. Die Entwicklung vertrauenswürdiger IT- und Netzinfrastruktur soll unterstützt werden. IT- und TK-Sicherheit sollen zusammengeführt werden. Dazu soll das Bundesamt für Sicherheit in der Informationstechnik (BSI) als nationale IT-Sicherheitsbehörde in seinen Aufgaben, Kompetenzen und Ressourcen gestärkt werden. Vorgeschlagen wird eine Zertifizierung von Cloud-Infrastrukturen und anderen sicherheitsrelevanten Systemen und Diensten. Ausgebaut werden soll die Weiterentwicklung und Verbreitung von Chipkartenlesegeräten, Kryptographie, D und anderen sicheren Ende-zu-Ende Verschlüsselungen sowie vertrauenswürdiger Software. Vor dem Hintergrund des durch die Bundesregierung angekündigten neuen Entwurfs und der dahingehenden Vereinbarungen im Koalitionsvertrag möchte eco die Gelegenheit nutzen, um die Position der Interwirtschaft darzulegen: Zusammenfassung der Positionen: Nationale Alleingänge vermeiden, Verantwortlichkeiten beachten, europäische und internationale Standards schaffen. Notwendig sind klare gesetzliche Definitionen, damit Rechtsicherheit gewährleistet ist. Risikobasierte Festlegung des Adressatenkreises bei Beachtung schon bestehender branchenspezifischer Verpflichtungen. Seite 2 von 8

3 Keine Erweiterung der bestehenden Meldepflichten für Betreiber von TK-Netzen und TK-Diensten. Keine Erweiterung der Haftung von Telemediendiensteanbietern. Freiwillige, verschlüsselte und anonymisierte Meldungen auf Grundlage des bestehenden Informationsaustausches. Hinweise an Kunden von Internetprovidern bei Hinweisen auf Schadprogramme können sinnvoll sein, wenn sie freiwillig erfolgen, starre bürokratische Hinweispflichten lehnt die Internetwirtschaft als ineffektiv und nicht praxistauglich ab. Gesetzliche Verpflichtungen für ein regionales Routing auf ihren Nutzen eingehend und kritisch prüfen. Branchenspezifische Mindestanforderungen im Wege der Selbstregulierung festlegen. Ende-zu-Ende-Verschlüsselung fördern. I. Allgemeines Nationalen Alleingänge vermeiden, Verantwortlichkeiten beachten: IT-Sicherheit ist für die Internetwirtschaft schon seit Jahren ein essenzielles Thema. In Deutschland existiert ein überdurchschnittlich hohes Sicherheitsniveau im Vergleich zu anderen Ländern. Dies ist wesentlich auf partnerschaftliche Projekte zwischen Wirtschaft und Staat auf nationaler und europäischer Ebene sowie Initiativen der Internetwirtschaft zurückzuführen. Die Verantwortung für ein hohes Maß an IT-Sicherheit ist wie alle Sicherheitsfragen jedoch eine gesamtgesellschaftliche Aufgabe. Im Zentrum der Bestrebungen der Bundesregierung sollten daher auch die Schutzpflicht und Verantwortlichkeit des Staates bei der Gewährleistung von IT-Sicherheit, eine Forschungs-, Entwicklungs- und Ausbildungsoffensive im Bereich IT-Sicherheit sowie die Schaffung eines verstärkten zivilgesellschaftlichen Bewusstseins für IT-Sicherheit stehen. Gerade die Überwachungsund Ausspähaffäre um die Enthüllungen der Tätigkeit der NSA zeigt, dass IT-Sicherheit nicht nur nationale, sondern internationale Verantwortung bedeutet und dass der Internetwirtschaft, trotz aller Bemühungen um ein hohes IT-Sicherheitsniveau, politische Grenzen gesetzt sind. IT-Sicherheit im Zeitalter allgegenwärtiger Vernetzung ist zudem nicht durch nationale Regelungen und/oder regional begrenzte Schutzmaßnahmen zu gewährleisten. IT-Sicherheit setzt vielmehr internationale Bestimmungen und Standards sowie über Staatsgrenzen hinaus wirkende Sicherheitsmaßnahmen voraus. Im Hinblick auf die europäischen Gesetzgebungsbestrebungen für eine Richtlinie über Seite 3 von 8

4 Maßnahmen zur Gewährleistung einer hohen gemeinsamen Netz- und Informationssicherheit ( NIS- Richtlinie ) muss eine Abstimmung und Verzahnung der Verpflichtungen und Reglungen erfolgen. Etwaige Ideen eines nationalen Alleingangs Deutschlands, der nicht zur Rechtsklarheit beiträgt und unnötige bürokratische Mehrfachvorschriften schafft, sollte die Bundesregierung daher gründlich überdenken. II. Im Einzelnen 1. Zum Vorschlag der Schaffung verbindlicher Minderheitsanforderungen an die IT-Sicherheit kritischer Infrastrukturen sowie eine Verpflichtung zur Meldung erheblicher IT- Sicherheitsvorfälle. Im Hinblick auf die stetig wachsenden und neuen Herausforderungen bei der Gewährleistung von IT- Sicherheit und die hohe Abhängigkeit der deutschen Wirtschaft von einer funktionierenden IT- Infrastruktur begrüßt eco grundsätzlich Bestrebungen der Bundesregierung, die Wirtschaft bei der Erhöhung der IT-Sicherheit zu unterstützen. Gesetzliche Regelungen für den Bereich KRITIS können hier flankierend hilfreich sein, insbesondere rechtfertigt das Gefahrenpotenzial eines Ausfalls auch weitreichende Verpflichtungen für Betreiber. Klare gesetzliche Definitionen Notwendig ist eine klare gesetzliche Definition der KRITIS. Die Definitionskriterien für kritische Infrastrukturen sollten im Hinblick auf die Tragweite für den betroffenen Adressaten Gegenstand eines formellen Gesetzes sein. Zudem sind klare gesetzliche Festlegungen hinsichtlich der zu gewährleistenden Mindestanforderungen zur Gewährleistung der IT-Sicherheit nötig. Notwendig ist auch eine präzise Definition des die Meldepflicht auslösenden Tatbestandes. Es muss eine praxistaugliche Definition eines erheblichen IT-Sicherheitsvorfalles gefunden werden. Der Adressatenkreis sollte sich branchenübergreifend am Sicherheitsrisiko des Anbieters bzw. Dienstleisters orientieren, bereits bestehende branchenspezifische Sicherheitsvorgaben müssen dabei berücksichtigt werden. Keine Erweiterung der bestehenden Meldepflichten für Betreiber von TK-Netzen und TK- Diensten. Allein ein mehr an gesetzlichen Verpflichtungen führt jedoch nicht zu mehr Sicherheit. Der jetzt schon bestehende Austausch von Informationen über IT-Sicherheitsvorfälle ist notwendig und liegt im ureigenen Interesse der gesamten Internetwirtschaft. Neue Meldepflichten müssen daher zweckmäßig und wirtschaftlich realisierbar sein. Seite 4 von 8

5 Eine Ausweitung der Meldeverpflichtungen für Betreiber öffentlich zugänglicher Telekommunikationsdienste über die bereits bestehende Verpflichtung zur Meldung von Störungen mit beträchtlichen Auswirkungen auf den Betrieb des Netzes bzw. auf das Erbringen von Diensten ( 109 Abs. 5 S.1 TKG) sowie bei Verletzungen des Schutzes personenbezogener Daten ( 109a Abs.1 TKG) steht die Internetwirtschaft daher äußerst kritisch gegenüber. Im Hinblick auf das mit der gesetzlichen Verpflichtung verfolgte Ziel des Gesetzgebers ein verbessertes Lagebild zur IT- Sicherheit zu erreichen, ist eine gesetzliche Verpflichtung zur Meldung sämtlicher IT-Sicherheitsvorfälle, die zu Störungen der Verfügbarkeit oder zu einem unerlaubten Zugriff auf die Systeme der Nutzer führen können 1, nicht erforderlich und damit auch nicht gerechtfertigt. Während die bestehende Verpflichtung zur Meldung von Verletzungen des Schutzes personenbezogener Daten aufgrund des betroffenen Schutzgutes, nämlich der Privatsphäre des Betroffenen, gerechtfertigt ist, sind derartige gesetzliche Verpflichtungen bei allen IT-Sicherheitsvorfällen, im Hinblick auf den Zweck der Regelung, nämlich der besseren Information des Bundes über die aktuelle IT-Sicherheitslage, nicht erforderlich. Ausreichend und damit ein weniger eingriffsintensives milderes Mittel sind freiwillige Meldungen. Freiwillige, anonymisierte und verschlüsselte Meldungen eco ist der Auffassung, das das bestehende freiwillige Informationssystem, das bereits heute unter Beteiligung des BSI im Netzwerk staatlicher und privater CERTs sowie bei Einrichtungen wie der Allianz für Cybersicherheit und auch dem Advanced Cyber Defense Center besteht, erweitert und gefördert werden sollte. Zum Schutz von Unternehmensdaten sollten anonymisierte und verschlüsselte Meldungen erfolgen, um einen effektiven und vor allem vertrauensvollen Informationsaustausch zu ermöglichen. Rechtssicherer Informationsaustausch Notwendig ist es insoweit auch, gesetzliche datenschutz- und wettbewerbsrechtliche Erlaubnistatbestände zu prüfen, um sicher- bzw. klarzustellen, dass die Informationsweitergabe nicht mit einem erhöhten Haftungsrisiko einhergeht. Die Meldungen dürfen auch nicht mit höheren operativen oder sicherheitstechnischen Risiken verbunden sein. 1 So angelegt im Entwurf für ein IT-Sicherheitsgesetz vom 5. März Seite 5 von 8

6 2. Zu den Überlegungen im Hinblick auf gesetzliche Verpflichtung für ein regionales Routing des Datenverkehrs Die vielfältigen Überlegung für ein regionales Routing des Datenverkehrs muss aufgrund der Komplexität der mit dieser Diskussion verbundenen Fragestellungen durch die Bundesregierung eingehend und kritisch geprüft werden. Entscheidende Kriterien einer solchen Prüfung sollten dabei deren Praktikabilität und Umsetzbarkeit unter Berücksichtigung der Realitäten der Netzinfrastrukturen sein. Hierbei sind insbesondere auch die damit verbundenen technischen, rechtlichen und ökonomischen Implikationen und Auswirkungen zu berücksichtigen. Aufgrund der Auswirkungen auf alle Unternehmen die mit oder im Internet wirtschaftliche Wertschöpfung betreiben, sieht es eco als seine Aufgabe an, die Diskussion um die Thematik zu versachlichen und auf eine fundierte Basis zu stellen. eco wird hierzu einen direkten Dialog und Austausch der Beteiligten initiieren. Ziel der Diskussion soll sein, eine Bestandaufnahme im Hinblick auf die technische und wirtschaftliche Umsetzbarkeit dieser Thematik gesondert zu erarbeiten und schriftlich darlegen. Hiermit will eco einen konstruktiven Beitrag leisten, die bestehende Diskussion auf eine breitere Grundlage zu stellen und die Diskussion zu versachlichen. 3. Zum Vorschlag der Einführung einer Hinweispflicht für Internetprovider, wenn sich bei ihren Kunden Hinweise auf Schadprogramme oder andere Missbräuche ergeben. eco lehnt eine gesetzliche Verpflichtung der Telekommunikationsanbieter zur Information solcher Nutzer, von deren Datenverarbeitungssystemen Störungen ausgehen, ab. Die etwa im Entwurf vom 5. März 2013 angestrebte umfassende Hinweispflicht entpuppt sich als universeller Beratungsauftrag, zu dessen Erfüllung gerade kleine und mittelständische Provider in diesem umfassenden Ausmaß unmöglich in der Lage sein werden. Die Beschränkung auf technisch mögliche und zumutbare Fälle wäre indes nicht geeignet, die Handlungspflichten der Provider mit hinreichender Rechtssicherheit einzugrenzen. Auch eine etwaige Ausweitung der technischen Verantwortlichkeit für den Schutz vom ITK-Systemen auf sämtliche Anbieter im Anwendungsbereich des Telemediengesetzes (TMG) die geschäftsmäßig oder in der Regel gegen Entgelt tätig sind, lehnt eco ab. Der etwa in dem Gesetzesentwurf von 5. März 2013 umschriebene Adressatenkreis ist im Hinblick auf die Vielfalt von Angeboten von Telemediendiensten zu weit gefasst bzw. zu unbestimmt. Hier könnte allein die Funktionshoheit über den ITK-Dienst ein maßgeblicher Anknüpfungspunkt sein. Die begründete Besorgnis vor der zunehmenden Verbreitung von Schadsoftware über Telemediendienste darf nicht zu einer uferlosen Verantwortlichkeit vom Telemedienanbietern für die technische Infrastruktur führen. Als zumindest fragwürdig empfindet die Internetwirtschaft dabei etwa die in dem Gesetzesentwurf vom 5. März 2013 enthaltene Begründung, dass unbestimmte Rechtsbegriffe wie etwa die Zumutbarkeit eine flexible Seite 6 von 8

7 Anpassung etwa durch die Rechtsprechung ermöglichen. Bevor Wirtschaft und Rechtsprechung mit hohem zeitlichen und finanziellem Aufwand zur Rechtsfindung gezwungen sind, wäre es wünschenswert, hier präzisere Regelungen zu erarbeiten. Bestehende Aktivitäten fördern eco plädiert vielmehr dafür, die bisherigen Aktivitäten der Wirtschaft wie etwa das Anti-Botnetz- Beratungszentrum, die Initiative-S sowie das Advanced Cyber Defense Centre weiter zu unterstützen und zu vernetzen. Die Initiativen haben zu einem deutlichen Rückgang der Anzahl infizierte Rechner privater Nutzer geführt. Initiativen der Selbstregulierung basieren auf den praktischen Erfahrungen der Wirtschaft und sind, anders als gesetzliche Regelungen, in der Lage, Maßnahmen flexibel dort anzubringen, wo sie notwendig erscheinen. Unklare gesetzliche Verpflichtungen führen nicht automatisch zu besseren Ergebnissen. Zum Vorschlag für eine Erweiterung der Haftung von IT-Herstellern und Diensteanbietern Der im Koalitionsvertrag enthaltenen Ankündigung der Bundesregierung, die Haftung von IT- Herstellern und Diensteanbietern erweitern zu wollen, steht eco kritisch gegenüber. Im Hinblick auf die der Ankündigung zugrunde liegende Annahme einer Haftungslücke in diesem Bereich möchte eco auf die allein schon aufgrund der jeweiligen rechtsgeschäftlichen Verbindung zwischen Anbieter und Nutzer bestehende schuldrechtliche Haftung bzw. die Haftung nach dem Produkthaftungsgesetz hinweisen. Im Hinblick auf eine Erweiterung der Haftung vom Telemediendienstanbietern verweisen wir auf die Ausführungen unter Ziff Zum Vorschlag einer gesetzlichen Verpflichtung von TK-Betreibern zur Verschlüsselung ihrer Kommunikationsverbindungen Hierbei ist zunächst zwischen der Verschlüsselung einzelner Kommunikationswege und einer Endezu- Ende-Verschlüsselung des gesamten Kommunikationsweges zu unterscheiden. Eine gesetzliche Verpflichtung von TK-Netzbetreibern zur Verschlüsselung einzelner Kommunikationswege lehnen wir als weder praktikabel noch zielführend ab. Demgegenüber ist die Förderung sicherer Ende-zu-Ende- Verschlüsselung ein sinnvoller Ansatz zur Erhöhung der IT-Sicherheit, gerade aufgrund der damit verbundenen Erhöhung des Aufwandes für viele Bedrohungsszenarien, vom gewöhnlichen Kriminellen bis zum Geheimdienst. Hierbei ist jedoch zu berücksichtigen, dass bei der Umsetzung von Ende-zu-Ende Sicherheit immer die Endgeräte einbezogen werden müssen, die unter Kontrolle der Nutzer stehen. Insgesamt ist es wünschenswert, dass die Übertragung unverschlüsselter Daten Seite 7 von 8

8 abnimmt. Gesetzliche Verpflichtungen hierzu lehnen wir jedoch grundsätzlich ab. Im Vordergrund etwaiger Bestrebungen der Bundesregierung sollte die Förderung praxistauglicher Ende- zu-ende- Verschlüsselungen, Verschlüsselungsdienste und Verschlüsselungsanwendungen insbesondere für Verbraucher stehen. Insgesamt ist es notwendig, das gesamtgesellschaftliche Bewusstsein für IT- Sicherheit zu fördern. 5. Zum Vorschlag der Sicherstellung der Nicht-Weiterleitung an europäische Geheimdienste Auf europäischer und internationaler Ebene muss sich die Bundesregierung für die Verabschiedung einer Übereinkunft einsetzen, welche die Befugnisse und Grenzen des Tätigwerdens von Geheimdiensten und Sicherheitsbehörden sowie die Heranziehung und Inpflichtnahme von ITK- Unternehmen durch diese verbindlich regelt. Dies betrifft insbesondere auch den Umgang mit grenzüberschreitender Datenspeicherung bzw. Datenverarbeitung. Seite 8 von 8