Deutscher Industrie- und Handelskammertag

Transkript

1 Deutscher Industrie- und Handelskammertag 3 Referentenentwurf des Bundesministerium des Innern: Entwurf eines Gesetzes zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz) Das Bundesministerium des Innern hat dem Deutschen Industrie- und Handelskammertag (DIHK) am 4. November 2014 den Referentenentwurf eines Gesetzes zur Erhöhung der Sicherheit informationstechnischer Systeme zugeleitet und um Stellungnahme gebeten. Wir bedanken uns für die Gelegenheit, unsere Einschätzung darzulegen. Aufgrund der kurzen Stellungnahmefrist von wenigen Tagen kann es sich hierbei noch nicht um eine abschließende Beurteilung handeln. Der DIHK unterstützt den Ansatz des Gesetzgebers, die Widerstandsfähigkeit des Landes gegenüber der Vielzahl von Bedrohungen im Cyberraum zu stärken. In der Tat müssen die Netze und IT-Systeme sicherer gemacht werden, denn die Zahl von Netzstörungen, Internetangriffen und sicherheitsrelevanten Zwischenfällen ist in den letzten Jahren erheblich gestiegen. Dies gilt insbesondere, wenn es um die IT-Sicherheit von kritischen Infrastrukturen geht, denn von Schäden in diesem Bereich geht immer zugleich auch ein Risiko für andere Unternehmen und das Gemeinwesen aus. Um den Schutz wichtiger Einrichtungen des Gemeinwesens zu gewährleisten, ist es ein richtiger Schritt, IT-Sicherheitsstandards für kritische Infrastrukturen zu etablieren. Eine gesetzliche Grundlage bedeutet für die betroffenen Unternehmen auch Rechtssicherheit und damit die Chance, zukunftssicher zu planen. Wir begrüßen die vorgesehene Stärkung des BSI als zentrale Behörde zur Bündelung und Auswertung von Informationen zur Cybersicherheit in Deutschland. Dabei sind wesentlich aus unserer Sicht: ein vertrauensvoller Informations- und Erfahrungsaustausch, ein einheitliches Bewertungsschema für Sicherheitsvorfälle (Kritikalität, Impact etc.), abgestimmte Reaktionen bei übergreifenden Sicherheitsvorfällen sowie eine transparente aussagekräftige Beschreibung der aktuellen Sicherheits- bzw. Bedrohungslage der kritischen Infrastrukturen. Verständlicherweise sind Unternehmen sehr zurückhaltend mit der Meldung erlittener Angriffe. Der DIHK hat im Oktober 2014 Unternehmen aus den in den Erläuterungen des Referentenentwurfs genannten Branchen zur Zusammenarbeit mit Sicherheitsbehörden befragt. Ein Großteil der - 1 -

2 Unternehmen, die an der Befragung teilgenommen haben, wären demnach bereit, Sicherheitsvorfälle zu melden unter bestimmten Voraussetzungen: 1. die absolute Vertraulichkeit der Information muss gewährleistet sein, die Meldungen müssen anonymisiert abgegeben werden können, 2. die Unternehmen erwarten einen Mehrwert von der Zusammenarbeit, z. B. als konkrete Warnhinweise, 3. es muss rechtssicher geregelt sein, dass nur wirklich schwerwiegende Fälle gemeldet werden müssen und 4. der Aufwand für die Meldungen muss sich in Grenzen halten. Ein erster richtiger Schritt besteht darin, eine Vertrauensbasis herzustellen, die Grundlage für eine Diskussion und Zusammenarbeit privater Unternehmen und öffentlicher Stellen ist diese wird von den Unternehmen grundsätzlich als wünschenswert erachtet. Ein sinnvoller Ansatz wäre, bestehende Initiativen wie die Allianz für Cybersicherheit auszubauen und stärker bei den Unternehmen bekannt zu machen. Darüber hinaus muss organisatorisch sichergestellt sein, dass unternehmensrelevante Informationen nicht in falsche Hände (z. B. ausländische Nachrichtendienste) geraten und transparent ist, was mit den Meldungen geschieht. Wir hatten bereits in unserer Stellungnahme zu den Eckpunkten des Bundesministeriums des Innern zu zentralen Regelungsinhalten zur Verbesserung der IT-Sicherheit und zum ersten Referentenentwurf vom März 2013 darauf hingewiesen, dass das gesetzgeberische Ziel sich bei der Umsetzung widerspiegeln muss. An einigen Stellen des Gesetzentwurfes entsteht der Eindruck, dass Lücken bestehen (z. B. fehlende Service Level Agreements des BSI für Warnmeldungen), und an anderen Stellen scheint man über das Ziel hinauszuschießen (z. B. weitreichende Verpflichtungen auch für kleine Webseitenbetreiber). Eine nationale Gesetzgebung kann nur begrenzte Schutzwirkung gegen die meist internationalen Risikopotenziale entfalten. Auf jeden Fall sollte eine Abstimmung auf europäischer Ebene erfolgen wie sie derzeit in der Legislativinitiative zur Netz- und Informationssicherheit im Rahmen der Digitalen Agenda der EU-Kommission angestrebt wird. Es darf nicht zu Wettbewerbsverzerrungen aufgrund unterschiedlicher nationaler Regelungen in der EU kommen. Zudem stellt sich die grundsätzliche Frage, wie Anwender im Bereich kritischer Infrastrukturen für die Sicherheit haften können, wenn sie keinen vollständigen Zugriff auf alle zugrunde liegenden Systemkomponenten haben (Stichwort z. B. TCG-2.0-Spezifikation)

3 Zu den Regelungsvorschlägen im Einzelnen: E.2 Erfüllungsaufwand für die Wirtschaft Das BMI geht davon aus, dass nur für die Unternehmen zusätzlicher Aufwand entsteht, die noch kein hinreichend hohes Niveau an IT-Sicherheit bzw. keine entsprechenden Meldewege etabliert haben. Insbesondere im Hinblick auf die weiteren Verpflichtungen für Telekommunikationsanbieter ist aber davon auszugehen, dass über technische Vorkehrungen hinaus gehende organisatorische Anpassungen (z. B. die ständig verfügbaren Kontaktstellen, Nutzung einer gemeinsamen Ansprechstelle) zusätzliche Kosten verursachen werden. Das sollte im Gesetzentwurf entsprechend gewürdigt werden. Nach dem dem Referentenentwurf beigefügten Anschreiben soll der Aufwand für die Wirtschaft im Vorfeld kalkuliert werden. Die tatsächliche Betroffenheit der Unternehmen soll aber erst später durch Rechtsverordnung festgelegt werden. Aus dieser Vorgehensweise ergeben sich praktische Schwierigkeiten. Der Entwurf einer Rechtsverordnung zum Anwendungsbereich des Gesetzes muss parallel zur Ausarbeitung des Gesetzentwurfes diskutiert werden. Mit den dann verfügbaren Informationen würde die Betroffenheit im Vorfeld viel transparenter werden. Das könnte die Akzeptanz in der Wirtschaft verbessern. Artikel 1, Nr. 7 ( 7a BSI-Gesetz) In 7a BSI-Gesetz fehlt im neuen Entwurf jeglicher Bezug zu den Betreibern Kritischer Infrastrukturen also dem wesentlichen Regelungsgegenstand des Gesetzes. Vielmehr wird das BSI hier mit einer generalklauselartigen, anlassunabhängigen Marktbeobachtungsfunktion ausgestattet, die bisher nicht zu seinen Aufgaben gehört. Wir erwarten, dass Anlass, Ablauf, Zweckbestimmung, Grenzen und die Modalitäten zur Informationsweitergabe klar umrissen werden. Artikel 1, Nr. 8 ( 8a bis d BSI-Gesetz) Die Betreiber Kritischer Infrastrukturen haben Sicherheitsvorkehrungen nach dem Stand der Technik zu treffen. Wir erkennen an, dass ein Referenzpunkt grundsätzlich schwierig zu definieren ist. Ein Versuch wird in den Erläuterungen zu 8a BSI-Gesetz gemacht. Allerdings kann es noch immer vorkommen, dass selbst wenn die Systeme nach dem Stand der Technik sicher sind, doch Angriffe erfolgen können, die dem Stand der Technik einen Schritt voraus sind

4 Die vorgesehenen 2 Jahre Übergangsfrist zur Umsetzung der geforderten Mindeststandards nach Inkrafttreten des Gesetzes sind viel zu kurz. Die potenziell betroffenen Unternehmen rechnen damit, dass der größte Teil dieses Zeitraums für die Ausgestaltung der jeweiligen branchenspezifischen Mindeststandards und die Zulassung durch das BSI erforderlich ist. Damit bleibt den Unternehmen zu wenig Zeit für eine angemessene Umsetzung. Wir empfehlen daher eine Verlängerung der Übergangsfrist. Diese sollte erst dann beginnen, wenn die Mindeststandards festgelegt sind. Gleiches gilt für die vorgesehene Frist von 2 Jahren zur ersten Erfüllung der geforderten Nachweispflichten. Externe Zertifizierungen und Prüfbestätigungen sind mit erheblichen Kosten verbunden, deshalb sollten auch bestehende Ergebnisse eines internen ITK-Risikomanagements als Nachweise anerkannt werden. Wir erkennen ausdrücklich an, dass der Entwurf eine unserer zentralen Forderungen aufgreift und zumindest pseudonymisierte Meldungen von Sicherheitsvorfällen vorsieht, die zu einem Ausfall oder einer Beeinträchtigung der Kritischen Infrastrukturen führen können. Richtig ist, dass für einfache und unkomplizierte Meldewege die bereits mit dem UP KRITIS etablierten gemeinsamen Ansprechstellen genutzt werden können. Für diejenigen Unternehmen, die neu dem Anwendungsbereich des Gesetzes unterfallen, und noch keinen der bestehenden SPOCs nutzen, werden zusätzliche Kosten entstehen, wenn sie einen solchen nutzen wollen. Artikel 1, Nr. 9 ( 10 BSI-Gesetz) Mit der noch ausstehenden Ausgestaltung der Rechtsverordnung bleiben zentrale Fragen des Gesetzentwurfes im Unklaren und können somit nicht beurteilt werden. Wir empfehlen, den Anwendungsbereich des Gesetzes möglichst restriktiv und mit Blick auf technologische Entwicklungen zu fassen. In den Erläuterungen zu den Kriterien zur Bestimmung der Kritischen Infrastrukturen werden beispielsweise im Gesundheitssektor medizinische Labore aufgeführt, aber nicht z. B. die Telematikinfrastruktur im Gesundheitsbereich oder ehealth-anwendungen. Obwohl wir davon ausgehen, dass in Zusammenarbeit mit den entsprechenden Ministerien und Branchenverbänden diese Entwicklungen berücksichtigt werden, erschwert die erste grobe Liste im Referentenentwurf eine Beurteilung der Angemessenheit der Verpflichtungen. Wenn zu den Unternehmen, für die das Gesetz gelten soll, auch Verarbeitung und Speicherung von Daten (Branche: Informationstechnik im Sektor Informationstechnik und Telekommunikation) gehören sollen, dann wären das nahezu alle Unternehmen, die Software herstellen/betreiben (Cloudservices, Software as a service). Dann wären auch viele Unternehmen erfasst, die nicht unter - 4 -

5 die Definition der Kleinstunternehmen (weniger als 10 Mitarbeiter, Jahresumsätze nicht mehr als 2 Mio. Euro) fallen. Wir bitten darauf zu achten, dass es hier nicht zu unerheblichen Belastungen einer Branche kommt, die sich gerade erst entwickelt. Nicht nachvollziehbar ist, warum staatliche Einrichtungen vom Anwendungsbereich ausgenommen sind sind sie doch auch Betreiber Kritischer Infrastrukturen. Öffentliche Betriebe dürfen nicht aufgrund der staatlichen Eigentümerschaft aus gesetzestaktischen Erwägungen zum Einfallstor werden. Artikel 1, Nr. 10 ( 13 BSI-Gesetz) Die Begründung führt richtig an, dass die "Aufklärung und Sensibilisierung der Öffentlichkeit eine zentrale Rolle für die Erhöhung der IT-Sicherheit in Deutschland" spielt. Zu befürchten ist, dass eine jährliche Unterrichtung zu veralteten und pauschalen Berichten mit weitgehend bekannten Informationen führt, die wenig zur Sensibilisierung der Öffentlichkeit beitragen. Aus solchen Berichten lassen sich voraussichtlich auch keine relevanten Erkenntnisse für die Zukunft ableiten, da die Szenarien sich mit wachsender Geschwindigkeit weiter entwickeln. Sinnvoller wäre ein monatlicher Bericht zur IT-Sicherheit, ähnlich dem von der Agentur für Arbeit monatlich abgegebenen Arbeitsmarktbericht. Die Entwicklung des IT-Sicherheits-Themas hat ein ähnliches öffentliches Interesse mit Bedeutung sowohl für die Wirtschaft als auch für die Bürger. Artikel 2 (Telemediengesetz) Die geplante Änderung des Telemediengesetzes wird zumindest in dieser Form von uns abgelehnt. Die Vorgaben für Anbieter von Telemediendiensten schießen über das Ziel hinaus sowohl was den Adressatenkreis betrifft (schon jeder kleine Verein oder eine Privatperson, die Werbebanner auf der Webseite hat), als auch in Bezug auf die Reichweite der Verpflichtung: Anbieter von Telemediendiensten sollen verpflichtet werden sicherzustellen, dass kein unerlaubter Zugriff auf ihre Telekommunikations- und Datenverarbeitungssysteme möglich ist. Eine solche umfassende Sicherheitsgarantie ist kaum zu erfüllen und unverhältnismäßig, insbesondere in Bezug auf kleine und kleinste Diensteanbieter. Hinzu kommt, dass die unangemessene Verpflichtung nun auch noch mit einer Bußgeldandrohung unterfüttert ist. Wir gehen davon aus, dass dies nicht im Sinne des Gesetzgebers sein kann und fordern den Gesetzgeber auf, den Entwurf an dieser Stelle mindestens zu entschärfen

6 Grundsätzlich stellt sich die Frage, ob mit der Update-Pflicht für Webseiten überhaupt eine relevante Schutzwirkung für die Allgemeinheit erzeugt werden kann. Infizierte Webseiten sind lediglich ein Teilbereich einer längeren Kette von potenziellen Software-Schwachstellen. Ihre tatsächlich schädigende Wirkung hängt von weiteren Faktoren ab. Zu einem Großteil erfolgt die Infektion von Rechnern durch mangelnde Software-Aktualität beim Nutzer und nur zum Teil durch deutsche Telemediendienste. Schließlich stellt sich die Frage, ob nicht die Mehrzahl der infizierten Webseiten von ausländischen Servern abgerufen und damit nicht von der Verpflichtung nach dem TMG erfasst wird. Ansprechpartnerin im DIHK: Dr. Katrin Sobania, Tel , - 6 -