IT-Sicher­heits­ge­setz 2.0

Wir begrü­ßen das Vor­ha­ben der Bun­des­re­gie­rung, die Cyber­re­si­li­enz Deutsch­lands signi­fi­kant ganz­heit­lich zu stär­ken. Cyber- und IT-Sicher­heit müs­sen als gesamt­ge­sell­schaft­li­che Auf­ga­be von Staat, Wirt­schaft und Zivil­ge­sell­schaft ver­stan­den wer­den. Wir möch­ten hier­zu unse­ren Bei­trag auch wei­ter­hin leis­ten, denn für das stö­rungs­freie Funk­tio­nie­ren von hoch­gra­dig digi­ta­li­sier­ten Pro­zes­sen in Unter­neh­men ist einer hoher Grad an Cyber­si­cher­heit eine Grund­vor­aus­set­zung. Han­no­ver IT bezwei­felt jedoch, ob die­ses Ziel mit dem vor­lie­gen­den Refe­ren­ten­ent­wurf für ein zwei­tes IT-Sicher­heits­ge­setz erreicht wer­den kann.

Die IKT-Wirt­schaft hat natur­ge­mäß ein sehr hohes Eigen­in­ter­es­se, die Funk­ti­ons­fä­hig­keit und Ver­füg­bar­keit ihrer IT-Anwen­dun­gen und IT-Sys­te­me abzu­si­chern, nicht zuletzt um die eige­ne wirt­schaft­li­che Leis­tungs- und Wett­be­werbs­fä­hig­keit sicher­zu­stel­len. Daher spricht sich Han­no­ver IT für einen koope­ra­ti­ven Ansatz bei der Stär­kung der Cyber­re­si­li­enz des Wirt­schafts­stand­or­tes Deutsch­land aus.

IT-Sicher­heit ist nur dann zu erlan­gen, wenn alle Betei­lig­ten im Rah­men ihrer Mög­lich­kei­ten mit­wir­ken. Dabei ist zu berück­sich­ti­gen, dass das schwächs­te Glied in der Ket­te das Gesamt­ni­veau der IT-Sicher­heit bestimmt. In Bezug auf die Ver­tei­lung der Risi­ko­sphä­ren erscheint der ers­te Geset­zes­ent­wurf noch nicht hin­rei­chend aus­ge­wo­gen und ver­bes­se­rungs­wür­dig. Vie­le Risi­ken resul­tie­ren eben nicht aus der Sphä­re von Betrei­bern Kri­ti­scher Infra­struk­tu­ren, son­dern aus der Sphä­re von Pro­duk­ten und Ser­vices, die mit­tels der Kri­ti­schen Infra­struk­tur genutzt wer­den.

Es ist daher erfor­der­lich, dass alle Betei­lig­ten ent­spre­chend ihrer Pro­dukt­kri­ti­ka­li­tät und Mög­lich­keit, Sicher­heits­lü­cken abzu­stel­len, zur Ver­ant­wor­tung gezo­gen wer­den.

Dies vor­aus­ge­schickt sind aus Sicht von Han­no­ver IT mit Blick auf den vor­lie­gen­den Refe­ren­ten­ent­wurf ins­be­son­de­re fol­gen­de wei­te­re Punk­te kri­tisch zu beur­tei­len:

  • Feh­len­de Eva­lu­ie­rung des IT-Sicher­heits­ge­set­zes: Bevor ein zwei­tes IT-Sicher­heits­ge­setz initi­iert wird, wäre es ange­zeigt gewe­sen, das ers­te IT-Sicher­heits­ge­setz ein­ge­hend zu ana­ly­sie­ren. Hier­zu soll­te in struk­tu­rier­ter Form auch das Feed­back der bis­her betrof­fe­nen Wirt­schafts­tei­le und Unter­neh­men ein­ge­holt wer­den. Eine sol­che Eva­lu­ie­rung wür­de den zuvor ange­spro­che­nen koope­ra­ti­ven Ansatz deut­lich unter­strei­chen.
  • Mel­de­pflich­ten haben Lage­bild bis­her nicht ver­bes­sert: Die mit dem Ers­ten IT-Sicher­heits­ge­setz ein­ge­führ­te Mel­de­pflicht von Cyber­si­cher­heits­vor­fäl­len bei kri­ti­schen Infra­struk­tu­ren hat bis­her kei­ne wahr­nehm­ba­re Ver­bes­se­rung im Lage­bild gebracht. Das BSI hat bis­her kei­ne unter­jäh­ri­gen bran­chen­spe­zi­fi­schen Lage­bil­der ver­öf­fent­licht. Auch fehlt es an effi­zi­en­ten Mel­de­struk­tu­ren nach dem one-stop-shop-Prin­zip. Es soll­te also einen har­mo­ni­sier­ten Mel­de­weg an eine zen­tra­le Mel­de­stel­le geben und nicht wie zur­zeit im Ent­wurf des IT SiG 2.0. vor­ge­se­hen, je nach Sach­ver­halt eine Mel­dung an drei ver­schie­de­ne Behör­den erfor­der­lich wer­den. Zwar kön­nen Mel­de­pflich­ten ein ers­ter Schritt zu einer sinn­vol­len Ver­ant­wor­tungs­zu­wei­sung von Her­stel­lern sein, aber letzt­lich grei­fen sie zu kurz. Neben einer Mel­dung soll­ten Her­stel­ler auch ange­hal­ten wer­den, erkann­te Sicher­heits­lü­cken ent­spre­chend zu schlie­ßen.
  • Feh­len­de Ein­bet­tung in euro­päi­sches Sys­tem: Das lang­fris­ti­ge Ziel einer euro­päi­schen Har­mo­ni­sie­rung im Bereich IT-Sicher­heit wird durch das IT-SiG 2.0 erschwert. Hier­für ste­hen bei­spiel­haft das IT-Sicher­heits­kenn­zei­chen sowie die neu­en deut­schen Defi­ni­tio­nen für Kri­ti­sche Infra­struk­tu­ren, Cyber­kri­ti­ka­li­tät und „Unter­neh­men im beson­de­ren öffent­li­chen Inter­es­se“. Nicht abge­stimm­te, natio­nal­staat­li­che Ein­zel­maß­nah­men kön­nen gera­de für welt­weit täti­ge Unter­neh­men enor­me zusätz­li­che Kos­ten und damit Wett­be­werbs­nach­tei­le für deut­sche Unter­neh­men bedeu­ten. Dadurch wür­de der Wirt­schafts­stand­ort Deutsch­land nach­hal­tig gescha­det.
  • Feh­len­de Ver­pflich­tung des Bun­des zur Unter­stüt­zung des Föde­ra­lis­mus: Ins­be­son­de­re vor dem Hin­ter­grund eines bis­her feh­len­den regel­mä­ßig ver­öf­fent­lich­ten Lage­bil­des, ist das BSI zum ver­pflich­ten­den Aus­tausch von weit­rei­chen­den Lage­bild­in­for­ma­tio­nen mit ande­ren Bun­des- aber ins­be­son­de­re auch Lan­des­si­cher­heits­be­hör­den expli­zit und gere­gelt zu ver­pflich­ten. Die­se Ver­pflich­tung ist drin­gend not­wen­dig um Infor­ma­ti­ons­lü­cken, die in der Ver­gan­gen­heit oft zu Tage tra­ten, zu schlie­ßen.
  • BSI stär­ken aber nicht inhalt­lich über­frach­ten: Han­no­ver IT begrüßt die per­so­nel­le Auf­sto­ckung des BSI. Aller­dings sieht das IT-SiG 2.0 in Bezug auf das BSI eine Über­frach­tung mit Auf­ga­ben und Kom­pe­ten­zen, die des­sen Hand­lungs­fä­hig­keit gefähr­den könn­ten sowie zu vie­le Kon­troll­be­fug­nis­se in der Hand einer ein­zel­nen Behör­de vor.
  • IT-Sicher­heits­ge­setz 2.0 schafft über­bor­den­de Büro­kra­tie: Im vor­lie­gen­den Ent­wurf wer­den Kon­troll­be­fug­nis­se des BSI gegen­über einem sehr brei­ten Anwen­der­feld der deut­schen Wirt­schaft aus­ge­baut, die mit einem enor­men Büro­kra­tie­auf­bau ein­her­ge­hen. Gleich­zei­tig wer­den weder eta­blier­te Sicher­heits­me­cha­nis­men der Wirt­schaft berück­sich­tigt noch ein nach­voll­zieh­ba­rer wirk­sa­mer Sicher­heits­nut­zen geschaf­fen. Der im Koali­ti­ons­ver­trag ange­streb­te Büro­kra­tie­ab­bau wird durch der­ar­ti­ge Maß­nah­men kon­ter­ka­riert.
  • Mas­si­ve und will­kür­li­che Aus­wei­tung des Anwen­der­krei­ses: Unkla­re Legal­de­fi­ni­tio­nen und -for­mu­lie­run­gen zu den Anwen­der­krei­sen für „Infra­struk­tu­ren im beson­de­ren Inter­es­se“ und Unter­neh­men mit „Cyber­kri­ti­ka­li­tät“ erschwe­ren die Ein­sicht dar­über, an wen sich die Vor­schrif­ten rich­ten sol­len und erzeu­gen Rechts­un­si­cher­heit bei den mög­li­cher­wei­se betrof­fe­nen Unter­neh­men. Es scheint, als ob der Gesetz­ge­ber wahl­los und nach dem Gieß­kan­nen­prin­zip mög­lichst gro­ße Tei­le der deut­schen Wirt­schaft in den Anwen­der­kreis ein­be­zie­hen möch­te. Der Ansatz, den Gel­tungs­be­reich aus­schließ­lich auf die wirt­schaft­li­che Ertrags­kraft bzw. eine Bör­sen­no­tie­rung aus­zu­rich­ten und nicht auf den risi­ko­ba­sier­ten Ansatz, der der Auf­recht­erhal­tung von Leis­tun­gen die für das staat­li­che und sozia­le Gemein­wohl not­wen­dig ist, ist nicht nach­voll­zieh­bar. Die Bör­sen­no­tie­rung gibt kei­nen Auf­schluss über die wirt­schaft­li­che Bedeu­tung eines Unter­neh­mens, son­dern stellt ledig­lich die Unter­neh­mens­form dar.
  • Unver­hält­nis­mä­ßi­ge Aus­kunfts­pflich­ten gegen­über dem BSI: Es ist unklar, war­um der bis­he­ri­ge Pro­zess der Eigen­re­gis­trie­rung betrof­fe­ner Unter­neh­men als KRITIS als nicht mehr aus­rei­chend betrach­tet wird und Unter­neh­men zur Wei­ter­ga­be aller aus Sicht des BSI rele­van­ten inter­ner Auf­zeich­nun­gen, Schrift­stü­cke und sons­ti­ger Unter­la­gen ver­pflich­tet wer­den sol­len. Die­se Aus­kunfts­pflicht bei mini­ma­lem Anfangs­ver­dacht stellt einen unver­hält­nis­mä­ßi­gen Ein­griff in die unter­neh­me­ri­sche Selbst­be­stimmt­heit dar und wirkt wie ein Gene­ral­ver­dacht gegen­über allen deut­schen Unter­neh­men.
  • Geset­zes­de­tails direkt regeln: Der Ansatz, wei­te­re Details in Rechts­ver­ord­nun­gen zu regeln, steht im Wider­spruch zum Par­la­men­ta­ri­schen Demo­kra­tie­ver­ständ­nis Deutsch­lands.
  • Ver­trau­ens­wür­dig­keits­er­klä­rung für Her­stel­ler von KRI­TIS-Kern­kom­po­nen­ten: Han­no­ver IT spricht sich strikt gegen die Ein­füh­rung einer aus Sicht der Wirt­schaft völ­lig unnö­ti­gen, unkla­ren und fol­gen­lo­sen Ver­trau­ens­wür­dig­keits­er­klä­rung für Her­stel­ler von KRI­TIS-Kern­kom­po­nen­ten aus. Gera­de mit Blick auf inter­na­tio­na­le Lie­fer- und Wert­schöp­fungs­ket­ten erach­ten wir eine Ver­trau­ens­wür­dig­keits­er­klä­rung als nicht umsetz­bar. Im schlimms­ten Fall könn­te sie, ohne zur Stär­kung der Cyber­re­si­li­enz bei­zu­tra­gen, die Wett­be­werbs­fä­hig­keit der deut­schen Wirt­schaft schwä­chen, da die Ver­trau­ens­wür­dig­keits­er­klä­rung zu hohen Erfül­lungs­auf­wen­dun­gen bei deut­schen Unter­neh­men füh­ren wird.
  • Unver­hält­nis­mä­ßi­ge Buß­geld­vor­schrif­ten: Die vom BMI vor­ge­schla­ge­ne und sich an der Höhe der in der DSGVO nie­der­ge­schrie­be­nen Buß­gel­der erach­ten wir mit Blick auf das The­ma Cyber­si­cher­heit als unver­hält­nis­mä­ßig.
  • Erfül­lungs­auf­wand für die Wirt­schaft viel zu gering ange­setzt: Ob der Tat­sa­che, dass Zulie­fe­rer nun Maß­nah­men umset­zen müs­sen und zahl­rei­che neue Bran­chen unter den Gel­tungs­be­reich des IT-SiG 2.0 fal­len wer­den, ist der Erfül­lungs­auf­wand für die Wirt­schaft mit 45,09 Mio. EUR viel zu gering ange­setzt. Wie es zu die­ser Schät­zung gekom­men ist in kei­ner Wei­se nach­voll­zieh­bar.

Aus­ge­hend auf die­ser grund­le­gen­den Ana­ly­se des Refe­ren­ten­ent­wurfs unter­brei­tet Han­no­ver IT fol­gen­de Hand­lungs­emp­feh­lun­gen:

  • Das IT-Sicher­heits­ge­setz 1.0 muss zügig, gemein­sam mit den bis­her betrof­fe­nen Unter­neh­men, eva­lu­iert wer­den und Ergeb­nis­se müs­sen mit der Wirt­schaft geteilt wer­den.
  • Es soll­te kei­ne unver­hält­nis­mä­ßi­ge und nicht an objek­ti­ven Kri­te­ri­en gebun­de­ne Aus­wei­tung der Pflich­ten Kri­ti­scher Infra­struk­tu­ren auf wei­te Teil der Wirt­schaft erfol­gen.
  • Bei Cyber­si­cher­heit ist ein euro­pa­weit har­mo­ni­sier­ter Regu­lie­rungs­an­satz, natio­na­len Allein­gän­gen vor­zie­hen. Da auf euro­päi­scher Ebe­ne mit der Imple­men­tie­rung des EU Cyber­se­cu­ri­ty Acts und der Anpas­sung der bestehen­den Pro­dukt­re­gu­lie­rung für IT-Sicher­heit geprüft  wer­den (sie­he Funk­an­la­gen- und Maschi­nen­richt­li­nie), muss das zwei­te deut­sche ITSiG unbe­dingt eine inhalt­li­che Anschluss­fä­hig­keit sicher­stel­len. Das IT-SiG 2.0 darf kei­ne ver­teil­ten inkon­sis­ten­ten Vor­ga­ben, kei­ne natio­na­len Son­der­an­for­de­run­gen und damit unrecht­mä­ßi­gen Markt­zu­gangs­be­schrän­kun­gen für Pro­duk­te im euro­päi­schen Gefü­ge ver­ur­sa­chen.
  • Mel­de­pflich­ten zu Cyber­vor­fäl­len müs­sen effi­zi­en­ter aus­ge­stal­te­tet (one-stop-shop-Prin­zip) und wei­ter­ent­wi­ckeln wer­den:
    • Unter­neh­men, die Cyber­si­cher­heits­vor­fäl­le mel­den soll­te per­so­na­li­sier­te Unter­stüt­zung ange­bo­ten wer­den,
    • Aus den Mel­dun­gen aus der Wirt­schaft sol­le ein Lage­bild erar­bei­tet und unter­jäh­rig mit den rele­van­ten Bun­des- und Lan­des­si­cher­heits­be­hör­den sowie den betrof­fe­nen Unter­neh­men geteilt wer­den,
    • Mel­dun­gen aus der Wirt­schaft müs­sen zum Schlie­ßen von Sicher­heits­lü­cken füh­ren,
    • Gesetz­li­che Rah­men­be­din­gun­gen müs­sen geschaf­fen wer­den, um Wirt­schafts­un­ter­neh­men über vor­lie­gen­de Infor­ma­tio­nen zu (Cyber)-Gefährdern zu infor­mie­ren, auch über Geheim­schutz­be­treu­te Unter­neh­men hin­aus.
  • Mit dem IT-SiG 2.0 soll­te gezielt Büro­kra­tie­ab­bau und nicht Büro­kra­tie­auf­bau betrie­ben wer­den.
  • Es gilt, das BSI per­so­nell und finan­zi­ell zu stär­ken ohne es inhalt­lich zu über­frach­ten.
  • Ver­pflich­tung des BSI zum Aus­tausch von Lagein­for­ma­tio­nen inner­halb der staat­li­chen Struk­tu­ren (Bun­des und Lan­des­ebe­ne) und mit Wirt­schafts­un­ter­neh­men. Dies soll­te unab­hän­gig einer etwai­gen Geheim­schutz­be­treu­ung eines Unter­neh­mens mög­lich sein.

Han­no­ver IT for­dert die Ein­be­zie­hung der KRI­TIS-Zulie­fe­rer in die UP-KRI­TIS-Dia­lo­ge und sons­ti­ger KRI­TIS-Dia­log­platt­for­men. Wenn IT-Sicher­heit über den Pro­dukt­le­bens­zy­klus sowie die gesam­te Lie­fer­ket­te hin­weg betrach­tet wer­den soll, müs­sen die KRI­TIS-Zulie­fe­rer gleich­be­rech­tigt in die Abstim­mungs­pro­zes­se für Rechts­ver­ord­nun­gen, Bran­chen- und BSI-Stan­dards ein­be­zo­gen wer­den. Selbst­ver­ständ­lich gilt dies auch für das Tei­len von sicher­heits­re­le­van­ten Infor­ma­tio­nen durch das BSI.

X