An diesem Freitag soll die zweite und dritte und damit abschließende Beratung des Entwurfs eines Gesetzes zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz) im Bundestag stattfinden. Kurz davor hat sich die große Koalition auf Änderungen, wie die Einführung von Bußgeldvorschriften, an dem Gesetzesentwurf verständigt.
Der entsprechende Änderungsantrag wurde nun von netzpolitik.org veröffentlicht. Im Vergleich zu dem letzten Entwurf, über den wir bereits berichtet haben, wurden zum Teil erhebliche Änderungen eingearbeitet.
Der Inhalt im Überblick
Bußgeldvorschriften eingefügt
Nun kann das Bundesamt für Informationssicherheit nach § 8a Abs. 3 Satz 4 von Betreibern kritischer Infrastrukturen bei Vorliegen von Sicherheitsmängeln verlangen
1. die Übermittlung der gesamten Audit-, Prüfungs- oder Zertifizierungsergebnisse und
2. im Einvernehmen mit der zuständigen Aufsichtsbehörde des Bundes oder im Benehmen mit der sonst zuständigen Aufsichtsbehörde die Beseitigung der Sicherheitsmängel.
Handeln Betreiber solchen Anordnungen vorsätzlich oder fahrlässig zuwider können sie nach einem neu eingefügten § 14 mit Geldbußen von bis zu 100.000,00 EUR bestraft werden. Innerhalb der neuen Bußgeldvorschrift sind darüber hinaus verschiedene andere Ordnungswidrigkeiten geregelt, die eine Geldbuße von bis zu 50.000,00 EUR vorsehen.
Verstöße gegen Meldepflicht weiter straffrei
Allerdings bleibt nach der Begründung des Änderungsantrages
der Verstoß des Betreibers einer Kritischen Infrastruktur gegen die Pflicht zur Meldung erheblicher Störungen im Sinne von § 8a Absatz 4 des BSI-Gesetzes dabei nur dann bußgeldbewehrt, wenn die betreffende Störung tatsächlich zu einem Ausfall oder einer Beeinträchtigung der Funktionsfähigkeit der Kritischen Infrastruktur geführt hat.
Diese Regelung wird kritisiert, da es so im Zweifel für den Betreiber weiterhin straflos möglich ist, entgegen seiner Verpflichtung Störungen zu verschweigen, wenn keine tatsächliche Beeinträchtigung der Funktionsfähigkeit eingetreten ist.
Auch Bundesbehörden werden verpflichtet
Neu ist ebenfalls eine Regelung, nach der das Bundesamt für Informationssicherheit Zugriff auf Protokolldaten in Bundesbehörden bekommt. Nach der Begründung resultiert dies aus einem zunehmenden Einsatz von Schadprogrammen wie REGIN oder Schadsoftwareplattformen der Equation Group, welche einen Qualitätssprung in der Bedrohung der IT des Bundes darstellen würden.
Die Erkennung solcher Schadprogramme kann wirksam nur durch neue und auf die jeweilige konkrete Gefährdungssituation angepasste, umfangreiche sowie komplexe Detektionsmethoden zur Erkennung von Anomalien innerhalb der zu schützenden Netzwerke erfolgen. Das technische und personelle Know-how für ein derartiges Monitoring befindet sich in der Regel nicht in den einzelnen Behörden der Bundesverwaltung, sondern ist zentral im BSI verankert.
Entwurf weiterhin in der Kritik
Gleichwohl bleibt der Gesetzesentwurf aus datenschutzrechtlicher Sicht in der Kritik, da etwa weiterhin eine Vorratsdatenspeicherung für Telemedien- und Telekommunikationsanbieter durch die Hintertür droht. Es sind in dieser Hinsicht leider keine Bestrebungen der großen Koalition zur Veränderung dieses Zustandes zu erkennen.
und was noch viel schlimmer ist: Die Kommunen, die ja im wesentlichen die Daten erheben (Meldebehörde, Standesamt, Bauamt, Gewerbeamt) scheinen außen vor zu bleiben. Dort finden täglich Datenschutzverstösse statt und IT-Sicherheit und das Datenschutzgesetz sind Fremdwörter.