IT-Sicherheitsgesetz: Ist Kaspersky eine Kritische Infrastruktur?

Das IT-Sicherheitsgesetz sorgt für rege Diskussionen. Insbesondere die Frage, welche Unternehmen unter die Kritische Infrastruktur fallen, ist noch ungeklärt. Gemäß § 2 Abs. 10 BSI-Gesetz i. d. F. nach dem IT-Sicherheitsgesetz gehören zur Kritischen Infrastruktur Einrichtungen, Anlagen oder Teile davon, die verschiedenen Sektoren zugeordnet werden. Neben dieser Zuordnung zu einem bestimmten Sektor, wie beispielsweise den Sektoren Energie, Informationstechnik und Telekommunikation wird verlangt, dass die Unternehmen von hoher Bedeutung für das Funktionieren des Gemeinwesens sind. Die Bedeutung misst sich daran, ob ein Ausfall des Unternehmens oder eine Beeinträchtigung der Tätigkeit zu erheblichen Versorgungsengpässen oder Gefährdung für die öffentliche Sicherheit führen kann.

Genaue Definition der “Kritischen Infrastrukturen” kommt erst noch

Im Moment werden viele Hoffnungen darauf gesetzt, dass die noch zu erlassende Rechtsverordnung den Begriff „Kritische Infrastruktur“ genauer fasst. Vermutlich wird aber auch hier mit allgemeinen Begriffen und unbestimmten Rechtsbegriffen gearbeitet werden müssen, um letztendlich eine gewisse Flexibilität in der Handhabung zu erreichen.

Gesetzgeber geht von 2000 betroffenen Unternehmen aus

Es ist bedauerlich, dass der Gesetzgeber in der Gesetzesbegründung eine Zahl von 2.000 betroffenen Unternehmen nennt, er aber zu keinem Zeitpunkt offengelegt hat, wie er auf diese Zahl gekommen ist. In einer Studie der KPMG für den BDI werden interessante Zahlen genannt. Ausgehend von einer Definition der Europäischen Kommission ergeben sich in den vom Gesetz genannten KRITIS-Sektoren insgesamt 18.466 Großunternehmen. Diese Zahl ist weit entfernt von den vom Gesetzgeber genannten 2.000 Unternehmen. Großunternehmen sind Betriebe mit mindestens 249 Mitarbeitern oder einem jährlichen Umsatz, der 50 Mio. Euro übersteigt. Wenn unterstellt wird, dass solche Großunternehmen aufgrund ihrer Unternehmensgröße eine hohe strukturelle Reichweite mit Blick auf Kunden und Infrastrukturen haben, muss wohl davon ausgegangen werden, dass Störungen oder Beeinträchtigungen der unternehmerischen Tätigkeit Auswirkungen auf Wirtschaft und Gesellschaft haben. Bei einer solchen Größenordnung von über 18.000 Großunternehmen passen aber die vom Gesetzgeber geschätzten Meldepflichten und Meldemengen nicht mehr. Alle Schätzungen basieren auf den 2.000 umfassten Unternehmen. Hier kann man gespannt sein, welche Abgrenzungskriterien der Gesetzgeber findet.

Dass die Zählung des Gesetzgebers vielleicht zu niedrig ist, ergibt sich auch aus einem anderen Umstand der KPMG-Studie. Im Bereich Energie hat das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe und das Bundesamt für Sicherheit in der Informationstechnik (BSI) die Bereich Elektrizität, Gas und Mineralöl identifiziert, die dem Sektor „Energie“ zuzuordnen sind. Nach dem Statistischen Bundesamt (2011) gibt es 48.292 Unternehmen in Deutschland, die der Energiebranche zugerechnet werden. Dies umfasst allerdings nur die Bereiche Elektrizität und Gas. Allein 13.811 Unternehmen des Energiesektors sind als Großunternehmen zu klassifizieren, gemäß der oben genannten Definition.

Antivirensoftware “Kaspersky” als “Kritische Infrastruktur”?

Aber auch ein anderer Aspekt macht deutlich, dass noch viele Fragen zu den Definitionen einer Kritischen Infrastruktur zu beantworten sind. Für die sueddeutsche.de hat Herr Hakan Tanriverdi in einem Betrag vom 12.06.2015 die Frage gestellt, ob nicht der aktuelle Angriff auf das IT-Sicherheitsunternehmen Kaspersky deutlich macht, dass der Begriff Kritische Infrastruktur weit zu fassen ist.

Der Hersteller von Antivirus-Software ist sicherlich in einem besonderen Fokus von Hackerangriffen. Um dies von der virtuellen in die reale Welt zu übertragen: Einbrecher schalten als erstes auch die Wachhunde aus, um dann ungestört vorgehen zu können. Einen ähnlichen Ansatz werden Angreifer sicherlich auch mit Blick auf Antiviren-Software-Hersteller und die Hersteller von Firewalls anwenden. Wenn es gelungen ist, durch eine technische Raffinesse von einem Antiviren-Programm oder einer Firewall unentdeckt zu bleiben, sind alle nachfolgenden IT-Maßnahmen, um an sensible Daten und Informationen zu gelangen, ein „Kinderspiel“. Eine renommierte Firma Kaspersky, die vor kurzem bekannt gab, dass sie selbst infiltriert worden war, erscheint auf den ersten Blick als eine Kritische Infrastruktur.

Die rechtliche Betrachtung

Allerdings bei genauerem Hinsehen passt das Unternehmen nicht automatisch unter die Definition. Zwar ist das Unternehmen dem Sektor „Informationstechnik“ zuzuordnen, ob Kaspersky aber ohne Einschränkung eine hohe Bedeutung für das Funktionieren des Gemeinwesens zugesprochen werden kann, ist zweifelhaft. Der Gesetzgeber verknüpft in der Definition die hohe Bedeutung für das Funktionieren des Gemeinwesens mit zwei Aspekten. Zum einen möchte er erhebliche Versorgungsengpässe verhindern. In diesem Bereich ist Kaspersky sicherlich nicht tätig. Nur indirekt kann es zu Versorgungsengpässen kommen, wenn beispielsweise die Antiviren-Software von Kaspersky bei Unternehmen nicht funktioniert. Eine direkte Anwendung und damit eine Einordnung des Unternehmens Kaspersky als Kritische Infrastruktur scheidet unter diesem Aspekt aus. Die zweite Alternative spricht davon, dass eine Gefährdung für die öffentliche Sicherheit eintreten muss. Auch dies lässt sich nicht uneingeschränkt und unmittelbar auf das Unternehmen Kaspersky anwenden. Zum einen gibt es auch noch andere Antiviren-Software-Hersteller, zum anderen funktioniert sicherlich im ersten Schritt das „Gemeinwesen“ weiter, auch wenn das Antiviren-Programm von Kaspersky Lücken aufweisen sollte. Eine unmittelbar eintretende Gefährdung der öffentlichen Sicherheit muss nicht gegeben sein.

Rechtsanwalt Beratung Kanzlei Hannover

Ihr Ansprechpartner
Rechtsanwalt Thomas Feil

Die Frage, die Hakan Tanriverdi in seinem Artikel für die sueddeutsche.de aufwirft, muss daher wohl mit einem Nein beantwortet werden. Nach derzeitigen Definition ist Kaspersky wohl keine Kritische Infrastruktur.

Es bleibt abzuwarten, ob die Definition in der Rechtsverordnung hier eine Erweiterung auch gerade mit Blick auf die Hersteller von Firewalls (sei es Hardware oder Software) und die Hersteller von Antiviren-Software.

Die Diskussionen fangen also erst noch richtig an.

 
1 Star2 Stars3 Stars4 Stars5 Stars 2 Bewertung(en), durchschnittlich: 4,50 von 5
Loading...
Ein Kommentar zu “IT-Sicherheitsgesetz: Ist Kaspersky eine Kritische Infrastruktur?
    Schreibe einen Kommentar
    Deine E-Mail-Adresse wird nicht veröffentlicht.

    Sie können folgende HTML-Tags benutzen:

    <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong> 

    *
    *