Meldepflichten nach dem IT-Sicherheitsgesetz

Mit dem am 12.06.2015 verabschiedeten IT-Sicherheitsgesetz wurde ein neuer § 8b BSIG dem bisherigen BSI-Gesetz hinzugefügt. § 8b BSIG regelt die Anforderungen an Meldungen über IT-Sicherheitsvorfälle. Das BSI fungiert dabei als zentrale Stelle für die Sicherheit in der Informationstechnik Kritischer Infrastrukturen.

Da der Gesetzgeber im letzten Moment Bußgeldvorschriften in die Regelungen zum IT-Sicherheitsgesetz eingeführt hat, erlangen die Meldevorschriften eine neue Bedeutung und ein neues Gewicht.

Gesetzliche Grundlage für die Meldepflicht

Gemäß § 8b Abs. 4 BSIG sollen Betreiber Kritischer Infrastrukturen erhebliche Störungen der Verfügbarkeit, der Integrität, der Authentizität und der Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse melden. Die Meldung soll unverzüglich erfolgen. Juristen „übersetzen“ den Begriff „unverzüglich“ mit der Formulierung „ohne schuldhaftes Verzögern“. Ein Unternehmen, das als Betreiber Kritischer Infrastrukturen eingestuft ist, muss daher kurzfristig eine entsprechende Meldung an das BSI absetzen. Maximaler Zeitraum sind 14 Tage. Allerdings soll nicht jede Störung gemeldet werden, sondern es muss ein Ausfall oder eine Beeinträchtigung der Funktionsfähigkeit der Kritischen Infrastruktur gegeben haben oder die Störung muss zu einem solchen Ausfall oder Beeinträchtigung führen können.

Die Meldung soll über die Kontaktstelle erfolgen. Allerdings ist im Gesetz eine Pflicht zur Einrichtung einer Kontaktstelle erst nach Erlass der Rechtsverordnung zur näheren Definition der Kritischen Infrastrukturen vorgesehen. Faktisch wird aber ein Unternehmen schon vorher eine Kontaktstelle einrichten müssen.

Inhalt der Meldepflicht

Mit der Meldung sollen möglichst umfangreiche Angaben gegenüber dem BSI gemacht werden. Es soll nicht nur die Störung beschrieben werden, sondern auch die technischen Rahmenbedingungen und deren vermutete oder tatsächliche Ursache. Auch die Art der betroffenen Einrichtung oder Anlage sowie die Branche des Betreibers ist zu nennen. Grundsätzlich ist es möglich, die Meldung ohne Namensangabe und Nennung des Betreibers abzusetzen. Das Gesetz stellt aber klar, dass eine Nennung des Betreibers notwendig ist, wenn die Störung tatsächlich zu einem Ausfall oder zu einer Beeinträchtigung der Kritischen Infrastruktur geführt hat.

Bei der Definition des Begriffs „Störung“ wird auf die Rechtsprechung zu § 100 Abs. 1 Telekommunikationsgesetz zurückgegriffen. Eine Störung liegt vor, wenn die eingesetzte Technik die ihr zugedachte Funktion nicht mehr richtig oder nicht mehr vollständig erfüllen kann. Auch wenn versucht wird, auf die entsprechende Technik einzuwirken, liegt eine Störung vor. Beispielhaft wird in der Gesetzesbegründung aufgezählt, dass Störungen Sicherheitslücken, Schadprogramme oder versuchte oder erfolgreich abgewehrte Angriffe auf die IT-Sicherheit sein können. Auch außergewöhnliche und unerwartete technische Defekte mit IT-Bezug sind als Störung zu sehen. Hier verweist der Gesetzgeber beispielsweise auf Störungen im Zusammenhang mit Software-Updates oder den Ausfall der Serverkühlung.

Insgesamt ist festzustellen, dass hier vor dem Hintergrund der Ausführung des Gesetzgebers in der Begründung des Gesetzesvorhabens von einem eher weiten Störungsbegriff ausgegangen wird.

Erheblichkeit der Störung

Störungen sind meldepflichtig, wenn sie erheblich sind. Liegt keine Beeinträchtigung der Funktionsfähigkeit vor oder ist diese auch nicht zu befürchten, fehlt es an der Erheblichkeit. In der Gesetzesbegründung wird auch darauf abgestellt, dass IT-Störungen, die nicht bereits automatisiert oder mit wenig Aufwand beseitigt werden können, als erheblich gelten sollen. Tagtäglich vorkommende Ereignisse, wie Spam-Emails oder übliche Schadsoftware, die von einem aktuellen Virenscanner abgefangen wird, lösen keine Meldepflicht aus und sind nicht als erheblich angesehen. Dabei geht der Gesetzgeber davon aus, dass der Betreiber einer Kritischen Infrastruktur entsprechende Schutzprogramme, beispielsweise einen Virenscanner, nach dem Stand der Technik einsetzt.

In den Meldepflichten sieht der Gesetzgeber einen ganz wichtigen Schritt zur Erhöhung der IT-Sicherheit. Wörtlich heißt es in der Gesetzesbegründung:

Die entsprechenden Meldungen sind Voraussetzung für die nationale Handlungsfähigkeit und Grundlage für bundesweit abgestimmte Reaktionen.

In dem Gesetzgebungsverfahren war unter andrem vom Chaos-Computer-Club kritisiert worden, dass hier keine proaktiven Maßnahmen gefördert werden, sondern nur immer nur eine nachträgliche Betrachtung von Vorfällen erfolgt. Ob dies letztendlich ausreicht, um die IT-Sicherheit auf ein neues Niveau zu heben, bleibt abzuwarten.

 
1 Star2 Stars3 Stars4 Stars5 Stars 4 Bewertung(en), durchschnittlich: 4,75 von 5
Loading...
Schreibe einen Kommentar
Deine E-Mail-Adresse wird nicht veröffentlicht.

Sie können folgende HTML-Tags benutzen:

<a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong> 

*
*