Gesetzentwurf der Bundesregierung
Entwurf eines Gesetzes zur Stärkung der Sicherheit in der Informationstechnik des Bundes

A. Problem und Ziel

B. Lösung

C. Alternativen

D. Finanzielle Auswirkungen auf die öffentlichen Haushalte

E. Sonstige Kosten

F. Bürokratiekosten

Gesetzentwurf der Bundesregierung
Entwurf eines Gesetzes zur Stärkung der Sicherheit in der Informationstechnik des Bundes

Bundesrepublik Deutschland Berlin, den 23. Januar 2009
Die Bundeskanzlerin

An den
Präsidenten des Bundesrates
Herrn Ministerpräsidenten
Peter Müller

Sehr geehrter Herr Präsident,

hiermit übersende ich gemäß Artikel 76 Absatz 2 Satz 4 des Grundgesetzes den von der Bundesregierung beschlossenen


mit Begründung und Vorblatt.
Der Gesetzentwurf ist besonders eilbedürftig, da die nach § 5 des Gesetzes über das Bundesamt für Sicherheit in der Informationstechnik (BSIG) beabsichtigten Maßnahmen des Bundesamtes für Sicherheit in der Informationstechnik dringend umgesetzt werden müssen, um die notwendige Absicherung der Regierungskommunikation gegen IT-gestützte Angriffe sicherzustellen.
Federführend ist das Bundesministerium des Innern.
Die Stellungnahme des Nationalen Normenkontrollrates gemäß § 6 Abs. 1 NKRG ist als Anlage beigefügt.


Mit freundlichen Grüßen
Dr. Angela Merkel

Entwurf eines Gesetzes zur Stärkung der Sicherheit in der Informationstechnik des Bundes 1

Vom ...

Der Bundestag hat das folgende Gesetz beschlossen:

Artikel 1
Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSI-Gesetz - BSIG)

§ 1 Bundesamt für Sicherheit in der Informationstechnik

§ 2 Begriffsbestimmungen

§ 3 Aufgaben des Bundesamtes

§ 4 Zentrale Meldestelle für die Sicherheit in der Informationstechnik

§ 5 Abwehr von Schadprogrammen und Gefahren für die Kommunikationstechnik des Bundes

§ 6 Löschung

§ 7 Warnungen

§ 8 Vorgaben des Bundesamts

§ 9 Zertifizierung

§ 10 Ermächtigung zum Erlass von Rechtsverordnungen

§ 11 Einschränkung von Grundrechten

§ 12 Rat der IT-Beauftragten der Bundesregierung

Artikel 2
Änderung des Telekommunikationsgesetzes

§ 109 des Telekommunikationsgesetzes vom 22. Juni 2004 (BGBl. I S. 1190), das zuletzt durch Artikel 2 des Gesetzes vom 21. Dezember 2007 (BGBl. I S. 3198) geändert worden ist wird wie folgt geändert:

Artikel 3
Änderung des Telemediengesetzes

Artikel 4
Inkrafttreten, Außerkrafttreten

Begründung

A. Allgemeiner Teil

I. Ziel und Inhalt des Entwurfs

Das Gesetz über die Errichtung des Bundesamtes für Sicherheit in der Informationstechnik (BSIG) ist 1991 in Kraft getreten und seitdem im Wesentlichen unverändert geblieben.

Die an das Bundesamt für Sicherheit in der Informationstechnik (BSI) gestellten Erwartungen, welche Aufgaben es wahrnehmen soll, werden im Gesetz nicht mehr vollständig widergespiegelt.

De lege lata sind die wesentlichen Aufgaben des BSI die Unterstützung anderer Behörden in IT-Sicherheitsfragen und die Vergabe von Sicherheitszertifikaten. Allein mit der Vergabe von Sicherheitszertifikaten kann das BSI allerdings keinen entscheidenden Einfluss auf die Gestaltung der IT-Infrastrukturen nehmen. Auch ist eine Beratung der Öffentlichkeit im BSIG nicht ausdrücklich angelegt. Die Unterstützungsfunktion für andere Behörden ist zwar als Aufgabe im BSIG enthalten, aber nicht weiter ausgestaltet. BSI hat insbesondere keine eigenen Befugnisse, sondern wird nur auf und im Rahmen einer Anforderung tätig.

Durch die Änderungen im BSIG sollen dem BSI eigene Befugnisse eingeräumt werden, auch ohne Amtshilfeersuchen anderer Behörden zur Erhöhung der IT-Sicherheit in der Bundesverwaltung und zur Abwehr von Gefahren für die Informationstechnik des Bundes tätig zu werden. Dies beinhaltet die Vorgabe von allgemeinen technischen Richtlinien für die Sicherheit, von konkreten Vorgaben für die Konfiguration der Informationstechnik im Einzelfall und Maßnahmen zur Abwehr konkreter Gefahren. Als Zentralstelle für IT-Sicherheit sammelt das BSI Informationen zu Schwachstellen und Schadprogrammen, wertet diese aus und informiert die betroffenen Stellen oder warnt die Öffentlichkeit.

Soweit hierdurch Synergieeffekte genutzt und Bürokratiekosten eingespart werden können, werden bestimmte IT-Sicherheits-Aufgaben im Telekommunikationsgesetz (TKG) auf das BSI übertragen.

II. Gesetzgebungskompetenz

Für die Regelungen, die unmittelbar die Sicherung der Informationstechnik in der Bundesverwaltung betreffen hat der Bund eine ungeschriebene Gesetzgebungskompetenz kraft Natur der Sache sowie aus Artikel 86 Satz 2 GG. Dies gilt auch, soweit in den §§ 3 Abs. 1 Nr. 14, 3 Abs. 2 und 5 BSIG die Unterstützung insbesondere von Landesbehörden auf deren Ersuchen als Aufgabe einer Bundesbehörde geregelt wird. Soweit das Bundesamt durch Empfehlungen von Sicherheitsstandards, die Ausgabe des Sicherheitszertifikats, Warnungen und Empfehlungen sowie durch die Koordinierung der notwendigen Maßnahmen zum Schutz der Informationstechnik kritischer Infrastrukturen in der Wirtschaft wettbewerbsrelevante außenwirksame Tätigkeiten entfaltet, folgt die Gesetzgebungskompetenz für diese Teilbereiche aus der konkurrierenden Gesetzgebungskompetenz für das Recht der Wirtschaft (Artikel 74 Abs. 1 Nr. 11 GG). Dasselbe gilt für die Änderung des Telemediengesetzes. Die Berechtigung des Bundes zur Inanspruchnahme dieser Gesetzgebungskompetenz ergibt sich aus Artikel 72 Abs. 2 Grundgesetz. Eine bundesgesetzliche Regelung dieser Materie ist zur Wahrung der Wirtschaftseinheit im Bundesgebiet im gesamtstaatlichen Interesse erforderlich. Eine Regelung durch den Landesgesetzgeber würde zu erheblichen Nachteilen für die Gesamtwirtschaft führen, die sowohl im Interesse des Bundes als auch der Länder nicht hingenommen werden können. Insbesondere wäre zu befürchten, dass unterschiedliche landesrechtliche Behandlungen gleicher Lebenssachverhalte, z.B. unterschiedliche Voraussetzungen für die Vergabe von Sicherheitszertifikaten, erhebliche Wettbewerbsverzerrungen und störende Schranken für die länderübergreifende Wirtschaftstätigkeit zur Folge hätten. Internationale Abkommen zur gegenseitigen Anerkennung von IT-Sicherheitszertifikaten setzen voraus, dass in jedem Staat nur eine einzige hoheitliche Zertifizierungsstelle existiert. Gerade Telemedienangebote sind typischerweise bundesweit zugänglich. Unterschiedliche technische Ausgestaltungsregelungen in den Ländern wären praktisch nicht umsetzbar. Im Interesse des Bundes und der Länder muss die Teilhabe an einer sich stetig weiterentwickelnden Informationsgesellschaft, der eine wesentliche wirtschaftslenkende Bedeutung zukommt, gewahrt bleiben. Regelungen auf dem Gebiet der Telekommunikation können auf die ausschließliche Gesetzgebungskompetenz des Bundes nach Artikel 73 Abs. 1 Nr. 7 GG gestützt werden.

III. Vereinbarkeit mit dem Recht der Europäischen Union

Der Gesetzentwurf ist mit dem Recht der Europäischen Union vereinbar.

IV. Kosten

Das Gesetz bewirkt keine Haushaltsausgaben ohne Vollzugsaufwand.

Die neu zu schaffenden Befugnisse des BSI sind mit einem entsprechenden Vollzugsaufwand verbunden. Dessen Umfang und damit die Höhe der Vollzugskosten sind maßgeblich von der zukünftigen Entwicklung der IT-Sicherheitslage abhängig und daher nicht zu beziffern. Den Großteil der zukünftig anfallenden administrativen Aufgaben erfüllt das BSI bereits heute in Form unverbindlicher Beratungsangebote und im Rahmen von Amtshilfeersuchen.

Bei unveränderter Sicherheitslage ist daher nur mit einer geringfügigen Erhöhung des Vollzugsaufwands zu rechnen.

Die neuen oder zukünftig aufgrund der Änderung des BSIG in größerem Umfang wahrzunehmenden Aufgaben erfordern beim BSI zusätzliche 10 Planstellen/Stellen sowie Personal-und Sachkosten in Höhe von ca. 1.180.000 € jährlich. Der Personalbedarf resultiert aus den neu geschaffenen Aufgaben nach § 3 Abs. 1 Nr. 11 (zentrale Bereitstellung von IT-Sicherheitsprodukten), § 4 (zentrale Meldestelle), § 5 Abs. 1 bis 4 (Abwehr von Gefahren für die Kommunikationstechnik des Bundes), sowie aus der neu hinzukommenden Zertifizierung von Dienstleistern (§ 9) und der Mitwirkung bei der Erstellung eines Katalogs von Sicherheitsanforderungen für Telekommunikations- und Datenverarbeitungssysteme (§ 109 Abs. 2 Satz 3 TKG). Der Mehrbedarf bei den Sachkosten verteilt sich auf den Betrieb eines Meldeportals für die Meldestellenfunktion (500.000 € p.a.) und die Bereitstellung von IT-Sicherheitsprodukten (100.000 € p.a.). Für die Wahrnehmung der neuen Aufgaben aus § 109 Abs. 2 Satz 3 bis 4 TKG, Erstellen, Koordinieren und Pflegen eines Katalogs von Sicherheitsanforderungen für das Betreiben von Telekommunikations- und Datenverarbeitungsanlagen, und § 109 Abs. 3 Satz 5 TKG, regelmäßige Prüfung der Umsetzung der Sicherheitskonzepte, benötigt die BNetzA zusätzlich drei Planstellen im gehobenen technischen Dienst sowie Personal- und Sachkosten in Höhe von ca. 300.000 € jährlich.

Soweit Kosten für die Entwicklung oder zentrale Beschaffung von IT-Sicherheitsprodukten entstehen können diese durch Einsparungen bei anderen Stellen kompensiert werden, die entsprechende Produkte nicht mehr einzeln beschaffen müssen. Zusätzliches Einsparungspotenzial ergibt sich aus der Nutzung von Synergien und Mengenrabatten.

Kosten für die Wirtschaft können wie bislang bei Beantragung eines Sicherheitszertifikats nach Maßgabe BSI-Kostenverordnung entstehen. Da das BSI-Sicherheitszertifikat freiwillig ist können es die Unternehmen von einer Wirtschaftlichkeitsbetrachtung abhängig machen ob sie ihr Produkt einem Zertifizierungsverfahren mit der damit ggf. einhergehenden Kostenfolge unterziehen.

Das Gesetz enthält fünf neue Informationspflichten für die Verwaltung. Durch die Informationspflichten in § 4 Abs. 2 Nr. 2. und Abs. 3 BSIG wird der Informationsaustausch zu Sicherheitslücken, Sicherheitsvorkehrungen über das BSI kanalisiert. Das BSI informiert, insbesondere über das CERT-Bund (CERT = Computer Emergency Response Team) schon heute die Bundesbehörden zeitnah zu aktuellen IT-Sicherheitsfragen. Dies wird durch die Informationspflicht in § 4 Abs. 2 Nr. 2 konkretisiert. Gegenüber den bisher bestehenden Strukturen, bei denen das BSI auf freiwillige bzw. zufällige Informationen angewiesen ist schafft die Meldepflicht in § 4 Abs. 3 eine bessere Datenbasis und ermöglicht die zentrale Auswertung und Aufbereitung und Verteilung der IT-Sicherheits-Informationen an die übrigen Bundesbehörden. Würde das BSI nicht wie vorgesehen als zentrale Stelle tätig, müssten im Zweifel alle Bundesbehörden parallel derartige Strukturen und die erforderlichen technischen Fähigkeiten und Fertigkeiten aufbauen, um auf dem für den Betrieb und Schutz ihrer internen Informationstechnik erforderlichen Wissensstand zu bleiben. Insofern wurde die kostengünstigste Regelungsalternative gewählt, die im höchstmöglichen Maß Synergieeffekte nutzt.

Die Informationspflichten aus § 5 Abs. 3 Satz 5 (Benachrichtigungspflicht an Betroffene), § 5 Abs. 6 Satz 4 (Benachrichtigung des BMI bei Zweifeln über Kernbereichsrelevanz) und § 7 Abs. 2 Satz 2 (Richtigstellungspflicht) dienen der Wahrung der Rechte der Betroffenen und sind verfassungsrechtlich vorgegeben.

Informationspflichten oder Kosten für Bürgerinnen und Bürger entstehen nicht. Den Wirtschaftsunternehmen entstehen durch dieses Gesetz Kosten, soweit sie ihr Produkt freiwillig einem Zertifizierungsverfahren mit der damit ggf. einhergehenden Kostenfolge unterziehen.

Auswirkungen auf die Einzelpreise und das Preisniveau, insbesondere auf das Verbraucherpreisniveau, sind von diesem Gesetz nicht zu erwarten.

V. Auswirkungen von gleichstellungspolitischer Bedeutung

Auswirkungen von gleichstellungspolitischer Bedeutung sind nicht zu erwarten.

B. Besonderer Teil

Zu Artikel 1 (BSI-Gesetz)

Zu § 1

Die Vorschrift legt fest, dass der Bund das BSI im Geschäftsbereich des Bundesministeriums des Innern unterhält.

Zu § 2

Zu Absatz 1

Die Regelung bleibt unverändert.

Zu Absatz 2

Redaktionelle Anpassung der Legaldefinition.

Zu Absatz 3

Die neuen Befugnisse sollen sich auf den Schutz der Kommunikationstechnik des Bundes beziehen. Diese wird in § 2 Abs. 3 legaldefiniert. Der Begriff "Kommunikationstechnik des Bundes" umfasst grundsätzlich alle informationstechnischen Systeme und deren Bestandteile, soweit sie durch den Bund oder im Auftrag des Bundes für diesen betrieben werden und der Kommunikation oder dem Datenaustausch dienen. Damit sind nicht an Behördennetze angeschlossene Geräte, bei denen Sicherheitslücken i.d.R. keine Auswirkungen auf die Sicherheit der übrigen Informationstechnik haben, ausgenommen. Nicht erfasst ist Kommunikationstechnik, die von Dritten für die Allgemeinheit angeboten wird und auch von Behörden genutzt wird (z.B. öffentliche Telekommunikationsnetze). Die verfassungsrechtliche Stellung des Deutschen Bundestages, des Bundesrates und des Bundespräsidenten sowie der Bundesgerichte ist im Gesetz zu berücksichtigen. Deshalb ist deren Kommunikationstechnik, soweit sie in eigener Zuständigkeit betrieben wird, nicht Gegenstand dieses Gesetzes. In der Praxis besteht hier die Möglichkeit, z.B. für die Kommunikation der Richter einen "Bypass-Anschluss" einzurichten, der unter Umgehung der innerhalb des Verwaltungsnetzes notwendigen Sicherheitsvorkehrungen einen unmittelbaren Anschluss an das Internet oder andere öffentliche Telekommunikationsnetze ermöglicht.

Absatz 4

Mit den Schnittstellen der Kommunikationstechnik des Bundes sind die Übergänge beschrieben, an denen aus Gründen der IT-Sicherheit eine Auswertung von Daten notwendig ist bzw. sein kann. Davon erfasst sind Übergänge zwischen den übergreifenden Kommunikationsnetzen der Bundesverwaltung inklusive der Übergänge zwischen virtuellen Netzen oder zwischen unterschiedlichen Schutzzonen innerhalb eines Netzes sowie zwischen einzelnen internen Behördennetzen oder den Netzen einer Gruppe von Behörden sowie zu Ländernetzen, dem Internet und anderen nicht der Bundesverwaltung zuzurechnenden Netzen. Ausgenommen hiervon ist ein direkter bzw. automatisierter Zugriff auf die Protokolldaten und Kommunikationsinhalte, die an den Komponenten der Netzwerk-Übergänge der in Absatz 3 Satz 2 genannten Verfassungsorgane und Gerichte erzeugt bzw. gespeichert werden, soweit diese in eigener Zuständigkeit betrieben werden.

Absatz 5 und 6:

Gefahren für die Sicherheit in der Informationstechnik gehen insbesondere von Schadprogrammen sowie von Sicherheitslücken in informationstechnischen Systemen aus, die in den Absätzen 5 und 6 legaldefiniert werden.

Die Definition von Schadprogrammen in Absatz 5 entspricht im Wesentlichen der in der Informationstechnik üblichen Terminologie. Maßgeblich ist, dass die Programme dem Zweck dienen, unbefugt unerwünschte Funktionen auszuführen. Nicht erfasst sind damit unbeabsichtigte Sicherheitslücken in normalen Programmen. Schadprogramme können typischerweise Schäden verursachen, dies ist aber keine zwingende Voraussetzung. Moderne Schadprogramme zeichnen sich gerade dadurch aus, dass sie möglichst unauffällig und klein sind. Schadfunktionen sind zunächst nicht enthalten, können aber ggf. nachgeladen werden. Auch der Versand von Spam, also die massenhafte Versendung unerwünschte Emails, oder sogenannte DoS-Angriffe (Denial of Service, Massenanfragen, um Server durch Überlastung lahmzulegen) sind informationstechnische Routinen, die geeignet sind unbefugt informationstechnische Prozesse zu beeinflussen.

Sicherheitslücken sind hingegen unerwünschte Eigenschaften von informationstechnischen Systemen, insbesondere Computerprogrammen, die es Dritten erlauben, gegen den Willen des Berechtigten dessen Informationstechnik zu beeinflussen. Eine Beeinflussung muss nicht zwingend darin bestehen, dass sich der Angreifer Zugang zum System verschafft und dieses dann manipulieren kann. Es genügt auch, dass die Funktionsweise in sonstiger Weise beeinträchtigt werden kann, z.B. durch ein ungewolltes Abschalten.

Der Begriff ist notwendigerweise weit gefasst, da Sicherheitslücken in den unterschiedlichsten Zusammenhängen, oftmals abhängig von der Konfiguration oder Einsatzumgebung, entstehen können.

Zu Absatz 7

Das Zertifizierungsverfahren des BSI entspricht den Vorgaben der einschlägigen technischen Normen. Um dies auch gesetzlich abzubilden, wird der Begriff der Zertifizierung in Anlehnung an die insbesondere in der Norm EN ISO/IEC 17000 verwendeten Begriffe definiert.

Die Prüfung und Bestätigung der Konformität im Bereich der IT-Sicherheit beinhaltet zentral die IT-Sicherheitsfunktionalität ergänzt um Interoperabilität und operationelle Funktionalitätsaspekte, insbesondere bei Auflagen, die die Produkte und die Komponenten in bestimmten Systemen bzw. Netzverbünden erfüllen müssen.

Zu Absatz 8

Störungen, Fehlfunktionen von und Angriffe auf IT-Systeme können technisch oft durch eine Analyse der Protokolldaten erkannt werden. Protokolldaten sind in erster Linie die Steuerdaten, die bei jedem Datenpaket mit übertragen werden, um die Kommunikation zwischen Sender und Empfänger technisch zu gewährleisten. Hinzu treten die Daten, die zwar nicht mit übertragen, aber im Rahmen der Protokollierung von den Servern im Übertragungsprotokoll miterfasst werden, insbesondere Datum und Uhrzeit des Protokolleintrags und ggf. Absender und Weiterleitungskennungen. Von besonderer Relevanz für die Erkennung und Abwehr von IT-Angriffen sind die Kopfdaten (sog. Header) der gängigen Kommunikationsprotokolle (IP, ICMP, TCP, UDP, DNS, HTTP und SMTP). Sofern die Datenübertragung zugleich einen Telekommunikationsvorgang darstellt (z.B. das Senden einer Email), sind die Protokolldaten zugleich Verkehrsdaten im Sinne des TKG. Entsprechendes gilt hinsichtlich Protokolldaten, die bei der Nutzung von Telemedien anfallen. Die eigentlichen Kommunikationsinhalte sind nicht Bestandteil der Protokolldaten.

Zu Absatz 9

Datenverkehr umfasst dabei die Datenübertragung im Netz mittels technischer Protokolle.

Die herkömmliche Telekommunikation (Sprache, Telefax) ist hiervon nicht erfasst. Der Datenverkehr kann auch Telekommunikationsinhalte umfassen, sofern die Datenübertragung zugleich einen Telekommunikationsvorgang darstellt.

Zu § 3

§ 3 zählt die gesetzlichen Aufgaben des BSI auf. Die Aufgabennormen des § 3 selbst enthalten keine Eingriffsbefugnisse des BSI. Sie hindern auch andere Behörden nicht daran, im Rahmen ihrer Zuständigkeiten vergleichbare Aufgaben wahrzunehmen. Das Bundesministerium der Verteidigung kann für seinen Geschäftsbereich für die Verarbeitung oder Übertragung von Informationen eigene informationstechnische Sicherheitsvorkehrungen ergreifen Systeme, Komponenten oder Prozesse entwickeln, prüfen, bewerten und zulassen, Schlüsseldaten herstellen und Krypto- und Sicherheitsmanagementsysteme betreiben sowie eigene Maßnahmen zur Abwehr von Gefahren für seine Informations- und Kommunikationstechnik ergreifen.

Zu Absatz 1

Nummern 1 und 2

Diese Vorschriften erweitern die Aufgaben des BSI, um die Grundlage für die in §§ 4 bis 8 neu zu schaffenden Befugnisse zu bilden. Der konkrete Umfang der Aufgabenwahrnehmung richtet sich nach diesen Befugnisnormen. Diese neuen Aufgaben nimmt das BSI im Rahmen seiner Befugnisse nach den §§ 4 ff. wahr.

Nummer 3

Die Vorschrift entspricht im Wesentlichen dem bisherigen § 3 Abs. 1 Nr. 1 BSIG. Klargestellt wird dass die Aufgaben nach Nummer 3 die wissenschaftliche Forschung im Rahmen der gesetzlichen Aufgaben des BSI mit umfassen.

Nummern 4 bis 6

Die Vorschriften entsprechen im Wesentlichen den bisherigen § 3 Abs. 1 Nr. 2 und 3 BSIG. Neben der Sicherheitszertifizierung wird auch die Konformitätsbewertung als eigenständige Aufgabe ergänzt. Sie enthalten eine Klarstellung ergänzend zu § 2 Abs. 8.

Nummern 7 und 8

Die Aufgaben der bisherige Nr. 4 wird zur besseren Verständlichkeit auf zwei Nummern aufgeteilt und die Aufgabenbeschreibung an die technische Entwicklung angepasst: Der Betrieb von Krypto- und Sicherheitsmanagementsystemen, z.B. Public Key Infrastructures (PKI) zur Verteilung von Schlüsseldaten, ist eine notwendige Ergänzung der Schlüsselherstellung in modernen Kommunikationssystemen. Außerdem wird die Legaldefinition von Verschlusssachen durch Bezugnahme auf die im Sicherheitsüberprüfungsgesetz enthaltene Begriffsbestimmung vereinheitlicht. Die Änderung der Nummerierung wird in der BSI-KostV nachvollzogen werden. Die Geheimschutzbetreuung von Unternehmen soll weiterhin kostenfrei bleiben.

Nummer 9

Die Aufgaben des technischen Geheimschutzes sollen wegen des engen Sachzusammenhangs und des erforderlichen informationstechnischen Wissens durch das BSI wahrgenommen werden. Die Vorschrift entspricht der Formulierung des § 3 Abs. 2 Nr. 3 BVerfSchG. Das Bundesamt ist insbesondere für die Durchführung von Abstrahlsicherheits-und Lauschabwehrprüfungen, Penetrationstests sowie die Abnahme von technischen Sicherheitseinrichtungen nach der VSA zuständig.

Nummer 10

Die Aufgabennorm bildet die Grundlage für die Befugnisse nach § 8 Abs. 1 und 2.

Nummer 11

Die Aufgabennorm bildet die Grundlage für die Befugnisse nach § 8 Abs. 3.

Nummern 12 und 13

Die Regelungen entsprechen den bisherigen § 3 Abs 1 Nr. 5 und 6 BSIG. Neben den im Gesetz bislang allein aufgeführten Verfassungsschutzbehörden ist hier auch der BND zu nennen.

Nummer 14

Die Vorschrift entspricht im Wesentlichen dem bisherigen § 3 Abs. 1 Nr. 7 BSIG. Es wird klargestellt dass die Beratungsaufgaben auch Warnmeldungen umfassen.

Nummer 15

Seit einigen Jahren haben Staat und Wirtschaft erkannt, dass Unternehmen, insbesondere solche die als kritische Infrastrukturen angesehen werden, durch Angriffe gegen die Kommunikations- und Informationstechnik empfindlich betroffen sein können. Kritische Infrastrukturen sind Organisationen und Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen, bei deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen einträten. Deshalb wird es von staatlicher Seite und der Wirtschaft für erforderlich gehalten, auf freiwilliger Basis Kommunikationsstrukturen zur Krisenprävention und Krisenbewältigung vorzuhalten und sich gegenseitig zu informieren. Erste Arbeiten zur Früherkennung und Bewältigung von IT-Krisen sind abgeschlossen. Dem Bundesamt kommen in diesem Zusammenhang Aufbau- und Koordinierungsaufgaben zu, die gesetzlich abgesichert werden sollten.

Zu Absatz 2

Absatz 2 stellt klar, dass das BSI auch die Länder auf Ersuchen unterstützen kann. Ob das BSI diesem Ersuchen nachkommt, steht in seinem Ermessen.

Zu § 4

Die Vorschrift regelt die Funktion des BSI als zentrale Meldestelle für Informationssicherheit:

Das BSI soll Informationen zu Sicherheitslücken, Schadprogrammen und IT-Sicherheitsvorfällen zentral sammeln und auswerten. Sind Informationen für andere Behörden von Interesse, weil diese z.B. bestimmte Software einsetzen, die von neu entdeckten Sicherheitslücken betroffen ist, informiert das BSI diese unverzüglich. Umgekehrt informieren Bundesbehörden das BSI, wenn dort Erkenntnisse z.B. zu neuen Schadprogrammen, neuen Angriffsmustern oder IT-Sicherheitsvorfällen gewonnen werden.

Die im Rahmen von § 4 übermittelten Informationen sind üblicherweise rein technischer Natur und haben keinen Personenbezug. Sollte im Einzelfall ein Personenbezug gegeben sein richtet sich die Übermittlungsbefugnis nach den allgemeinen datenschutzrechtlichen Regelungen oder ggf. spezialgesetzlichen Regelungen.

Die Übermittlung und Weitergabe von eingestuften Informationen an das BSI durch die Nachrichtendienste des Bundes richtet sich nach dem Bundesverfassungsschutzgesetz (BVerfSchG), dem MAD-Gesetz und dem BND-Gesetz. Dort bestehende Übermittlungsvorschriften können einer Übermittlung von Informationen im Sinne von § 4 Abs. 2 Satz 2 Nr. 1 an das BSI entgegenstehen. Stellen, denen Kraft Verfassung oder Gesetz eine besondere Unabhängigkeit zukommt, wie dem Bundesbeauftragten für Datenschutz und Informationsfreiheit oder den Verfassungsorganen Bundestag, Bundesrat und dem Bundespräsidenten, sind von der Unterrichtungspflicht ausgenommen, wenn eine Übermittlung im Widerspruch zu dieser Unabhängigkeit stehen würde.

Die Einzelheiten des Meldeverfahrens, insbesondere hinsichtlich der Frage, welche Informationen für die Arbeit des BSI bzw. den Schutz der Informationstechnik des Bundes relevant sind, werden in Verwaltungsvorschriften des BMI mit Zustimmung des Rats der IT-Beauftragten der Bundesregierung festgelegt. Damit die Verwaltungsvorschriften rechtzeitig fertiggestellt werden können, findet die Meldepflicht nach § 4 Absatz 3 erst ab 1. Januar 2010 Anwendung. Das Instrument der allgemeinen Verwaltungsvorschriften wurde hier gewählt, um deutlich zu machen, dass die Bundesregierung nur im Rahmen ihrer Weisungsbefugnisse verbindliche Regelungen treffen kann. Andere Verfassungsorgane sind nicht an sie gebunden.

Zu § 5

Zu Absatz 1

Absatz 1 gibt dem BSI die Befugnis, zur Abwehr von Gefahren für die Kommunikationstechnik des Bundes die in Absatz 1 aufgezählten Daten automatisiert auszuwerten.

Gemäß Nummer 1 kann das BSI Protokolldaten, also sog. Logfiles von Servern, Firewalls usw. erheben und automatisiert auswerten. Dies erfolgt zum einen, um Anzeichen für bevorstehende IT-Angriffe zu finden. Hierzu können die Logfiles automatisiert ausgewertet werden z.B. hinsichtlich des Datenvolumens oder durch das automatisierte "Absurfen" von aus dem Bundesnetz heraus aufgerufenen URLs, um sog. Phishing-Seiten zu identifizieren.

Von besonderer Relevanz für die Erkennung und Abwehr von IT-Angriffen sind die Kopfdaten (sog. Header) der gängigen Kommunikationsprotokolle (IP, ICMP, TCP, UDP, DNS, HTTP und SMTP).

Gemäß Nummer 2 kann das BSI auch automatisiert auf ("technische") Telekommunikationsinhalte zugreifen um diese auf Schadprogramme zu untersuchen oder auf Links zu Internetseiten, die ihrerseits Schadsoftware enthalten, die sich beim Aufruf versucht automatisch auf dem Rechner des Benutzers zu installieren. Dies betrifft den Einsatz von Virenscannern und ähnlichen Detektionstools, der bislang nur mit Einwilligung der Betroffenen möglich ist. Die automatisierte Auswertung gestattet nicht die Speicherung der Inhalte über den für die technische Abwicklung des Kommunikations- und Erkennungsvorgangs ohnehin notwendigen Umfang hinaus.

Soweit nicht eine Weiterverarbeitung nach den Absätzen 2 oder 3 ausnahmsweise zulässig ist insbesondere weil sich ein konkreter Verdacht ergibt, sind die nach Absatz 1 erhobenen Daten sofort nach der Auswertung spurenlos zu löschen, so dass ein weitergehender Zugriff auf die Daten nicht mehr möglich ist (BVerfG v. 11. März 2008, 1BvR 2074/05, 1 BvR 1254/07). Protokolldaten nach Absatz 1 Nr. 1, die weder personenbezogene noch dem Fernmeldegeheimnis unterfallende Daten enthalten (z.B. Angaben zur Serverlast), unterfallen nicht der Löschungspflicht.

Eine personenbezogene Verwendung der Protokolldaten nach Absatz 1 Nr. 1 zu anderen Zwecken, insbesondere zur Erstellung von Kommunikationsprofilen oder der Verhaltens- und Leistungskontrolle von Mitarbeitern, ist ausgeschlossen.

Die Datenerhebung nach Nummer 2 erfolgt nur an den Schnittstellen der Kommunikationstechnik des Bundes. Die Begrenzung auf beim Betrieb der Kommunikationstechnik des Bundes anfallende Protokolldaten stellt klar, dass keine Datenerhebung bei Dritten von der Regelung erfasst wird. Die behördeninterne Kommunikation ist ebenfalls nicht erfasst.

Die Datenverarbeitungsbefugnis nach Nummer 1 unterliegt der letzteren Beschränkungen nicht da im Einzelfall eine Untersuchung auch der innerhalb einer Behörde anfallenden Protokolldaten erforderlich sein kann. Insoweit ist allerdings die jeweils betroffene Behörde Herrin der Daten; die Datenverarbeitung kann nur im Einvernehmen mit ihr vorgenommen werden.

Zu Absatz 2

Schadprogramme können regelmäßig erst mit einem zeitlichen Verzug von mehreren Tagen oder Wochen (abhängig von deren Verbreitung) detektiert werden. Wenn ein neues Schadprogramm gefunden wurde, besteht daher die Notwendigkeit, auch rückwirkend zu untersuchen ob dieses bereits zuvor innerhalb der Bundesverwaltung verbreitet wurde, um hierdurch verursachte Schäden zu vermeiden oder zu begrenzen. Einzig zu diesem Zweck dürfen nach Absatz 2 die insoweit relevanten Protokolldaten im Sinne des Absatzes 1 Nr. 1 auch länger gespeichert und im Falle eines bei Abgleich der Daten nach Absatz 3 Satz 2 bestätigten Fundes oder anderer Hinweise auf neue Schadprogramme automatisiert auf weitere Verdachtsfälle ausgewertet werden.

Die Dauer der Speicherung ist abhängig von der technischen Entwicklung und richtet sich danach innerhalb welchen Zeitraums eine Rückschau auf bereits stattgefundene Angriffe verhältnismäßig ist. Sobald das BSI einen neuartigen Angriff unter Verwendung von Schadprogrammen entdeckt, werden die Protokolldaten nach Bezügen zu diesem neuen Angriff untersucht. Dies führt regelmäßig zur Entdeckung von ähnlichen Angriffen, die bereits stattgefunden haben. Aufgrund dieser Erkenntnisse werden die betroffenen Behörden informiert um die notwendigen Maßnahmen zur Verhinderung von Schäden und zur Abwehr weiterer Angriffe treffen zu können. Die Speicherdauer von maximal drei Monaten ist auch angemessen: Nach den bisherigen Erfahrungen wird der größte Teil (ca. 80%) der Angriffe innerhalb der ersten drei Monate entdeckt, womit lediglich etwa zwanzig Prozent der Angriffe noch entdeckt würden, wenn die Daten länger als drei Monate gespeichert werden könnten. Unter Berücksichtigung des Schutzbedarfs der Behörden wird deshalb die maximale Speicherdauer der zur Erkennung von Schadprogrammen relevanten Protokolldaten auf drei Monate festgelegt. Nach Ablauf dieser Zeitspanne sind die Protokolldaten spurenlos zu löschen.

Im Trefferfall erfolgt die Weiterverarbeitung der trefferrelevanten Daten nach Absatz 3. Die Vorgaben des Absatzes 2 sind auch durch organisatorische und technische Maßnahmen sicherzustellen.

Zu Absatz 3

Wenn, insbesondere aufgrund der Maßnahmen nach Absatz 1, ein konkreter Verdacht auf das Vorliegen eines Schadprogramms besteht, sind nach Absatz 3 weitergehende Maßnahmen möglich. In einem ersten Schritt sind die notwendigen Untersuchungen zulässig, die nötig sind, um den konkreten Verdacht zu bestätigen oder zu widerlegen. Im Falle eines Fehlalarms ist die betroffene Behörde bzw. der betroffene Mitarbeiter, soweit feststellbar, hiervon zu unterrichten. Die Daten sind dann, ggf. nach Weiterleitung an den ursprünglichen Adressaten, wieder zu löschen. Im Falle der Bestätigung können die Daten zum Zweck der Abwehr des Schadprogramms oder ähnlicher Schadprogramme, z.B. durch Untersuchung der Funktionsweise des Schadprogramms, durch Aufnahme der Virensignatur o.ä. verwendet werden. Dabei sind personenbezogene Daten gemäß § 3a BDSG soweit möglich zu anonymisieren oder zu pseudonymisieren. Außerdem kann ein durch das Schadprogramm ausgelöster ungewollter Datenstrom detektiert und ggf. unterbunden werden. Auch hiervon sind die betroffene Person oder Behörde zu unterrichten.

Die Unterrichtung des Absenders des Schadprogramms dürfte im Regelfall nicht möglich sein weil der Absender bereits technisch, etwa aufgrund von gefälschten Adressen, nicht ermittelbar ist. Die Unterrichtung unterbleibt ferner, wenn dieser schutzwürdige Belange Dritter entgegenstehen. Werden die Daten aufgrund der Befugnisse nach Absatz 4 oder 5 für ein Strafverfahren oder für Zwecke der Verfassungsschutzbehörden weiterverwendet, erfolgt die Benachrichtigung durch die insoweit zuständigen Behörden nach Maßgabe der für diese geltenden Vorschriften der Strafprozessordnung, der Polizeigesetze oder der Verfassungsschutzgesetze. So gilt z.B. für Mitteilungen durch das Bundesamt für Verfassungsschutz die Regelung des § 9 Abs. 3 BVerfSchG, nach dem bei den dort genannten besonders grundrechtsrelevanten Eingriffen eine Mitteilung an den Betroffenen erforderlich ist sobald eine Gefährdung des Zweckes des Eingriffs ausgeschlossen werden kann.

Soweit keine Regelung zur Benachrichtigung existiert, gelten die Vorschriften der Strafprozessordnung.

Zu Absatz 4

Angriffe auf die Informationstechnik des Bundes mittels Schadprogrammen stellen zugleich auch Straftaten oder eine Gefahr für die öffentliche Sicherheit dar. Absatz 4 Satz 1 gestattet dem BSI daher, die Daten auch an die insoweit zuständigen Behörden zu übermitteln sofern dies zur Verfolgung einer Straftat von erheblicher Bedeutung oder einer mittels Telekommunikation begangenen Straftat erforderlich ist. Außerdem darf das BSI-Daten im Rahmen des ursprünglichen Verwendungszwecks übermitteln, also wenn eine Gefahr für die öffentliche Sicherheit unmittelbar von dem gefundenen Schadprogramm ausgeht oder wenn ein nachrichtendienstlicher Hintergrund vorliegt.

Zu Absatz 5

Eine zweckändernde Übermittlung möglicher Zufallsfunde an die Polizeien oder Verfassungsschutzbehörden ist hingegen nur unter den engen Voraussetzungen des Absatzes 5 zulässig. Diese bedarf der gerichtlichen Zustimmung bzw., im Falle der Übermittlung an die Verfassungsschutzbehörden, der Beachtung des Verfahrens nach dem G10-Gesetz.

Da Ziel der Maßnahmen die Suche nach Schadprogrammen, also technischen Inhalten, aber nicht die Auswertung der eigentlichen Kommunikationsinhalte ist, ist ein Richtervorbehalt wie bei den vergleichbaren Regelungen in § 64 Abs. 1 TKG oder § 14 Abs. 7 EMVG nur bei dieser zweckändernden Übermittlung erforderlich.

Zu Absatz 6

Eine darüber hinausgehende Nutzung oder Verarbeitung von Telekommunikationsinhalten, insbesondere des semantischen Inhalts, ist untersagt. Wird im Rahmen der Überprüfung nach Absatz 2 festgestellt, dass Daten dem Kernbereich privater Lebensgestaltung zuzurechnen sind, sind diese unverzüglich zu löschen; die Tatsache ihrer Erlangung und Löschung ist aktenkundig zu machen. Auf eine Pflicht zur begleitenden Kernbereichskontrolle wurde verzichtet, da diese gegenüber der eigentlichen Maßnahme einen stärkeren Grundrechtseingriff darstellte: Die Inhaltsauswertung durch das BSI beschränkt sich auf die Durchsicht der technischen Steuerbefehle. Semantische Inhalte können hierbei allenfalls als Zufallsfunde in Ausnahmefällen erkannt werden. Eine ständige Kontrolle auf Kernbereichsrelevanz würde hingegen die inhaltliche Auswertung auch der "menschlichen" Kommunikationsanteile erforderlich machen.

Zu Absatz 7

Die Befugnisse des BSI nach § 5 erlauben eine Erhebung und Verarbeitung von personenbezogenen Daten. Diese unterliegt gemäß § 24 BDSG der Kontrolle durch den Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI). Vor Aufnahme der Datenverarbeitung hat das BSI ein Datenschutzkonzept zu erstellen und für Prüfungen durch den BfDI bereit zu halten. Aufgrund der hohen Verantwortung der Ressorts gegenüber der Vertraulichkeit der Kommunikation der Mitarbeiter und Mitarbeiterinnen soll der BfDI neben der Berichtspflicht aus § 24 Abs. 5 Satz 1 BDSG auch den Rat der IT-Beauftragten der Bundesregierung über das Ergebnis seiner Kontrollen informieren.

Zu § 6

Die Vorschrift konkretisiert die Löschungspflichten nach dem Bundesdatenschutzgesetz sowie nach § 5, wenn erhobene personenbezogene oder personenbeziehbare Daten (z.B. Email-Adressen in Logfiles) nicht mehr benötigt werden. Im Übrigen gelten für die Verarbeitung personenbezogener Daten durch das BSI die Vorschriften des Bundesdatenschutzgesetzes.

So sind personenbezogene Daten insbesondere nach Maßgabe des § 3a Satz 2 BDSG zu anonymisieren oder zu pseudonymisieren; zudem gilt das Gebot der Datensparsamkeit nach § 3a Satz 1 BDSG.

Zu § 7

Die Vorschrift regelt die genauen Umstände, unter denen das BSI aufgrund von gewonnen Erkenntnissen über Sicherheitslücken oder Schadprogramme die Öffentlichkeit oder betroffene Stellen informieren darf und Produktwarnungen oder -empfehlungen aussprechen kann. Warnungen gegenüber Bundesbehörden regelt § 4 Abs. 2.

Zu § 8

Zu Absatz 1

Absatz 1 regelt die Befugnis des BSI, allgemeine technische Mindeststandards für die IT-Sicherheit zu entwickeln, wie dies bereits heute z. B: in Form des Grundschutzhandbuchs oder in Prüfvorschriften erfolgt. Soweit erforderlich kann das Bundesministerium des Innern mit Zustimmung des Rats der IT-Beauftragten der Bundesregierung bestimmte Vorgaben als allgemeine Verwaltungsvorschriften erlassen und dadurch für die Bundesverwaltung für verbindlich erklären. Dies kann eingeschränkt werden, z.B. auf bestimmte Einsatzszenarien. Das Instrument der allgemeinen Verwaltungsvorschriften wurde hier gewählt um deutlich zu machen, dass die Bundesregierung nur im Rahmen ihrer Weisungsbefugnisse verbindliche Regelungen treffen kann. Andere Verfassungsorgane sind an diese nicht gebunden. Die Ausnahme hinsichtlich der Zustimmungsbedürftigkeit des Erlasses einer allgemeinen Verwaltungsvorschrift beruht auf der besonderen Bedeutung der ressortübergreifenden Netze der Bundesregierung und ihres Schutzes und entspricht dem im Umsetzungsplan Bund vom Bundeskabinett verabschiedeten IT-Sicherheitskonzept für die Bundesverwaltung. Die Sicherheit der ressortübergreifenden Netze hängt sowohl von den innerhalb des Netzes umgesetzten Sicherheitsvorkehrungen als auch von den Sicherheitsmaßnahmen der diese Netze nutzenden Behörden ab. Sicherheitslücken auf Behördenseite können dabei die Gesamtsicherheit des Regierungsnetzes und damit aller anderen Behörden gefährden. Für andere Verfassungsorgane sowie Bundesgerichte haben die Vorgaben lediglich empfehlenden Charakter.

Zu Absatz 2

Absatz 2 ermächtigt das BSI, für die Beschaffung von Informationstechnik verbindliche Richtlinien zu verfassen. Diese sind bei der Bedarfsfestlegung durch die beschaffende Stelle zu berücksichtigen. Dies beinhaltet z.B. Vorschriften zur Risikoanalyse, zur Auswahl und zu den IT-Sicherheits-Anforderungen, die z.B. im Rahmen eines Vergabeverfahrens an die Eignung der Anbieter und die ausgeschriebenen Leistungen zu berücksichtigen sind. Ein einmal erworbenes unsicheres Produkt kann auch durch entsprechende Konfiguration in der Regel nicht mehr hinreichend abgesichert werden. Die so geschaffenen Sicherheitslücken können ggf. auch die Informationstechnik anderer vernetzter Behörden gefährden. Die steigende Abhängigkeit der Verwaltung von Informationstechnik einerseits die zunehmende Komplexität und damit Angreifbarkeit dieser Technik andererseits machen es erforderlich, dass abstrakte Qualitätskriterien bereits für die Auswahl von Informationstechnik durch eine zentrale Stelle wie das BSI festgelegt werden.

Das Erfordernis der Abgabe der Verdingungsunterlagen an einen anhand unzulänglich aufgestellter Eignungskriterien ausgewählten Auftragnehmer kann bereits wegen der enthaltenen Leistungsanforderungen und sonstigen Informationen ein hohes Sicherheitsrisiko darstellen und die Sicherheitsinteressen der Bundesrepublik Deutschland gefährden.

Die vergaberechtlichen Vorschriften insbesondere des Gesetzes gegen Wettbewerbsbeschränkungen (GWB) bleiben unberührt. Die festzulegenden Anforderungen sollen den beschaffenden Behörden im Vorfeld von Vergabeverfahren Leitlinien an die Hand geben, wie Eignungs- und Leistungsanforderungen abhängig vom Einsatzzweck der Informationstechnik zu entwickeln und zu formulieren sind, um ein der Risikoeinschätzung entsprechendes Sicherheitsniveau zu erhalten. Soweit Vorschriften des Geheimschutzes, wie beispielsweise die Verschlusssachenanweisung, besondere Vorgaben für öffentliche Beschaffungsvorgänge machen, gehen diese vor.

Zu Absatz 3

Die Vorschrift regelt die Befugnis des BSI, bestimmte IT-Sicherheitsprodukte (z.B. Virenscanner, Firewalls, Verschlüsselungstechnik usw.) für die gesamte Bundesverwaltung selbst zu entwickeln oder öffentliche Aufträge zu vergeben. Ob das BSI von der Befugnis Gebrauch macht, steht in dessen Ermessen und ist insbesondere davon abhängig, ob eine Prognose ergibt, dass durch die zentrale Bereitstellung die IT-Sicherheit erhöht oder (etwa durch Mengenrabatte) Kosten gespart werden können. Hierzu ist insbesondere im Vorfeld eine Bedarfsermittlung durchzuführen. Wenn das BSI von seiner Befugnis Gebrauch macht, kann die Abnahme für die Behörden durch Beschluss des Rats der IT-Beauftragten der Bundesregierung verpflichtend gemacht werden.

Zu § 9 Absätze 1 und 2

§ 9 entspricht im Wesentlichen dem bisherigen § 4 BSIG. Das Zertifizierungsverfahren soll durch die redaktionelle Überarbeitung besser als bisher im Gesetz abgebildet werden.

Absatz 1 stellt klar, dass das BSI die nationale Zertifizierungsstelle der Bundesverwaltung für IT-Sicherheit ist. Als solche erteilt das BSI das deutsche IT-Sicherheitszertifikat. In Absatz 2 wird durch Umstellung der bisherigen Formulierung klargestellt, dass neben Produkten, Komponenten und Systemen auch Personen und IT-Sicherheitsdienstleister zertifiziert werden können. Damit ist das Bundesamt unter anderem für die Zertifizierung von Auditoren, Evaluatoren, Prüfern, Lauschabwehr- und Abstrahlprüfstellen zuständig.

Spezialgesetzlich geregelte Befugnisse anderer Behörden, insbesondere der Bundesnetzagentur nach dem Signaturgesetz, sowie Zertifizierungsdienstleistungen der Wirtschaft bleiben unberührt.

Zu Absatz 3

Im Rahmen von Zertifizierungsverfahren kann sich das BSI wie bislang sachverständiger Stellen bedienen.

Zu Absatz 4

Entspricht dem bisherigen § 4 Absatz 3.

Zu Absatz 5

Folgeregelung zu Absatz 2.

Zu Absatz 6

Absatz 6 regelt die Voraussetzungen für eine Anerkennung gemäß § 9 Abs. 3.

Zu Absatz 7

Entspricht dem bisherigen § 4 Abs. 4. Es wird klargestellt, dass die Gleichwertigkeit eines Zertifikats durch das Bundesamt festgestellt werden muss.

Zu § 10

Redaktionelle Anpassung des bisherigen § 5 (Nennung auch der Auslagen in der Verordnungsermächtigung).

Zu § 11

Durch die Befugnisse nach § 5 Abs. 2 bis 5 wird in das Fernmeldegeheimnis aus Art. 10

GG eingegriffen. Durch § 10 wird dem Zitiergebot aus Art. 19 Abs. 1 GG Genüge getan.

Zu § 12

Einzelne Bestimmungen verweisen auf eine Zustimmung des Rats der IT-Beauftragten der Bundesregierung (IT-Rat), so § 4 Abs. 6 und § 8 Abs. 1 Satz 2 und Abs. 3 Satz 4.

Dieser ist im Rahmen des IT-Steuerungskonzepts der Bundesregierung mit Beschluss des Bundeskabinetts vom Dezember 2007 eingerichtet worden und entscheidet einstimmig.

Sollte dieses Gremium wieder aufgelöst werden, gehen die Befugnisse auf die entsprechende Nachfolgeorganisation über, sollte er ersatzlos wegfallen oder nicht mehr zusammentreten kann an die Stelle der Zustimmung des IT-Rats das Einvernehmen der Bundesministerien treten.

Kommt ein Beschluss des IT-Rats nicht zustande, etwa weil keine Sitzung stattfindet oder auf dieser Ebene keine Einigung erzielt wird, kann dieser durch das Einvernehmen aller Ressorts ersetzt werden. Eine Ersetzung des IT-Rats-Beschlusses durch einen Beschluss der IT-Steuerungsgruppe ist nicht möglich.

Zu Artikel 2 (Änderung des Telekommunikationsgesetzes)

§ 109 Abs. 2 TKG wird dahingehend ergänzt, dass die Bundesnetzagentur ermächtigt wird im Benehmen mit dem BSI einen Katalog von Sicherheitsanforderungen für das Betreiben von Telekommunikations- und Datenverarbeitungssystemen zu erstellen und nach Anhörung der Hersteller und Betreiber von Telekommunikationsanlagen zu veröffentlichen, der als Grundlage für die nach Absatz 3 von den Unternehmen zu erstellenden Sicherheitskonzepten dienen soll, um insgesamt eine höhere Sicherheit sowohl in den Telekommunikations- und Datenverarbeitungssystemen als auch in den Telekommunikationsnetzen zu gewährleisten.

Der neue Satz 5 im Absatz 3 ermächtigt die Bundesnetzagentur die Einhaltung der Sicherheitskonzepte bei den Verpflichteten in regelmäßigen Abständen überprüfen zu können.

Zu Artikel 3 (Änderung des Telemediengesetzes)

Das Telemediengesetz enthält keine dem § 100 Abs. 1 TKG entsprechende Bestimmung, die es Diensteanbietern ermöglicht, Nutzungsdaten zu erheben und zu verwenden, falls dies zum Erkennen, Eingrenzen oder Beseitigen von Störungen seiner technischen Einrichtungen erforderlich ist. Hier besteht eine Lücke im Bereich der Erlaubnistatbestände des Telemediengesetzes, denn auch die Telemedienanbieter brauchen eine entsprechende Ermächtigung, beispielsweise um Angriffe (Denial of Service, Schadprogramme, Veränderung ihrer Webangebote von außerhalb) abwehren zu können. Zur Erkennung und Abwehr bestimmter Angriffe gegen Webseiten und andere Telemedien ist die Erhebung und kurzfristige Speicherung und Auswertung der Nutzungsdaten erforderlich. Diese soll durch den neuen § 15 Abs. 9 TMG, der sich an § 100 Abs. 1 TKG anlehnt, geschaffen werden. Dabei ist auch eine Weiterentwicklung der Angriffsmethoden zu berücksichtigen.

Zur Durchführung von Angriffen werden neuerdings verstärkt auch manipulierte Webseiten genutzt. Für die Anbieter von (Telemedien-)Diensten im Internet bedeutet dies, dass sich die zu verfolgenden IT-Sicherheitsziele im Internet verändert haben. Sie müssen ihre Systeme nicht nur zum Selbstschutz gegen Manipulationen, Hacking oder Verfügbarkeitsangriffe schützen sondern sie müssen heute ihre Systeme auch gegen Angriffe härten, die diese Systeme nur als Zwischenstation für Angriffe auf die Nutzer der Dienste missbrauchen. Technische Einrichtungen im Sinne dieser Vorschrift sind alle Einrichtungen des Diensteanbieters, die dieser benötigt, um sein Telemedienangebot zur Verfügung zu stellen. Insbesondere ist das der Datenspeicher (Server), auf dem das Telemedienangebot zum Abruf bereitgehalten wird. Der Begriff der Störung ist umfassend zu verstehen als jede vom Diensteanbieter nicht gewollte Veränderung der von ihm für sein Telemedienangebot genutzten technischen Einrichtungen, also beispielsweise auch eine Veränderung, welche die technische Einrichtung selbst nur als Zwischenstation nutzt, um die Nutzer des Telemedienangebots anzugreifen.

Zu Artikel 4 (Inkrafttreten, Außerkrafttreten)

Die Vorschrift regelt das Inkrafttreten. Zeitgleich tritt das bisherige BSI-Errichtungsgesetz außer Kraft.

->

Anlage
Stellungnahme des Nationalen Normenkontrollrates gem. § 6 Abs. 1 NKR-Gesetz:
NKR-Nr. 574:
Entwurf eines ersten Gesetzes zur Änderung des BSI-Errichtungsgesetzes und anderer Gesetze

Der Nationale Normenkontrollrat hat das oben genannte Regelungsvorhaben auf Bürokratiekosten, die durch Informationspflichten begründet werden, geprüft.

Mit dem Regelungsvorhaben werden fünf Informationspflichten für die Verwaltung neu eingeführt. Das Ressort hat die Informationspflichten und daraus resultierende bürokratische Auswirkungen nachvollziehbar dargestellt.

Danach dienen drei Informationspflichten der Wahrung der Rechte von Betroffenen und sind verfassungsrechtlich vorgegeben. Zwei Informationspflichten dienen dem verbesserten Informationsaustausch zu Sicherheitslücken und Sicherheitsvorkehrungen in der Informationstechnik. Dabei hat das Ressort deutlich gemacht, dass durch die zentrale Sammlung, Aufbereitung und Verteilung von IT-Sicherheitsinformationen durch das Bundesamt für Sicherheit in der Informationstechnik eine Regelungsalternative gewählt wurde die im höchstmöglichen Maß Synergieeffekte nutzt.

Der Nationale Normenkontrollrat hat daher im Rahmen seines gesetzlichen Prüfauftrags keine Bedenken gegen das Regelungsvorhaben.

Dr. Ludewig Bachmaier
Vorsitzender Berichterstatter