IT-Sicherheit und Datenschutz – ein ungelöstes Spannungsverhältnis

Die Digitalisierung unseres Daseins ist bleibend und steigend. Um aber die Vorteile der Digitalisierung schadlos nutzen zu können, muss das damit steigende Risiko der IT-Sicherheit weitestgehend minimiert werden.

Mangelnde IT-Sicherheit in Deutschland trotz steigender Digitalisierung

Eine aktuelle Studie des Bitkom Research offenbart dringenden Handlungsbedarf. Laut der Studie sind Schäden, verbunden mit dem Ausfall von Systemen oder der Störung von Betriebsabläufen, in Deutschland von 2019 bis 2021 um 358 % gestiegen.¹ In Zeiten, in denen die Entlastung von Krankenhäusern so wichtig wie noch nie ist, fand im September 2020 ein Ransomware-Angriff auf die Düsseldorfer Universitätsklinik statt. Das vollständige Hochfahren der IT-Systeme dauerte 13 Tage, sodass die Notfallambulanz vorübergehend nicht voll ausgelastet werden konnte.² Im Bericht zur „Lage der IT-Sicherheit in Deutschland 2021“ vom BSI wird die IT-Sicherheitslage für den vergangenen Bearbeitungszeitraum aufgrund von 14,8 Mio. übermittelten Meldungen zu Schadprogramm-Infektionen an Netzbetreiber als angespannt bis kritisch gewertet.³

Welche Maßnahme folgte aus der Politik?

So dürfte es eigentlich zu begrüßen sein, dass Mitte 2021 das IT-Sicherheitsgesetz (IT-SiG 2.0) erneuert wurde. Das IT-SiG 2.0 wurde am 23.04.2021 vom Bundestag beschlossen. Der überwiegende Teil trat am 28.05.2021 in Kraft, der Rest am 01.12.2021. Es handelt sich dabei um ein Artikelgesetz, das zum größten Teil das BSI-Gesetz erfasst. Durch das IT-SiG 2.0 wurde zum einen die Siedlungsabfallentsorgung als KRITIS hinzugefügt (vgl. § 2 Abs. 10 Nr. 1 BSIG), zum anderen fallen nun auch Unternehmen im besonderen öffentlichen Interesse (vgl. § 2 Abs. 14 BSIG) unter ähnliche Pflichten, wenn auch nicht dermaßen aufwendigen wie für die KRITIS. Dazu zählen die Rüstungs- und Chemieindustrie sowie Unternehmen aus der Automobil- und Maschinenbauindustrie, sofern sie eine volkswirtschaftliche Bedeutung aufweisen. Nach der BSI-Kritisverordnung zählen auch Krankenhäuser mit einer jährlichen Zahl von mindestens 30.000 vollstationären Fällen als kritische Infrastrukturen.

Was folgt für KRITIS-Betreiber und ähnliche?

Ihnen obliegen die Registrierung beim BSI, das Einrichten einer Kontaktstelle, die Meldung von Störungen, die Registrierung kritischer Komponenten, sowie ein unabhängiges Audit der IT-Sicherheit alle zwei Jahre. Zudem sind KRITIS-Unternehmen nach § 8a Abs. 1a BSIG ab dem 1. Mai 2023 verpflichtet, Systeme zur Angriffserkennung eigenverantwortlich einzusetzen. Diese sollen dazu in der Lage sein, fortwährend Bedrohungen zu identifizieren und zu vermeiden 

sowie geeignete Beseitigungsmaßnahmen für eingetretene Störungen vorzusehen. (Anmerkung: Seit dem 1. Januar 2022 schreibt § 75 c SGB V auch kleineren Kliniken, die nicht unter die KRITIS-Verordnung fallen, vor, ihre IT-Sicherheit auf den Stand der Technik zu bringen und zu halten)

Erweiterte Befugnisse für das BSI

Mit dem IT-SiG 2.0 wird das Instrumentarium des BSI erheblich erweitert. Alle neuen Befugnisse des BSI bestehen im Wesentlichen aus Auskunfts‑, Überwachungs- und Anordnungsrechten.

Ein Ausschnitt dieser neuen Befugnisse:

• § 4a BSIG = Kontrolle der Informationstechnik des Bundes, Betretensrechte
• § 5 Abs. 2 BSIG = Erhöhung der Speicherfrist von 3 auf 18 Monate
• § 5 Abs. 2a BSIG = manuelle Verarbeitung vor (De-)Pseudonymisierung erlaubt
• § 5 Abs. 5, 6 BSIG = Übermittlungsbefugnis von Daten an Sicherheitsbehörden
• § 5c Abs. 1 BSIG = Auskunftsbefugnis gegenüber Telekommunikationsdienstleister über die erhobenen Bestandsdaten i.S.d. TKG
• § 7 b BSIG = Befugnis zu Portscans und Honeypots
• § 7c Abs. 1 S. 1 Nr. 1 BSIG = Anordnungsbefugnis gegenüber Dienstanbietern
• § 7c Abs. 3 = Umleitung zum BSI (Sinkholing)
• § 8b Abs. 4a BSIG = Umfassende Herausgabe von personenbezogenen Daten bei erheblichen Störungen

Das IT-SiG 2.0 stand daher schon vor Verabschiedung unter Beschuss von Sachverständigen. Die Anhörung des Innenausschusses zum IT-SiG 2.0 lief mit fundamentaler Kritik ab. In der Stellungnahme der AG KRITIS wird die Schlussfolgerung gezogen, dass das BSI als „Handlanger“ der Nachrichtendienste und der Polizei instrumentalisiert werden soll.⁴ Die Befugnis als zentrale Bundesbehörde für IT-Sicherheit, selber Schadprogramme und andere Hacking-Methoden anzuwenden, ließ den Vorwurf als „Hackerbehörde“ laut werden.⁵ Das Artikelgesetz soll die schon bestehende massive und anlasslose Datenverarbeitung in höhere Ausmaße tragen – zum Schutze der IT-Sicherheit (!). Fraglich erscheint jedoch, inwiefern das IT-SiG 2.0 die Schutzziele des Datenschutzes erfüllt oder diese wohlmöglich selbst gefährdet.

Angesichts der neuen Vorgaben, vielfältigen Befugnissen des BSI und dem weit angespannten Verhältnis zum Datenschutz sind Adressaten von IT-Sicherheitsmaßnahmen gut darin beraten, sich mit Experten auszutauschen und notwendige Maßnahmen in ihren Betrieben durch Expertenhilfe zu etablieren.

¹ https://www.bundestag.de/resource/blob/825126/c932641828f11342efb2fbf372fa3dbc/A-Drs-19-4-741-C-data.pdf auf Seite 8 (abgerufen am 07.06.2022)

² https://www.heise.de/news/IT-Sicherheitsgesetz-2-0-Bundestag-baut-BSI-zur-Hackerbehoerde-aus-6026709.html (abgerufen am 07.06.2022)

³ https://www.bitkom.org/Presse/Presseinformation/Lagebericht-IT-Sicherheit-2021 (abgerufen am 07.06.2022)

⁴ https://www.uniklinik-duesseldorf.de/ueber-uns/pressemitteilungen/detail/it-ausfall-an-der-uniklinik-duesseldorf (abgerufen am 07.06.2022)

⁵ https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/Lageberichte/Lagebericht2021.pdf?__blob=publicationFile&v=3  (abgerufen am 07.06.2022)