Vor einem Monat haben wir die fehlende IT-Sicherheit in Deutschland, das IT-SiG 2.0 als Antwort aus der Politik darauf, die daraus entstandenen Pflichten und das Spannungsverhältnis zum Datenschutz angeschnitten.
Darf das BSI nun hacken?
§ 7 b BSIG gibt dem BSI Befugnisse Portscans und aktive Honeypots einzusetzen, um Informationen über Angriffe auszuwerten. Dabei handelt es sich um gängige Hackermethoden. Während beim Portscan durch Abfragen Schwachstellen von IT-Systemen entdeckt werden sollen, geht es bei Honeypots darum einem Angreifer einen erfolgreichen Angriff vorzutäuschen, um den Einsatz von Angriffsmethoden auszuwerten. Durch Portscans soll ermittelt werden, ob bspw. ein Passwortschutz vorhanden ist oder Systeme ungewollte Daten liefern.[1] Je nach Schwere der Sicherheitslücke kann der Portscan dazu führen, dass das BSI von dem Zielsystem persönliche Daten geliefert bekommt.[2] Im Rahmen von Honeypots können Software bei den Betroffenen installiert werden. § 7b Abs. 4 S. 2 BSIG gestattet dem BSI auch die für den Honeypot erforderliche Datenverarbeitung. Die gewonnenen Erkenntnisse kann das BSI im Rahmen seiner gesetzlichen Informations- und Warnungsbefugnisse verwenden. Durch die Anwendung dieser Methoden steigen die Verarbeitungen enorm an.
Bewertung anhand der Grundsätze der DSGVO
In der Gesetzesbegründung wird auf die Häufigkeit von Sicherheitslücken in Portstellen verwiesen und eine daraus bestehende Notwendigkeit für die Anwendung dieser Hackingmethoden abgeleitet.[3] Diese Methoden sind intensive Eingriffe in das „IT-Grundrecht“ (Recht auf Vertraulich und Integrität informationstechnischer Systeme, Art. 2 I i.V.m. Art. 1 I GG).[4] Portscans sind nach § 7b Abs. 2 BSIG nur zulässig, wenn Tatsachen die Annahme rechtfertigen, dass die Systeme ungeschützt sein können. Zur Eingrenzung der Portscans solle eine Weiße Liste (vgl. § 7b Abs. 1 S. 2 BSIG) dienen. Die Liste selbst wiederrum wird hierfür massiv Daten speichern müssen, wodurch das Datenminimierungsprinzip leidet.
Nach Ansicht von IT-Experten sei der Portscan ineffizient, da Angreifer Sicherheitslücken automatisch nutzen würden und das BSI beim Nachkommen hinterherhängen würde. Viel effektiver und wirtschaftlicher ließe sich dieser Schutz realisieren, wenn Sicherheitslücken schon beim Entstehen minimiert werden.[5] Angenommen diese Facheinschätzung stimme, dann würden die „Hackermethoden“ des BSI diametral zu den Grundsätzen aus Art. 5 DSGVO stehen, da die Pflicht besteht, den Zweck der Verarbeitung auf dem datenärmsten Weg zu verfolgen. Die hier gesammelten Daten dürfen unter Umständen für Strafverfolgungs- und nachrichtendienstliche Zwecke verwendet werden (vgl. § 5 V, VI BSIG). Problematisch stellt sich diese Regelung mit dem Zweckbindungsgrundsatz.
Aus datenschutzfreundlicher Seite ist die jährliche Unterrichtspflicht an den Bundesbeauftragten für Datenschutz über Anzahl der ergriffenen Portscans (§ 7b Abs. 3 BSIG) anzuerkennen.
Während der Portscan den Regeln der §§ 7´b Abs. 1-3 BSIG unterliegt, enthält §7b Abs. 4 keine Regel, die einen unverhältnismäßigen Eingriff durch einen Honeypots vermeiden kann. Das Fehlen dieser Einschränkungen wirkt sich nachteilig auf die Grundsätze aus. Zudem wird der Zweck in § 7b Abs. 4 S. 2 „erforderliche Daten“ weit gefasst, sodass eine Bestimmung des Zweckes i.S.d. Zweckbindungsgrundsatzes eher schwierig anzunehmen ist.
Empfehlung
Wie schon im ersten Teil dieser Serie erwähnt, hat sich der Adressatenkreis des BSIG erweitert. Die Tendenz im BSIG ist auch in anderen Gesetzen und somit gegenüber weiteren Adressatenkreisen zu erkennen.
Sofern Sie Adressat von Pflichten gegenüber dem Bundesamt für Sicherheit in der Informationstechnik sind oder IT-Sicherheitsmaßnahmen umsetzen müssen, empfiehlt es sich Experten für Datenschutz und Informationssicherheit zu beauftragen. Das Spannungsverhältnis wird damit zwar nicht aufgehoben, jedoch können Risiken enorm minimiert werden.
[1] Ritter, Ritter, Rn. 363.
[2] CR 8/2021, 516, 517.
[3] RegE, S. 69.
[4] Keppeler, Ritter, Rn. 352.
[5] A.-Drs. 19/(4)741F, S. 27.