2. Dezember 2022
Auf dem NATO-Gipfel in Bukarest kamen in der vergangenen Woche die Mitgliedsstaaten der Allianz zusammen. Neben dem russischen Angriffskrieg wurde dort auch die Sicherheit der IT-Infrastruktur der Verbündeten thematisiert. Im Zuge dessen warnte die US-Regierung Deutschland und andere europäische Verbündete vor dem chinesischen Netzausrüster Huawei. Die Sicherheit der Netz- und IT-Infrastruktur sei auch für die Sicherheit der NATO essenziell. Mobilfunknetze sollten demnach vor chinesischem Einfluss abgesichert werden.
Weitere Verbote in den USA
Die USA weisen schon länger auf die engen Verbindungen zwischen Huawei und den chinesischen Behörden hin und warnen vor Spionage und Sabotage. Die Regierung erließ unter Präsident Trump ein Embargo, das amerikanischen Unternehmen nicht gestattet, mit Huawei Geschäfte zu betreiben.
„Die Vereinigten Staaten sind der Überzeugung, dass wir nicht-vertrauenswürdigen Anbietern nicht gestatten können, an unserer digitalen Infrastruktur, einschließlich unseres 5G-Netzes, mitzuwirken“, erklärte die NATO-Botschafterin der USA, Julianne Smith, in einem Interview mit dem Handelsblatt. Der Einsatz solcher Anbieter würde „inakzeptable Risiken für die nationale Sicherheit mit sich bringen und zugleich eine Gefahr für die Privatsphäre der Bürger darstellen“.
Vergangene Woche wurde dann auch die Zulassung neuer Telekommunikationsgeräte der chinesischen Unternehmen Huawei Technologies und ZTE durch die US-Regierung verboten, da sie ein „inakzeptables Risiko“ für die nationale Sicherheit der USA darstellten.
Die US Federal Communications Commission (FCC) teilte am Freitag mit, dass sie die endgültigen Regeln verabschiedet habe, die auch den Verkauf oder die Einfuhr von Geräten des chinesischen Überwachungsgeräteherstellers Dahua Technology, der Videoüberwachungsfirma Hangzhou Hikvision Digital Technology und der Telekommunikationsfirma Hytera Communications Corp. verbieten. Dieser Schritt ist das jüngste Vorgehen Washingtons gegen chinesische Tech-Giganten, von denen befürchtet wird, dass Peking sie zum Ausspionieren von Amerikanern einsetzen könnte.
Auch in Deutschland umstritten
Als die Diskussion um Sicherheitsbedenken durch den Einsatz von Netzwerktechnik aus der Volksrepublik China im Jahr 2019 zuletzt aufkam, hatte die damalige Bundesregierung noch betont, dass man zwar die Bedenken zur Kenntnis genommen habe, selbst aber keine Konsequenzen vorsehe.
Nach mehreren Warnungen leitete auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) Untersuchungen ein, die noch nicht abgeschlossen sind.
Als Reaktion auf die steigende Spionagegefahr in kritischen Infrastrukturen wie Mobilfunknetzen wurde in Deutschland das sog. Zweite Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz 2.0) Ende Mai 2021 verkündet. Kurze Zeit später veröffentlichte die Bundesnetzagentur als Ergänzung des Gesetzes den gemeinsam mit dem BSI erarbeiteten neuen Katalog für die Sicherheitsanforderungen für Telekommunikationsnetze. Mit diesem Gesetz wurden nicht nur Betreibern Kritischer Infrastrukturen strengere Vorgaben für die IT-Sicherheit auferlegt, sondern erstmals auch Vorschriften für Unternehmen im besonderen öffentlichen Interesse erlassen. Bei Nichteinhaltung drohen hohe Bußgelder. Ordnungswidrigkeiten können laut §14 Abs. 5 BSIG mit Geldbußen von bis zu 2 Mio. Euro belegt werden. Darüber hinaus ist es möglich, kritische Bauteile zu verbieten, wenn deren Einsatz den „sicherheitspolitischen Zielen der Bundesrepublik Deutschland, der EU oder der NATO“ entgegensteht oder der Hersteller „unmittelbar oder mittelbar von der Regierung, einschließlich sonstiger staatlicher Stellen oder Streitkräfte, eines Drittstaates kontrolliert wird“.
Nicht wenige Bundestagsabgeordnete fordern bereits, das Gesetzt vollumfänglich auszuschöpfen und bei Bedarf die Regelungen auch weiter zu verschärfen.
Verbraucher:innen in Deutschland auch unmittelbar betroffen
Neben Huawei sind beispielsweise auch Xiaomi, Vivo und OPPO Technologie-Hersteller aus China. Vor einem Kauf von Hard- und Software sollten Verbraucher:innen auch Aspekte der technischen Sicherheit sowie das Vertrauen in den Hersteller berücksichtigen. Nach einer Recherche des ZDFs gehen Experten aber durchaus davon aus, dass Huawei „im Ernstfall“ auf den Smartphones seiner Nutzer Spionage-Software installieren könnte. Bei Produkten von kleineren unbekannteren Herstellern sei dabei besondere Vorsicht geboten.
Regierungsinterne Diskussionen gehen weiter
Laut Medienberichten wollen neben den USA auch Australien, Neuseeland, Japan, Frankreich, das Vereinigte Königreich, Taiwan, einige osteuropäische Staaten sowie das Baltikum beim 5G-Ausbau auf Komponenten von Huawei verzichten. Zusätzlich soll Huawei-Technologie aus bereits existierenden 3G- wie auch 4G-Netzen teilweise entfernt werden. Das weitere Vorgehen in Deutschland steht aktuell noch auf dem Prüfstand.
In Zukunft sollen strengere Prüfungen im Einzelfall über die Zulassung von entsprechenden Komponenten in 5G-Netzen entscheiden. Zusätzlich befasst sich die Bundesregierung aktuell mit einem neuen Entwurf zur China-Strategie. Das Dokument wurde bisher allerdings noch nicht veröffentlicht – wir halten Sie auf dem Laufenden.
26. Februar 2021
Im Jahre 2015 wurde das erste Sicherheitsgesetz verabschiedet (wir berichteten). Dieses soll reformiert werden, wozu schon seit 1,5 Jahren ein Gesetzgebungsverfahren läuft. Der aktuelle Gesetzesentwurf ist vom 25. Januar 2021. Damit soll Bedrohungen für die Cybersicherheit, die sich für Staat, Wirtschaft und Gesellschaft gleichermaßen ergeben, entgegengewirkt werden.
Änderungen betreffen das Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSIG), das Telekommunikationsgesetz (TKG), das Telemediengesetz (TMG), das Gesetz über die Elektrizitäts- und Gasversorgung (EnWG), die Außenwirtschaftsverordnung sowie das Zehnte Buch Sozialgesetzbuch (SGB X).
Im Mittelunkt steht die Stärkung der Rolle des Bundesamts für Sicherheit in der Informationstechnik (BSI). Es soll zukünftig als nationale Cybersicherheitszertifizierungsbehörde im Sinne des EU Cybersecurity Acts (Verordnung EU/2019/881) fungieren sowie als allgemeine Stelle für Sicherheit in der Informationstechnik.
Der Aufgabenbereich soll insbesondere folgende Punkte umfassen:
- Das BSI soll Befugnisse bekommen, Sicherheitslücken an den Schnittstellen informationstechnischer Systeme zu öffentlichen Telekommunikations-Netzen mit Hilfe von Port-Scans aufzudecken sowie Systeme und Verfahren zur Analyse von Schadprogrammen und Angriffsmethoden einzusetzen (Honeypots).
- Das BSI soll zum Zwecke der Abwehr von Gefahren für die Kommunikationstechnik des Bundes zwölf Monate lang Protokolldaten speichern. Protokollierungsdaten werden neu in das BSI-Gesetz aufgenommen und das BSI wird befugt, diese Daten zur Abwehr von Gefahren für die Kommunikationstechnik des Bundes zu verarbeiten.
- Betreiber kritischer Netzwerkkomponenten müssen vor Inbetriebnahme ein komplexes Zulassungsverfahren durchlaufen und vom BSI zertifiziert werden. Netzbetreiber müssen garantieren, dass technische Komponenten vertrauenswürdig sind. Das BSI kann von Betreibern kritischer Infrastrukturen oder Unternehmen im besonderen öffentlichen Interesse die Herausgabe der zur Bewältigung der Störung notwendigen Informationen einschließlich personenbezogener Daten verlangen.
- Das BSI führt Produkt- oder Leistungszertifizierungen für die Bundesverwaltung durch. Im Rahmen der Zertifizierung haben betroffene Ministerien ein Mitspracherecht.
- Der Verbraucherschutz soll mit einem „IT-Sicherheitskennzeichen“ für die IT-Sicherheit von Produkten verbessert werden. Es beinhaltet eine Erklärung des Herstellers, in welcher dieser das Vorliegen bestimmter IT-Sicherheitseigenschaften des Produkts zusichert und eine Information des BSI über sicherheitsrelevante IT-Eigenschaften. Die Einhaltung dieser Vorgaben wird vom BSI in regelmäßigen Abständen überprüft.
- Das BSI spricht Empfehlungen für Identifizierungs- und Authentisierungsverfahren aus und legt den Stand der Technik bei sicherheitstechnischen Anforderungen an IT-Produkte fest.
Der aktuelle Entwurf ist noch nicht von Bundestag verabschiedet worden, so dass sich noch weitere Änderungen ergeben können. Wir halten Sie auf dem Laufenden!
4. Juli 2017
Am 30.06.2017 ist das Gesetz zur Umsetzung der EU-Richtlinie zur Netzwerk- und Informationssicherheit (NIS-Richtlinie) in Kraft getreten.
Damit werden u. a. die Befugnisse des Bundesamtes für Sicherheit in der Informationstechnik (BSI) erweitert: Vor allem werden die Aufsichts- und Durchsetzungsbefugnisse des BSI über die Betreiber Kritischer Infrastrukturen ergänzend zum IT-Sicherheitsgesetz ausgeweitet. Außerdem wird mit der Richtlinie und ihren Umsetzungsgesetzen ein einheitlicher Rechtsrahmen für den Auf- und Ausbau nationaler Kapazitäten für die Cyber-Sicherheit geschaffen. Eine weiteres wichtiges Ziel, Mindestsicherheitsanforderungen an und Meldepflichten für Kritische Infrastrukturen zu kreieren, wurde ebenfalls erreicht.
Darüber hinaus trat zeitgleich die erste Verordnung zur Änderung der BSI-Kritisverordnung vom 03.05.2016 in Kraft. Druch sie werden die kritischen Infrastrukturen, bislang Energie, Informationstechnik und Telekommunikation, Wasser sowie Ernährung, um die Sektoren Finanz- und Versicherungswesen, Gesundheit sowie Transport und Verkehr ergänzt.
17. Februar 2016
Nachdem im Juli 2015 das Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (BSIG) geändert wurde, stellt das Bundesministerium des Inneren (BMI) den Entwurf einer Rechtsverordnung zur Bestimmung Kritischer Infrastrukturen (BSI-KritisV) vor.
Im Rahmen der Änderungen des BSIG im vergangenen Sommer wurden unter anderem die §§ 8a ff. BSIG eingeführt. Diese Vorschriften verpflichten die Betreiber von Kritischen Infrastrukturen besondere Sicherheitsmaßnahmen zu treffen, um Mindestsicherheitsstandards für informationstechnische Systeme zu implementieren. Wer bisher eine kritische Infrastruktur betrieb, war nicht eindeutig geregelt. Das BMI hat zwischenzeitlich von seiner Verordnungsermächtigung Gebrauch gemacht und in einem ersten Korb der Verordnung teilweise bestimmt, welche Anlagen unter den Begriff “Kritische Infrastruktur” zu subsumieren sind. Auf dieser Grundlage lässt sich ein erster Adressatenkreis des BSIG bestimmen.
In diesem ersten Korb werden Schwellenwerte für Anlagen und Dienstleistungen aus den Sektoren Energie, Wasser, Informationstechnik und Telekommunikation sowie Ernährung festgelegt. Hierbei ging der Verordnungsgeber in drei Schritten vor, wobei jeweils mit Vertretern der verschiedenen Branchen zusammengearbeitet wurde. In einem ersten Schritt wurde abgestimmt, welche Dienstleistungen eines Sektors als kritisch anzusehen sind. In einem zweiten Schritt wurden die Anlagenkategorien identifiziert, die zur Erbringung dieser Dienstleistung erforderlich sind. Schließlich werden in der BSI-KritisV Schwellenwerte für solche Anlagen und Teile von Anlagen festgelegt, die als hinreichend bedeutsame Anlagen zur Versorgung der Allgemeinheit als Kritische Infrastrukturen gelten.
Nach Schätzungen des BMI erfüllen circa 680 Anlagen aus den Sektoren Energie, Wasser, Informationstechnik und Telekommunikation und Ernährung die Schwellenwerte der BSI-KritisV. Im Frühjahr 2016 soll die BSI-KritisV in Kraft treten. Ab dem Zeitpunkt des Inkrafttretens haben die betroffenen Betreiber Kritischer Infrastrukturen 2 Jahre Zeit, angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse zu treffen, die für die Funktionsfähigkeit der von ihnen betriebenen Kritischen Infrastrukturen maßgeblich sind.
Für die übrigen Sektoren Transport und Verkehr, Gesundheit, Finanz- und Versicherungswesen sollen bis Ende 2016 Bestimmungen zur Definition Kritischer Infrastrukturen festgelegt werden.