TMT

IT-Sicherheitsgesetz 2.0 – Untersagung des Einsatzes kritischer Komponenten zum Schutz der öffentlichen Sicherheit

Zu Ende Mai 2021 ist das Zweite Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme („IT-Sicherheitsgesetz 2.0“) in Kraft getreten (BGBl. I 2021, S. 1122 und BR-Drs. 324/21). Eine Verwendung von bestimmten IT-Komponenten durch Betreiber kritischer Infrastrukturen soll nunmehr untersagt werden können, wenn anzunehmen ist, dass der Einsatz dieser Komponenten die öffentliche Ordnung oder Sicherheit Deutschlands voraussichtlich beeinträchtigt.

1. Hintergrund

Mit der voranschreitenden Digitalisierung und der daraus folgenden Abhängigkeit von IT-Technik ist deren Verwendung als Mittel staatlicher Außen- und Sicherheitspolitik in den letzten Jahren immer mehr in den Fokus gerückt. Dabei wird zunehmend eine Gefahr darin gesehen, dass ausländische Regierungen indirekt Kontrolle über besonders bedeutsame Infrastrukturen wie das Finanzwesen, das Energieversorgungsnetz oder das Telekommunikationsnetz erlangen könnten. Vor diesem Hintergrund wurde insbesondere die geplante Verwendung von IT-Komponenten des Herstellers Huawei und anderer chinesischer Unternehmen beim Ausbau des 5G-Netzes in Deutschland stark kritisiert, da nicht ausgeschlossen werden könne, dass diese ihre Komponenten so gestalten, dass die chinesische Regierung und deren Sicherheitsorgane im Bedarfsfall Kontrolle darüber ausüben können.

Diesem Risiko soll die Änderung des IT-Sicherheitsgesetzes entgegenwirken, indem für den Einsatz von IT-Komponenten in Bereichen kritischer Infrastrukturen erhöhte Hürden aufgestellt werden. Das IT-Sicherheitsgesetz ergänzt insoweit auch das bisherige System der Investitionsschutzkontrolle, das vor einer Abhängigkeit von ausländischen Regierungen durch Erwerb der Infrastruktur schützen soll.

2. Derzeitige Rechtslage

Bereits vor dem Inkrafttreten der Änderung bestehen für spezifische Betreiber kritischer Infrastrukturen konkrete Einschränkungen beim Erwerb von IT-Komponenten.  Seit dem 23. Dezember 2020 müssen Betreiber von Telekommunikationsnetzen angesichts des neuen Katalogs von Sicherheitsanforderungen nach § 109 TKG zertifizierte kritische Komponenten verwenden. Zudem müssen Betreiber öffentlicher Telekommunikationsnetze und Erbringer öffentlich zugänglicher Telekommunikationsdienste mit erhöhter Kritikalität (5G Netze) die Bezugsquelle der Komponenten – sowohl Hersteller als auch ggf. Verkäufer oder Lieferanten – auf ihre Vertrauenswürdigkeit überprüfen.

Kritisch sind Komponenten, wenn sie kritische Funktionen teilweise oder in vollem Umfang realisieren. Eine Liste kritischer Funktionen befindet sich zurzeit noch im Entwurfsstadium.

Kritisch sind Funktionen nach dem Entwurf insbesondere, wenn eine technische Kompromittierung zu erheblichen Datenschutzverletzungen, systematischer Ausforschung des Fernmeldeverkehrs oder beträchtlichen Sicherheitsverletzungen nach § 109 Abs. 5 TKG (d. h. v. a. unerlaubten Zugriffen oder Verfügbarkeitseinschränkungen) führen kann. Der Entwurf präzisiert dies noch bezüglich einzelner Funktionskategorien. Kritische Komponenten sind von den Betreibern innerhalb eines Jahres ab Veröffentlichung der Liste zu identifizieren und zu dokumentieren.

Komponenten, die ab dem 31. Dezember 2025 verbaut werden, sind von einer anerkannten Zertifizierungsstelle zu zertifizieren und von einer anerkannten IT-Überprüfungsstelle zu überprüfen. Sollten die dafür erforderlichen Zertifizierungsschemata nicht zur Verfügung stehen, müssen andere geeignete und angemessene Maßnahmen zur Gefahrabwehr getroffen werden.

Vorher eingesetzte Komponenten müssen spätestens bis zum 31. Dezember 2025 ersetzt werden, wenn sie keine Zertifizierung erhalten. Sobald bereits vorher zwei geeignete, entsprechend zertifizierte Produkte unterschiedlicher Hersteller am Markt verfügbar sind, muss begründet, nachgewiesen und dokumentiert werden, dass durch die fortgesetzte Verwendung keine Gefährdungen oder relevante Sicherheitsverletzungen zu erwarten sind. Andernfalls sind die Komponenten durch die zur Verfügung stehenden Alternativmodelle zu ersetzen.

Die Vertrauenswürdigkeit der Bezugsquelle ist durch eine Eigenerklärung der Bezugsquelle sicherzustellen. Diese Erklärung umfasst unter anderem Verpflichtungen zur Sicherstellung der Informationssicherheit, zur Kooperation, zur Transparenz und zur Überprüfung der Sicherheit des Produkts und des Produktionsablaufs.

Zudem muss der Betreiber ab der Abnahme des Produkts jederzeit in der Lage sein, die Integrität der Komponente zu kontrollieren.

3. Erweiterung der kritischen Infrastrukturen und Einführung des Begriffs kritische Komponente

Durch die Änderung wird zunächst der Kreis der kritischen Infrastrukturen geringfügig erweitert. Zusätzlich zu den bisherigen Sektoren, Energie, Informationstechnik und Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung sowie Finanz- und Versicherungswesen wird nunmehr noch die Siedlungsabfallentsorgung dazu gezählt. Die genauen Voraussetzungen werden in der Kritis-Verordnung weiter konkretisiert.

Nunmehr wird der Begriff der „kritischen Komponenten“ auch in das BSI-Gesetz eingeführt (§ 2 Abs. 13 BSI-Gesetz). Als kritische Komponenten werden in einer kritischen Infrastruktur eingesetzte IT-Produkte angesehen, bei denen Störungen zu erheblichen Beeinträchtigungen der Funktionsfähigkeit der kritischen Infrastruktur oder zu Gefährdungen für die öffentliche Sicherheit führen können. Zudem müssen sie aufgrund eines Gesetzes unter Verweis auf den neuen § 2 Abs. 13 BSI-Gesetz als kritische Komponenten bestimmt worden oder eine Funktion realisieren, die aufgrund eines Gesetzes als kritisch bestimmt wurde. Hierbei kann für den Bereich der Telekommunikation auf den Katalog an Sicherheitsanforderungen zurückgegriffen werden. Die Liste kritischer Funktionen befindet sich zurzeit allerdings noch im Entwurfsstadium (s. 2.). Weitere Bestimmungen „aufgrund eines Gesetzes“ zu kritischen Komponenten bestehen noch nicht. Es müssen zudem nicht zwangsläufig in allen Sektoren kritische Komponenten identifiziert werden. 

4. Einführung eines Überprüfungsverfahrens

Zukünftig ist jeder Einsatz kritischer Komponenten durch Betreiber kritischer Infrastrukturen bei dem Bundesministerium des Innern anzuzeigen und darf nicht vor Ablauf einer grundsätzlich 2-monatigen, auf maximal 4 Monate verlängerbaren Überprüfungsfrist erfolgen, wenn nicht der Einsatz einer Komponente desselben Typs bereits vorher schon einmal angezeigt und nicht untersagt wurde (§ 9b Abs. 1 BSI-Gesetz).

Der Anzeige ist eine Garantieerklärung des Herstellers beizufügen, in der dieser Angaben zu seiner Organisationsstruktur machen und darstellen muss, wie sichergestellt wird, dass die Komponente nicht über technische Eigenschaften verfügt, die spezifisch geeignet sind, missbräuchlich zum Zweck von Sabotage, Spionage oder Terrorismus eingesetzt zu werden. Die Einzelheiten der Garantieerklärung werden per Allgemeinverfügung durch das Bundesministerium des Innern erst noch festgelegt.

Das Bundesministerium des Innern berücksichtigt im Rahmen seiner Prüfung, ob der erstmalige Einsatz der Komponente die öffentliche Ordnung oder Sicherheit voraussichtlich beeinträchtigt, insbesondere:

  • ob der Hersteller unmittelbar oder mittelbar von der Regierung eines Drittstaates kontrolliert wird,
  • ob der Hersteller sich bereits an Aktivitäten beteiligt hat, die nachteilige Auswirkungen auf die öffentliche Sicherheit Deutschlands, eines EU- oder NATO-Mitglieds hatten,

oder

  • ob dem Einsatz sicherheitspolitische Ziele der Bundesrepublik Deutschland, der EU oder der NATO entgegenstehen.

Diese Überprüfung gilt zusätzlich und grundsätzlich unabhängig von den Zertifizierungserfordernissen aufgrund der Katalogs von Sicherheitsanforderungen, der am 23. Dezember 2020 in Kraft getreten ist (s. 2.)

5. Möglichkeit nachträglicher Untersagung

Der weitere Einsatz kritischer Komponenten kann auch nachträglich untersagt werden, wenn sich der Hersteller als nicht vertrauenswürdig erweist (§ 9b Abs. 4 und 5 BSI-Gesetz). Die nachträgliche Feststellung fehlender Vertrauenswürdigkeit kann dabei insbesondere auf falschen Garantieerklärungen oder Verstößen gegen darin enthaltenen Verpflichtungen, unzureichenden Sicherheitsüberprüfungen der Komponente, intransparenter Kommunikation von Schwachstellen oder der missbräuchlichen Nutzbarkeit der Komponente beruhen.

Als milderes Mittel kommen statt der Untersagung, die ggf. mit einer angemessenen Übergangsfrist zu versehen ist und die sich auch auf weitere kritische Komponenten des Herstellers beziehen kann, auch nachträgliche Anordnungen des BMI in Bezug auf die betreffenden kritischen Komponenten in Betracht.

In schwerwiegenden Fällen fehlender Vertrauenswürdigkeit kann der Einsatz von allen kritischen Komponenten eines Herstellers untersagt werden (§ 9b Abs. 7 BSI-Gesetz).

6. Bedeutung für Unternehmen

Für ausländische Hersteller von IT-Komponenten sowie für die Betreiber kritischer Infrastrukturen als deren Kunden kann die Änderung des BSI-Gesetzes erhebliche Auswirkungen mit sich bringen, die bis zu einem Verwendungsverbot dieser Komponenten führen können. Das betrifft die gesamte Telekommunikationsbranche.

Dabei ist das neu eingeführte Überprüfungsverfahren zu beachten, das nunmehr vor jedem neuen Einsatz einer kritischen Komponente durchzuführen ist (s.o. 4.). Hinzu tritt die Möglichkeit, dass ein Einsatz nachträglich untersagt werden kann (s.o. 5.).

Diese weitreichende Folge der Gesetzesänderung führt zu einer erheblichen Unsicherheit bezüglich eines Einsatzes kritischer Komponenten von ausländischen, insbesondere chinesischen, Herstellern, und das bei vielen wichtigen Netzausbauvorhaben in Deutschland.

Der Umstand, dass eine Verwendung von Komponenten auch nach begonnenem Einsatz untersagt werden kann – theoretisch sogar, wenn von den betroffenen Komponenten selbst keine Sicherheitsrisiken ausgehen – begründet das erhebliche Risiko, dass es jederzeit zu einer Situation kommen kann, in der Komponenten innerhalb eines äußerst engen Zeitfensters ersetzt werden müssen. Realisiert sich dieses Risiko, kann dies Störungen des Betriebsablaufs sowie signifikante (Ersatzbeschaffungs-) Kosten auslösen.

Weiterleiten