Zu den Kommentaren springen

Referentenentwurf eines Zweiten Gesetzes zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz 2.0 – IT-SiG 2.0)

Gesetzentwürfe: 

 

Cyberangriffe werden immer ausgefeilter und stellen für den Staat, die Wirtschaft und die Gesellschaft, aber auch für die Individualinteressen eine große Gefahr dar, wenn z.B. persönliche Daten aus sozialen Netzwerken ohne Einverständnis der Betroffenen weiter verbreitet werden. Die zunehmende Verbreitung von Internet of Things (IoT)-Geräten verschärft die Lage, da sie regelmäßig nicht unter Sicherheitsaspekten entwickelt werden. Ohne großen Aufwand können sie zu Bot-Netzen zusammengeschaltet werden. Da Cybersicherheit nicht statisch sein kann, bedarf es einer ständigen Anpassung und Weiterentwicklung an Schutzmechanismen. 

Daher soll mit einem IT-Sicherheitsgesetz 2.0 (IT-SiG 2.0) ein ganzheitlicher Ansatz verfolgt werden, mit dem Maßnahmen zum Schutz der Gesellschaft bzw. der Bürger, zur Stärkung des Staates bzw. zum Schutz der öffentlichen Informationstechnik und für eine resiliente Wirtschaft getroffen werden. 

Insbesondere zum Schutz der Bürger soll ein IT-Sicherheitskennzeichen ins Leben gerufen werden, mit dem die IT-Sicherheit einzelner Produkte für den Endnutzer transparent wird.

Zudem sieht der Referentenentwurf vor, die Befugnisse des Bundesamts für Sicherheit in der Informationstechnik sowie der Strafverfolgungs- und Sicherheitsbehörden zum Schutz der Bundesverwaltung und der Gesellschaft zu erweitern. Dazu sollen u.a. ergänzende Anpassungen am materiellen Strafrecht und am Strafverfahrensrecht erfolgen: 

  • Änderung von § 99 Abs. 2 StGB
  • Einführung eines § 126a StGB – Zugänglichmachen von Leistungen zur Begehung von Straftaten 
  • Änderung des Strafrahmens der §§ 202a Abs. 1, 202b Abs. 1, 202c Abs. 1, 202d Abs.1, 303a Abs. 1, 303b Abs. 1 StGb auf bis zu 5 Jahren Freiheitsstrafe
  • Änderung des Strafrahmens in § 303b Abs. 2 StGB auf 6 Monate bis zu fünf Jahren Freiheitsstrafe (die Geldstrafe entfällt)
  • Einführung eines § 200e StGB – Unbefugte Nutzung informationstechnischer Systeme
  • Einführung eines § 202f StGB – Besonders schwerer Fall einer Straftat gegen die Vertraulichkeit oder Integrität informationstechnischer Systeme 
  • Erweiterung des Katalogs in § 100a Abs. 2 Nr. 1 StPO (Telekommunikationsüberwachung) um die Begehung von Straftaten nach § 126a StGB und die Straftaten gegen die Vertraulichkeit oder Integrität informationstechnischer Systeme nach §§ 202a, 202b, 202c, 202d, 202e, 202f Abs. 2 und 3, §§ 303a, 303b StGB
  • Erweiterung des Katalogs in § 100b Abs. 2 Nr. 1 StPO (Online-Durchsuchung) um die Begehung von Straftaten nach § 126a Abs. 3 StGB und um Straftaten gegen die Vertraulichkeit oder Integrität informationstechnischer Systeme nach § 202f Abs. 2 und 3 StGB
  • Erweiterung des Katalogs in § 100g Abs. 2 Nr. 1 StPO (Erhebung von Verkehrsdaten) um § 126a StGB und um die Begehung von Straftaten nach § 126a Abs. 3 StGB und um Straftaten gegen die Vertraulichkeit oder Integrität informationstechnischer Systeme nach § 202f Abs. 2 und 3 StGB
  • Einführung eines § 163g StPO: 

„Begründen bestimmte Tatsachen den Verdacht, dass jemand Täter oder Teilnehmer einer Straftat im Sinne von § 100g Absatz 1 StPO ist, so dürfen die Staatsanwaltschaft sowie die Behörden und Beamten des Polizeidienstes auch gegen den Willen des Inhabers auf Nutzerkonten oder Funktionen, die ein Anbieter eines Telekommunikations- oder Telemediendienstes dem Verdächtigen zur Verfügung stellt und mittels derer der Verdächtige im Rahmen der Nutzung des Telekommunikations- oder Telemediendienstes eine dauerhafte virtuelle Identität unterhält, zugreifen. Sie dürfen unter dieser virtuellen Identität mit Dritten in Kontakt treten. Der Verdächtige ist verpflichtet, die zur Nutzung der virtuellen Identität erforderlichen Zugangsdaten herauszugeben. § 95 Absatz 2 gilt entsprechend mit der Maßgabe, dass die Zugangsdaten auch herauszugeben sind, wenn sie geeignet sind, eine Verfolgung wegen einer Straftat oder einer Ordnungswidrigkeit herbeizuführen. Jedoch dürfen die durch Nutzung der Zugangsdaten gewonnenen Erkenntnisse in einem Strafverfahren oder in einem Verfahren nach dem Gesetz über Ordnungswidrigkeiten gegen den Verdächtigen oder einen in § 52 Absatz 1 der Strafprozessordnung bezeichneten Angehörigen des Verdächtigen nur mit Zustimmung des Verdächtigen verwendet werden.“

 

Da bei der rechtswidrigen Verbreitung illegal erlangter Daten die Provider eine erhebliche Rolle spielen, sollen diese mit dem Gesetzentwurf zur Löschung, Meldung und zu Bestandsauskünften bei Cybercrime-Vorfällen verpflichtet werden.

Am 7. Mai 2020 gab das BMI einen neuen Referentenentwurf zum IT-Sicherheitsgesetz 2.0. in die Ressortabstimmung. Er enthält insbesondere Regelungen, die dem Bundesamt für Sicherheit mehr Kompetenzen einräumen und mehr Personalstellen zusprechen. Der neue Entwurf enthält elf neue Paragrafen und viele kleine Wortlautänderungen im Vergleich zum ersten Referentenentwurf. Die wichtigste Neuerung dürfte aber sein, dass alle Änderungen des StGB und der StPO gestrichen wurden. Den Forderungen zur Einführung des digitalen Hausfriedensbruchs, des Zugänglichmachen von Leistungen im Darknet zur Begehung von Straftaten (§ 126a StGB-E) und zur Verpflichtung zur Herausgabe von Passwörtern (§ 163g StPO-E) wurde demnach nicht mehr nachgekommen. 

Im November 2020 wurde ein weiterer Referentenentwurf des BMI mit Bearbeitungsstand vom 19. November 2020 öffentlich. Laut Entwurf sind schwerpunktmäßig folgende Änderungen vorgesehen: 

  • „Verbesserung des Schutzes der IT der Bundesverwaltung u.a. durch weitere Prüfund Kontrollbefugnisse des BSI und Festlegung von Mindeststandards durch das BSI. 
  • Schaffung von Befugnissen zur Detektion von Schadprogrammen zum Schutz der Regierungsnetze.
  • Abfrage von Bestandsdaten bei Anbietern von Telekommunikationsdienstleistungen, um Betroffene über Sicherheitslücken zu informieren.
  • Befugnis für das BSI, Sicherheitslücken an den Schnittstellen informationstechnischer Systeme zu öffentlichen TK-Netzen zu detektieren sowie Einsatz von Systemen und Verfahren zur Analyse von Schadprogrammen und Angriffsmethoden.
  • Schaffung einer Anordnungsbefugnis des BSI gegenüber Telekommunikations- und Telemedienanbietern zur Abwehr spezifischer Gefahren für die Informationssicherheit.
  • Ausweitung der Pflichten für Betreiber Kritischer Infrastrukturen und weiterer Unternehmen im besonderen öffentlichen Interesse.
  • Schaffung von Eingriffsbefugnissen für den Einsatz und Betrieb von kritischen Komponenten.
  • Pflicht der Telemediendiensteanbieter, Fälle von rechtswidrig verbreiteten Daten an das BKA als Zentralstelle zu melden.
  • Etablierung von Verbraucherschutz im Bereich der Informationssicherheit als zusätzliche Aufgabe des BSI.
  • Schaffung der Voraussetzungen für ein einheitliches IT-Sicherheitskennzeichen, das die IT-Sicherheit der Produkte sichtbar macht.
  • Überarbeitung des Bußgeldregimes.“

 

 

 

 

 

Schreiben Sie einen Kommentar

Durch Abschicken des Formulares wird dein Name, E-Mail-Adresse und eingegebene Text in der Datenbank gespeichert. Für weitere Informationen lesen Sie bitte unsere Datenschutzerklärung.

Unsere Webseite verwendet sog. Cookies. Durch die weitere Verwendung stimmen Sie der Nutzung von Cookies zu. Informationen zum Datenschutz

Die Cookie-Einstellungen auf dieser Website sind auf "Cookies zulassen" eingestellt, um das beste Surferlebnis zu ermöglichen.
Wenn Sie diese Website ohne Änderung der Cookie-Einstellungen verwenden oder auf "Akzeptieren" klicken, erklären Sie sich damit einverstanden.

Weitere Informationen zum Datenschutz entnehmen Sie bitte unserer Datenschutzerklärung. Hier können Sie der Verwendung von Cookies auch widersprechen.

Schließen