Referentenentwurf eines Zweiten Gesetzes zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz 2.0 – IT-SiG 2.0)

Hier finden Sie folgende Stellungnahmen:

Zum Referentenentwurf vom 27. März 2019:

Zum Referentenentwurf vom 7. Mai 2020: 

Zum Referentenentwurf vom 1. Dezember 2020:

Zum Regierungsentwurf BT Drs. 19/26106: 

Öffentliche Anhörung im Ausschuss für Inneres und Heimat am 1. März 2021: 

 

 

Referentenentwurf eines Zweiten Gesetzes zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz 2.0 – IT-SiG 2.0)

Zweites Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme vom 18. Mai 2021: BGBl. I 2021, S. 1122 ff. 

 

Gesetzentwürfe: 

 

Cyberangriffe werden immer ausgefeilter und stellen für den Staat, die Wirtschaft und die Gesellschaft, aber auch für die Individualinteressen eine große Gefahr dar, wenn z.B. persönliche Daten aus sozialen Netzwerken ohne Einverständnis der Betroffenen weiter verbreitet werden. Die zunehmende Verbreitung von Internet of Things (IoT)-Geräten verschärft die Lage, da sie regelmäßig nicht unter Sicherheitsaspekten entwickelt werden. Ohne großen Aufwand können sie zu Bot-Netzen zusammengeschaltet werden. Da Cybersicherheit nicht statisch sein kann, bedarf es einer ständigen Anpassung und Weiterentwicklung an Schutzmechanismen. 

Daher soll mit einem IT-Sicherheitsgesetz 2.0 (IT-SiG 2.0) ein ganzheitlicher Ansatz verfolgt werden, mit dem Maßnahmen zum Schutz der Gesellschaft bzw. der Bürger, zur Stärkung des Staates bzw. zum Schutz der öffentlichen Informationstechnik und für eine resiliente Wirtschaft getroffen werden. 

Insbesondere zum Schutz der Bürger soll ein IT-Sicherheitskennzeichen ins Leben gerufen werden, mit dem die IT-Sicherheit einzelner Produkte für den Endnutzer transparent wird.

Zudem sieht der Referentenentwurf vor, die Befugnisse des Bundesamts für Sicherheit in der Informationstechnik sowie der Strafverfolgungs- und Sicherheitsbehörden zum Schutz der Bundesverwaltung und der Gesellschaft zu erweitern. Dazu sollen u.a. ergänzende Anpassungen am materiellen Strafrecht und am Strafverfahrensrecht erfolgen: 

  • Änderung von § 99 Abs. 2 StGB
  • Einführung eines § 126a StGB – Zugänglichmachen von Leistungen zur Begehung von Straftaten 
  • Änderung des Strafrahmens der §§ 202a Abs. 1, 202b Abs. 1, 202c Abs. 1, 202d Abs.1, 303a Abs. 1, 303b Abs. 1 StGb auf bis zu 5 Jahren Freiheitsstrafe
  • Änderung des Strafrahmens in § 303b Abs. 2 StGB auf 6 Monate bis zu fünf Jahren Freiheitsstrafe (die Geldstrafe entfällt)
  • Einführung eines § 200e StGB – Unbefugte Nutzung informationstechnischer Systeme
  • Einführung eines § 202f StGB – Besonders schwerer Fall einer Straftat gegen die Vertraulichkeit oder Integrität informationstechnischer Systeme 
  • Erweiterung des Katalogs in § 100a Abs. 2 Nr. 1 StPO (Telekommunikationsüberwachung) um die Begehung von Straftaten nach § 126a StGB und die Straftaten gegen die Vertraulichkeit oder Integrität informationstechnischer Systeme nach §§ 202a, 202b, 202c, 202d, 202e, 202f Abs. 2 und 3, §§ 303a, 303b StGB
  • Erweiterung des Katalogs in § 100b Abs. 2 Nr. 1 StPO (Online-Durchsuchung) um die Begehung von Straftaten nach § 126a Abs. 3 StGB und um Straftaten gegen die Vertraulichkeit oder Integrität informationstechnischer Systeme nach § 202f Abs. 2 und 3 StGB
  • Erweiterung des Katalogs in § 100g Abs. 2 Nr. 1 StPO (Erhebung von Verkehrsdaten) um § 126a StGB und um die Begehung von Straftaten nach § 126a Abs. 3 StGB und um Straftaten gegen die Vertraulichkeit oder Integrität informationstechnischer Systeme nach § 202f Abs. 2 und 3 StGB
  • Einführung eines § 163g StPO: 

„Begründen bestimmte Tatsachen den Verdacht, dass jemand Täter oder Teilnehmer einer Straftat im Sinne von § 100g Absatz 1 StPO ist, so dürfen die Staatsanwaltschaft sowie die Behörden und Beamten des Polizeidienstes auch gegen den Willen des Inhabers auf Nutzerkonten oder Funktionen, die ein Anbieter eines Telekommunikations- oder Telemediendienstes dem Verdächtigen zur Verfügung stellt und mittels derer der Verdächtige im Rahmen der Nutzung des Telekommunikations- oder Telemediendienstes eine dauerhafte virtuelle Identität unterhält, zugreifen. Sie dürfen unter dieser virtuellen Identität mit Dritten in Kontakt treten. Der Verdächtige ist verpflichtet, die zur Nutzung der virtuellen Identität erforderlichen Zugangsdaten herauszugeben. § 95 Absatz 2 gilt entsprechend mit der Maßgabe, dass die Zugangsdaten auch herauszugeben sind, wenn sie geeignet sind, eine Verfolgung wegen einer Straftat oder einer Ordnungswidrigkeit herbeizuführen. Jedoch dürfen die durch Nutzung der Zugangsdaten gewonnenen Erkenntnisse in einem Strafverfahren oder in einem Verfahren nach dem Gesetz über Ordnungswidrigkeiten gegen den Verdächtigen oder einen in § 52 Absatz 1 der Strafprozessordnung bezeichneten Angehörigen des Verdächtigen nur mit Zustimmung des Verdächtigen verwendet werden.“

 

Da bei der rechtswidrigen Verbreitung illegal erlangter Daten die Provider eine erhebliche Rolle spielen, sollen diese mit dem Gesetzentwurf zur Löschung, Meldung und zu Bestandsauskünften bei Cybercrime-Vorfällen verpflichtet werden.

Am 7. Mai 2020 gab das BMI einen neuen Referentenentwurf zum IT-Sicherheitsgesetz 2.0. in die Ressortabstimmung. Er enthält insbesondere Regelungen, die dem Bundesamt für Sicherheit mehr Kompetenzen einräumen und mehr Personalstellen zusprechen. Der neue Entwurf enthält elf neue Paragrafen und viele kleine Wortlautänderungen im Vergleich zum ersten Referentenentwurf. Die wichtigste Neuerung dürfte aber sein, dass alle Änderungen des StGB und der StPO gestrichen wurden. Den Forderungen zur Einführung des digitalen Hausfriedensbruchs, des Zugänglichmachen von Leistungen im Darknet zur Begehung von Straftaten (§ 126a StGB-E) und zur Verpflichtung zur Herausgabe von Passwörtern (§ 163g StPO-E) wurde demnach nicht mehr nachgekommen. 

Im November 2020 wurde ein weiterer Referentenentwurf des BMI mit Bearbeitungsstand vom 19. November 2020 öffentlich. Laut Entwurf sind schwerpunktmäßig folgende Änderungen vorgesehen: 

  • „Verbesserung des Schutzes der IT der Bundesverwaltung u.a. durch weitere Prüfund Kontrollbefugnisse des BSI und Festlegung von Mindeststandards durch das BSI. 
  • Schaffung von Befugnissen zur Detektion von Schadprogrammen zum Schutz der Regierungsnetze.
  • Abfrage von Bestandsdaten bei Anbietern von Telekommunikationsdienstleistungen, um Betroffene über Sicherheitslücken zu informieren.
  • Befugnis für das BSI, Sicherheitslücken an den Schnittstellen informationstechnischer Systeme zu öffentlichen TK-Netzen zu detektieren sowie Einsatz von Systemen und Verfahren zur Analyse von Schadprogrammen und Angriffsmethoden.
  • Schaffung einer Anordnungsbefugnis des BSI gegenüber Telekommunikations- und Telemedienanbietern zur Abwehr spezifischer Gefahren für die Informationssicherheit.
  • Ausweitung der Pflichten für Betreiber Kritischer Infrastrukturen und weiterer Unternehmen im besonderen öffentlichen Interesse.
  • Schaffung von Eingriffsbefugnissen für den Einsatz und Betrieb von kritischen Komponenten.
  • Pflicht der Telemediendiensteanbieter, Fälle von rechtswidrig verbreiteten Daten an das BKA als Zentralstelle zu melden.
  • Etablierung von Verbraucherschutz im Bereich der Informationssicherheit als zusätzliche Aufgabe des BSI.
  • Schaffung der Voraussetzungen für ein einheitliches IT-Sicherheitskennzeichen, das die IT-Sicherheit der Produkte sichtbar macht.
  • Überarbeitung des Bußgeldregimes.“

Am 27. Januar 2021 brachte die Bundesregierung Ihren Entwurf zum IT-Sicherheitsgesetz 2.0 in den Bundestag ein (BT Drs. 19/26106). Die geplanten Neuregelungen zur Bestandsdatenauskunft (BT Drs. 19/25294) wurde nun auch hier im Entwurf umgesetzt. 

Am 12. Februar 2021 debattierte der Bundesrat über den Gesetzentwurf und verwies ihn im Anschluss zur weiteren Beratung an die Ausschüsse. 

Im Bundestag fand im Ausschuss für Inneres und Heimat am 1. März 2021 eine öffentliche Anhörung statt. Eine Liste der Sachverständigen und deren Stellungnahmen finden Sie hier. Die Experten bewerteten den vorliegenden Gesetzentwurf als ungenügend. Sebastian Artz äußerte, dass der Entwurf mehr zurück als nach vorn blicke. Das BSI sei durch die schnellen Innovationszyklen im IT-Bereich gar nicht in der Lage, mit der Entwicklung der Technik Schritt zu halten. Daher sei ein „dynamisches Regelwerk“ notwendig, das nicht versuche lediglich die Vergangenheit zu regulieren. Manuel Atug betonte, dass einmal mehr die Gelegenheit vertan wurde, das BSI unabhängig aufzustellen. Es sei „Handlanger der Sicherheitsbehörden und Nachrichtendienste“ geworden. Als Grund dafür sah er insbesondere die Befugnis, erkannte Sicherheitslücken für die Strafverfolgung offenzuhalten und zu nutzen. Dies bemängelte ebenfalls Linus Neumann vom Chaos Computer Club: „Dadurch verlieren wir die einzige vertrauenswürdige Institution. Das ist ein herber Verlust für die Bürger.“  Prof. Dr. Klaus Gärditz nahm insbesondere die Regelung zur Überprüfung der sicherheitspolitischen Vertrauenswürdigkeit ausländischer IT-Technologie in den Blick und äußerte diesbezüglich verfassungsrechtliche und verwaltungsrechtliche Bedenken. Die Eingriffsvoraussetzungen seien zu unbestimmt. Ebenso fehle die Möglichkeit einer rechtlichen Überprüfung. Von der praktischen Umsetzbarkeit der Regelung abgesehen, laufe der Bundestag Gefahr seine Glaubwürdigkeit zu beschädigen, wenn er eine solche „Placebo-Norm“ verabschiede. Dr. Sven Herpig bemängelte genauso wie Manuel Atug die fehlende Evaluierung des bestehenden Gesetzes. Er sah trotz der geplanten Änderungen die Möglichkeit, unsichere IT-Produkte in Deutschland auf den Markt zu bringen. Damit werde besonders dem Verbraucherschutz durch den Entwurf nicht genüge getan. Martin Schallbruch drang im Interesse der Wirtschaft auf eine Verbesserung des Entwurfs. 

Am 23. April 2021 wurde der Regierungsentwurf zur Erhöhung der Sicherheit informationstechnischer Systeme nach einer halbstündigen Aussprache mit den Stimmen der Koalitionsfraktionen in der geänderten Fassung des Innenausschusses (BT Drs. 19/28844) angenommen. Die Oppositionsfraktionen stimmten gegen den Entwurf. 

Am 7. Mai 2021 beschäftigte sich der Bundesrat abschließend mit dem Regierungsentwurf und verzichtete auf eine Vermittlungsverfahren. Das Gesetz wird nun dem Bundespräsidenten zur Ausfertigung vorgelegt. Zusätzlich fasste der Bundesrat eine Entschließung, in der er kritisiert, dass der Bund der Forderung nach einer stärkeren Einbindung der Länder nicht nachgekommen sei. Außerdem übt er Kritik daran, dass gerade eine Unterrichtungspflicht der Länder nicht berücksichtigt wurde. Die Bundesregierung sei daher aufgefordert, hierfür eine normative Grundlage zu schaffen. 

Am 27. Mai 2021 wurde das zweite Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme vom 18. Mai 2021 im Bundesgesetzblatt verkündet (BGBl. I 2021, S. 1122 ff.). Es tritt vorbehaltlich des Absatzes 2 am Tag nach seiner Verkündung in Kraft. Art. 1 Nr. 4, 6 und 12 treten am 1. Dezember 2021 in Kraft. 

 

 

 

Unsere Webseite verwendet sog. Cookies. Durch die weitere Verwendung stimmen Sie der Nutzung von Cookies zu. Informationen zum Datenschutz

Die Cookie-Einstellungen auf dieser Website sind auf "Cookies zulassen" eingestellt, um das beste Surferlebnis zu ermöglichen.
Wenn Sie diese Website ohne Änderung der Cookie-Einstellungen verwenden oder auf "Akzeptieren" klicken, erklären Sie sich damit einverstanden.

Weitere Informationen zum Datenschutz entnehmen Sie bitte unserer Datenschutzerklärung. Hier können Sie der Verwendung von Cookies auch widersprechen.

Schließen