Die Mitgliedstaaten der Europäischen Union sollen zukünftig bei der Bekämpfung von Cyberkriminalität kooperieren. Die Verabschiedung einer entsprechenden Richtlinie kann jedoch nur der Startschuss sein, meint Philipp Roos.
Die Öffentlichkeit hat sich in den vergangenen Jahren an die täglichen Meldungen über schwerwiegende Hackerangriffe gewöhnt. Dass nicht nur große Unternehmen den Angriffen ausgesetzt sind, sondern auch die Privatnutzer selbst, gerät trotz der Kenntnis über die Gefahrenlage jedoch oft in Vergessenheit. Zu groß sind der Komfort und die spielerischen Möglichkeiten, die durch die fortschreitende Vernetzung entstehen. Da passt es ins Bild, dass Hacker jüngst durch die Ausnutzung von Software-Schwachstellen in vernetztem Lernspielzeug des Unternehmens VTech mehrere Millionen sensible Datensätze erbeuteten.
Auf europäischer Ebene konnte nun eine Einigung über die Verabschiedung einer Richtlinie zur Gewährleistung einer hohen Netz- und Informationssicherheit (NIS-Richtlinie) erzielt werden, die für eine allgemeine Steigerung des Niveaus an IT-Sicherheit in der EU sorgen soll. Der Einigung in den Trilog-Verhandlungen zwischen Kommission, Rat und Parlament vom 7. Dezember waren langwierige Auseinandersetzungen vorausgegangen, ob und in welcher Form eine europäische Regelung getroffen werden kann. Die Diskussionsbasis bildete hierfür ein Kommissionsentwurf aus dem Jahr 2013, auf den das Parlament im Jahr 2014 mit mehreren Änderungsvorschlägen reagiert hatte. Begleitet wurde das Unterfangen von Kursänderungen, die ihren Ursprung in Wechseln der Ratspräsidentschaft fanden.
340 Milliarden* Euro Schäden durch Cyberkriminalität
Die beschlossene NIS-Richtlinie verpflichtet die Mitgliedstaaten sowohl dazu, auf nationaler Ebene gesetzliche Regelungen zu treffen, als auch an einem europäischen Austauschsystem über IT-Sicherheitsvorfälle teilzunehmen. Wesentliche Ziele der Richtlinie sind die Eindämmung wirtschaftlicher Schäden durch Cyberkriminalität, die derzeit von der Kommission auf bis zu 340 Milliarden* Euro jährlich geschätzt werden, und der Schutz der Internetnutzer vor den Gefahren aus dem Cyberraum. Durch die vorgesehene Kooperation zwischen den Mitgliedstaaten sollen die nationalen Unternehmen in der Lage sein, sich frühzeitig gegen drohende Cyberattacken zu wappnen.
Eine wesentliche Herausforderung der europäischen Übereinkunft lag in der Festlegung der Unternehmen, die von den Regelungen erfasst sind. Die Adressaten von gesetzlichen Maßnahmen sind nun Unternehmen aus den Sektoren Energie, Transport, Bank- und Finanzwesen, Gesundheit und Wasser als "Erbringer wesentlicher Dienstleistungen". Eine genaue Benennung der Adressaten obliegt den Mitgliedstaaten. Diese Unternehmen müssen robuste IT-Infrastrukturen schaffen, damit bereits möglichst viele digitale Angriffe abgewehrt werden können. Zudem müssen sie entdeckte Sicherheitslücken und Angriffe an nationale staatliche Instanzen melden.
Internetkonzerne wie eBay und Amazon als Onlinehändler oder Google als Suchmaschinenbetreiber werden in die Pflicht genommen, ihre Bemühungen zum Schutz ihrer IT-Systeme zu verstärken oder aufrechtzuerhalten. Ferner müssen Cloud-Anbieter Schutzvorkehrungen treffen, wohingegen die NIS-Richtlinie an die Betreiber sozialer Netzwerke keine spezifischen Anforderungen stellt. Kleinere Unternehmen werden von den gesetzlichen Verpflichtungen ebenfalls ausgenommen.
Den Mitgliedstaaten steht es jedoch frei, über die Richtlinie hinausgehend auch Unternehmen minderer Größe zu verpflichten. Oftmals erbringen gerade diese Unternehmen, beispielsweise als Zulieferer oder Kooperationspartner in einer Lieferkette, elementare Dienstleistungen, sodass von ihnen zumindest gewisse Schutzvorkehrungen erwartet werden können. Internetkonzerne wie eBay, Amazon oder Google ergreifen schon in eigenem Interesse Schutzmaßnahmen, die höchsten Anforderungen genügen.
* Anm. d. Red.: Hier stand zunächst irrtümlich Billionen. Geändert am 15.12.2015, 11:18.
2/2: Mehr Austausch durch zentrale Stellen
Ein weiterer Eckpfeiler der NIS-Richtlinie ist die angestrebte Kooperation zwischen den Mitgliedstaaten. Um ein einheitliches Niveau an Sicherheit zu gewährleisten, muss jeder Mitgliedstaat eine eigene IT-Sicherheitsstrategie entwickeln und eine zentrale staatliche Stelle als über die Landesgrenzen hinausgehenden Ansprechpartner benennen. Über ein europäisches Netzwerk sollen sich die Mitgliedstaaten gegenseitig vor entdeckten Cyberrisiken warnen und erprobte Praktiken austauschen. Bevor die Warnung in das Netzwerk geht, muss das Unternehmen den Vorfall national melden.
In jedem Staat sind außerdem spezielle Notfallteams einzurichten, die bei konkreten IT-Sicherheitsvorfällen tätig werden, um die Risiken zu bewältigen und qualifizierte Hinweise über das Netzwerk auszusenden. Für all diese Maßnahmen verbleibt den Mitgliedstaaten ein Umsetzungszeitraum von 21 Monaten.
Die Bundesrepublik Deutschland hat mit dem bereits geltenden IT-Sicherheitsgesetz die wesentlichen Inhalte der NIS-Richtlinie schon umgesetzt. Zu erwarten sind lediglich Erweiterungen geringen Umfangs, die die betroffenen Unternehmen nicht stärker belasten, als derzeit vorgesehen. Der Bundestag hatte das intensiv diskutierte IT-Sicherheitsgesetz im Sommer verabschiedet, nachdem im Dezember 2014 von Bundesinnenminister Thomas de Maizière ein Regierungsentwurf vorgestellt worden war. Das IT-Sicherheitsgesetz griff den Ergebnissen auf europäischer Ebene – unter Kritik seitens der Unternehmen – bewusst voraus, orientierte sich jedoch maßgeblich an dem Kommissionsentwurf für eine NIS-Richtlinie aus dem Jahr 2013. Die Bundesregierung wollte im Umfeld der hohen Bedrohungslage keine Zeit verstreichen lassen.
Dementsprechend finden sich die Kernelemente der NIS-Richtlinie bereits im geltenden nationalen Recht wieder: Das sind die Pflicht zur Einhaltung von dem Stand der Technik entsprechenden Mindestanforderungen in § 8a Abs. 1 Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSI-Gesetz) und die Meldepflicht in § 8b BSI-Gesetz bereits die. Im Gegensatz zum Regierungsentwurf sind in der beschlossenen Fassung nunmehr Verstöße gegen diese Pflichten mit Bußgeldern einer Höhe von bis zu 100.000 Euro belegt.
Adressaten der Kernpflichten noch unklar
Bis zum jetzigen Zeitpunkt unklar ist jedoch, welche Unternehmen diesen Pflichten überhaupt unterliegen werden. Die Betreiber möglicher Kritischer Infrastrukturen im Sinne des § 2 Abs. 10 BSIG werden erst nach der Erarbeitung einer Rechtsverordnung ermitteln können, ob sie erfasst sind. Die Gesetzesbegründung gibt als Richtwert eine Anzahl von 2.000 Unternehmen vor. Beabsichtigt ist, diese Rechtsverordnung im Jahr 2016 in zwei Körben zu erlassen.
Das IT-Sicherheitsgesetz vereinheitlicht zudem die Sicherheitsanforderungen, die Webseitenbetreiber, Telekommunikationsdiensteanbieter, Energieunternehmen sowie Betreiber von Atomanlagen einhalten müssen. Mit dem in Bonn ansässigen Bundesamt für Sicherheit in der Informationstechnik (BSI) existiert in Deutschland bereits eine übergeordnete IT-Sicherheitsbehörde. Hier werden in den kommenden Jahren voraussichtlich mehr als 200 neue Stellen entstehen.
Die Verabschiedung einer NIS-Richtlinie bedeutet einen Schritt in die richtige Richtung. Nur durch effektive Kooperationsmechanismen auf europäischer Ebene werden die wirtschaftlichen Schäden gebannt und das Vertrauen der Bevölkerung in digitale Dienste erhalten werden können. Es ist daher unerlässlich, dass sich die Mitgliedstaaten austauschen.
Was jedoch bereits für das Verhältnis zwischen Staat und Wirtschaft auf nationaler Ebene gilt, gilt auch für die Zusammenarbeit zwischen den Mitgliedstaaten: Gegenseitiges Vertrauen in den sensiblen Umgang mit gemeldeten Sicherheitsvorfällen muss erst aufgebaut werden und wachsen. Lediglich dann können die angestrebten Ziele erreicht werden. Zudem kann es sich bei der NIS-Richtlinie nur um einen ersten von vielen kleinen Schritte handeln, um die Gesellschaft vor den mannigfaltigen Cyberrisiken zu schützen. Die Erarbeitung von Mindestanforderungen an die Sicherheit der Produkte von Hard- und Softwareherstellern muss ebenso forciert werden wie die Schaffung eines generellen Bewusstseins für IT-Sicherheit in der Bevölkerung.
Der Autor Dr. Philipp Roos ist Rechtsreferendar am LG Münster und derzeit bei der Deutschen Botschaft Prag stationiert. Während seiner Zeit als Wissenschaftlicher Mitarbeiter am ITM der WWU Münster hat er ein vom BMBF gefördertes, interdisziplinäres Forschungsprojekt betreut, in dem es um die Entwicklung rechtskonformer technischer Verfahren zur Erhöhung der IT-Sicherheit ging.
Philipp Roos, Europa einigt sich auf Cybersecurity-Richtlinie: Wirtschaftlicher Schaden bisher - 340 000 000 000 Euro . In: Legal Tribune Online, 15.12.2015 , https://www.lto.de/persistent/a_id/17860/ (abgerufen am: 27.04.2024 )
Infos zum Zitiervorschlag