IT-Sicherheit

Schlüssel für Sicherheit Datenschutzverein

Der folgende Artikel zum deutschen IT-SicherheitsG bildet eine Zusammenfassung der auf LemonPi.at erschienenen sechsteiligen Artikelserie zum Thema.

Thematisch wird im Artikel nicht nur die deutsche Gesetzgebung besprochen, sondern findet jeweils auch ein Vergleich beziehungsweise der Versuch einer Umlegung auf die österreichische Gesetzgebung statt. Abschließend wird zusätzlich die Frage erörtert, wie ein Entwurf des – vergleichbaren – geplanten Cybersicherheitsgesetz in Österreich aussehen könnte.

Das deutsche IT-SicherheitsGesetz

In Deutschland ist mit 25.07.2015 das Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (kurz: IT-Sicherheitsgesetz), in Kraft getreten, welches inhaltlich den Schutz von sogenannten kritischen Infrastrukturen vor Hackerangriffen betrifft.

Der deutsche Gesetzgeber nennt dabei als Ansatzpunkt die im Jahr 2011 verabschiedete Cyber-Sicherheitsstrategie, welche ebenfalls auf den Schutz von IT-Systemen in Deutschland abzielte und hier bereits auch die genannten kritischen Infrastrukturen im Auge hatte.

Das IT-Sicherheitsgesetz ist dabei eigentlich kein Gesetz im engeren Sinn, also ein eigenständiger Regelungskatalog, sondern vielmehr ein gesetzgeberischer Akt des deutschen Gesetzgebers, mit dem das BSI-Gesetz, das Atomgesetz, das Energiewirtschaftsgesetz, das Telekommunikationsgesetz, das Telemediengesetz, das Bundesbesoldungsgesetz sowie das Bundeskriminalamtsgesetz geändert wurden. Eine derartige Vorgehensweise, also mittels eines Gesetzes-Aktes ein ‚Bündel von Gesetzen‘ zu aktualisieren beziehungsweise zu ändern ist übrigens auch in Österreich eine durchaus gängige Vorgehensweise.

Bereits aus den genannten einzelnen Gesetzen ist gut ersichtlich, dass das IT-Sicherheitsgesetz dem Bereich des öffentlichen Rechtes zuzuordnen ist und hier den Schutz von Versorgungseinrichtungen im Auge hat.

Tatsächlich findet sich etwa im ersten Paragraphen der Änderungen des BSI-Gesetzes die Regelung, was unter den kritischen Infrastrukturen zu verstehen ist.

Es handelt sich dabei etwa um Einrichtungen, die der Versorgung der Bevölkerung mit Energie und Wasser dienen, für die Kommunikation notwendig sind oder auch eine hohe Bedeutung für das funktionierende Gemeinwesen haben.
Jene Anlagen sollen weitgehend vor terroristischen Akten, hier Hacker-Angriffe, geschützt werden, weswegen die Betreiber dieser Strukturen angemessene Vorkehrungen zur Vermeidung von Störungen usw. einzurichten haben und hier auch von den deutschen Behörden unterstützt werden sollen. Überdies ist eine zentrale Meldestelle einzurichten und lediglich Kleinstunternehmen, welche aber ebenfalls kritische Infrastrukturen betreiben, sind von den genannten Pflichten ausgenommen.

Ziel ist es letztlich, hinsichtlich der kritischen Infrastrukturen IT-Standards zu schaffen, welche mehr Sicherheit vor Hacker-Angriffen derartiger Einrichtungen bieten sollen. Dem Bundesamt für Sicherheit in der Informationstechnik (kurz: BSI) kommt dabei die Rollen einer Überwachung sowie eines Früherkennungssystems zu.

In Österreich gibt es derzeit kein direkt vergleichbares Gesetz, wenngleich diverse Sicherheitsvorschriften in verschiedenen Gesetzen existieren. Diese richten sich jedoch nicht primär gegen Hacker-Angriff auf kritische Infrastrukturen, sondern lassen sich eher dem Bereich Schutz des Verbrauchers sowie Haftungsanfragen zuordnen. Auch einheitliche Standards vermisst man. Nunmehr befindet sich jedoch ein Cybersicherheitsgesetz in Planung, welches ausführlicher am Ende dieses Artikels besprochen wird.

Definition kritischer Infrastrukturen nach dem deutschen IT-SicherheitsG

Als Definition für den Begriff der kritischen Infrastrukturen wurde im Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (Abfragedatum: 15.02.2016) durch das Bundesgesetzblatt 2015, Teil I, Nr. 31 vom 24.07.2015 in § 2 BSIG folgender Absatz 10 neu eingefügt:

[…]
(10) Kritische Infrastrukturen im Sinne dieses Gesetzes sind Einrichtungen, Anlagen oder Teile davon, die
1. den Sektoren Energie, Informationstechnik und Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung sowie Finanz- und Versicherungswesen angehören und
2. von hoher Bedeutung für das Funktionieren des Gemeinwesens sind, weil durch ihren Ausfall oder ihre Beeinträchtigung erhebliche Versorgungsengpässe oder Gefährdungen für die öffentliche Sicherheit eintreten würden.

Die Kritischen Infrastrukturen im Sinne dieses Gesetzes werden durch die Rechtsverordnung nach § 10 Absatz 1 näher bestimmt.
[…]

Obwohl damit eine grundsätzliche Definition der kritischen Infrastrukturen geschaffen wurde, kann alleine nach dem obigen Text nicht genau gesagt werden, welche Unternehmen in den Anwendungsbereich des IT-Sicherheitsgesetzes fallen. Eine Tatsache, die auch im Zusammenhang mit der Erlassung stark kritisiert wurden. Der deutsche Gesetzgeber hat eine Lösung dahingehend in das BSIG ‚eingebaut‘, dass eine nähere Bestimmung nicht durch Gesetz selbst erfolgen soll, sondern durch den Erlass einer Verordnung, auf welche weiter unten noch eingegangen wird.

Eine derartige Vorgehensweise ist auch dem österreichischen Recht nicht fremd und werden öfter Gesetze erst durch Verordnungen näher ausgeführt und bestimmt. Während dies auf den ersten Blick nachteilig erscheinen mag, hat eine nähere Regelung durch Verordnung den Vorteil, dass eine Verordnung leichter als ein Gesetz geändert werden kann, wodurch eine Verordnung nicht nur flexibler ist, sondern auch besser den aktuellen Umständen angepasst werden kann. Am Beispiel der kritischen Infrastrukturen etwa, wäre es dem Gesetzgeber möglich, diese anhand von Unternehmensgrößen oder Branchen zu definieren. Ergibt sich dann, dass eine solche Einteilung nicht ausreicht, um einen funktionierenden Schutz zu gewährleisten, kann die Verordnung mit anderem Inhalt neu erlassen werden.

Laut dem deutschen Bundesministerium des Inneren ergibt sich die Anwendbarkeit des IT-Sicherheitsgesetzes, noch vor der Klarstellung durch die Verordnung, jedenfalls für die Betreiber von Kernkraftwerken und Telekommunikationsanbietern bereits aus dem Gesetz, alle anderen Strukturen sollen dann anhand der Verordnung nachvollziehbar überprüft werden können.

Das Unterfallen eines Unternehmens unter den Begriff kritische Infrastruktur soll im Sinne dieser Verordnung nach einer dreistufigen Prüfung ermittelt werden:

  1. Ermittlung von Sektoren, die als kritisch zu betrachten sind. Hierunter fallen etwa Energie, Wasser, Telekommunikation oder Ernährung
  2. Festlegung der Anlagen bzw. Strukturen, die für die Erbringung der Leistungen der genannten Sektoren notwendig sind
  3. Ausgehend von den im zweiten Schritt ermittelten Anlagenstrukturen werden konkrete Anlagen und/oder Teile von diesen ermittelt sowie deren Versorgungsgrad hinsichtlich der Gesellschaft errechnet. Erreicht dieser Versorgungsgrad eine bestimmten Schwellenwert, so gilt eine Anlage als kritische Infrastruktur und unterfällt dem IT-Sicherheitsgesetz.

Während sich die ersten beiden Schritte mit einiger Leichtigkeit direkt aus den einzelnen Stellen dem Entwurf erfassen ließen, bedeutet die Ermittlung des Schwellenwertes sowie des zugrundeliegenden Versorgungsgrades einen gewissen Rechenaufwand, da beispielsweise bei der Stromversorgung auf den durchschnittlichen Verbrauch in kWh abgestellt wird oder im Rahmen der Telekommunikation auf TB.

Pflichten der Betreiber kritischer Infrastrukturen nach dem IT-SicherheitsG

Wie oben ausgeführt, handelt es sich bei dem IT-SicherheitsG nicht um einen einheitlichen Text, sondern um ein Bündel an Normen, die in bereits vorhandene Gesetze eingefügt wurden, allen voran in das Ausschreiben (BSIG). Aus dem BSIG ergibt sich primär, dass das Bundesamt für Sicherheit in der Informationstechnik jene Stelle ist, bei welcher sämtliche

Informationen zusammenlaufen. Nach § 8 BSIG erarbeitet das Bundesamt überdies Mindeststandards, welche nach § 8a BSIG von den Anbietern kritischer Infrastrukturen aufgrund einer zu erlassenden Verordnung über diese Standards nachzuweisen und einzuhalten sind. Erfolgt keine Erfüllung und/oder Nachweis dieser Standards, sind in § 14 BSIG Bußgelder zwischen € 10.000,- und € 50.000,- vorgesehen.

Derart liegt nach dem BSIG die Hauptpflicht der Betreiber kritischer Infrastrukturen darin, die vom Bundesamt erstellten und per Verordnung erlassenen Vorschriften einzuhalten. Die Informationen, welche Standards sinnvoll sind, werden dabei vom Bundesamt direkt ermittelt, wobei die Anbieter kritischer Infrastrukturen zusätzlich branchenspezifische Vorgehensweisen vorschlagen können.

Neben dem BSIG hat das IT-SicherheitsG überdies noch Änderungen in weiteren Gesetzen vorgenommen, etwa dem deutschen Atomgesetz oder dem deutschen Energiewirtschaftsgesetz. Diese Anpassungen bestehen in zusätzlichen Pflichten für die jeweiligen Branchen. Konkret geht es für die jeweiligen Branchen darum, ihre Systeme zur Abwehr von Beeinträchtigungen auf dem neuesten Stand zu halten, die Mindest-Standards des Bundesamtes einzuhalten sowie Cyber-Angriffe umgehend an das Bundesamt zu melden.

Auch in Österreich wäre bei der Schaffung des genannten Cybersicherheitsgesetzes ein derartiges System durchaus vorstellbar. Einerseits, weil Standards, welche durch Verordnung erlassen werden können in der Anpassung flexibler sind als bei Erlassung durch ein Gesetz und überdies, weil für kritische Infrastrukturen sowohl allgemeine wie auch branchenspezifische Standards zur Anwendung kommen. Daher es kann nur sinnvoll sein, die Standards für die Unternehmen nicht nur in einem zentralen Gesetz oder per zu erlassender Verordnung vorzusehen, sondern gleichsam auch bereits gesetzgeberisch auf die einzelnen Branchen einzuwirken. Derart könnte dann etwa im österreichischen Telekommunikationsgesetz eine Informations- und Update-Verpflichtung nach deutschem Vorbild vorgesehen werden.

Der Aspekt des Datenschutzes im IT-SicherheitsG

Immer mehr Firmen, gleich ob potentielle kritische Infrastrukturen oder nicht, werden Opfer von Cyber-Angriffen. Dies könnte dem User an sich gleichgültig sein, wären da nicht die persönlichen Daten, von denen man mittlerweile wohl nicht mehr im Einzelnen weiß, welches Unternehmen welche und auch wie viele der eigenen Daten gerade gespeichert hat.

Die Daten von User können (leider) gut dazu verwendet werden, um auf private Computer-Systeme zuzugreifen, Phishing-Attacken und eMail-Betrug durchzuführen oder – im schlimmsten Fall – Identitätsdiebstahl zu begehen. Alleine aus diesem Grund dürfte es für den Einzelnen von hohem Interesse sein, wie es um die persönlichen Daten bestellt ist.

Anzumerken ist noch, dass das Folgende unter der Annahme dargestellt wird, dass das deutsche IT-SicherheitsG exakt gleich in Österreich umgesetzt werden würde.

Der österreichische Datenschutz richtet sich grundsätzlich nach dem Datenschutzgesetz (DSG 2000), welches von verschiedenen Verordnungen, etwa zur Datenverarbeitung flankiert wird. Bereits aus § 1 DSG ergibt sich das Grundrecht auf Datenschutz, welches sogar als Verfassungsbestimmung ausgelegt ist, also nur schwer vom Gesetzgeber verändert und/oder abgeschafft werden kann.
Vom DSG geschützt sind jedenfalls Daten, die eine Identifikation einer Person möglich machen sowie ‚sensible Daten‘, also Informationen über die persönliche Überzeugung einer Person, ihre politische oder sexuelle Ausrichtung sowie ein allfälliges religiöses Bekenntnis.

Grundsätzlich steht das österreichische – wie auch das deutsche – Datenschutzrecht auf dem Standpunkt, dass jede Verarbeitung von Daten solange unzulässig ist, als nicht ein gesetzlicher Rechtfertigungsgrund gegeben ist. Das DSG bietet hierfür in den §§ 6 ff DSG Richtlinien, etwa, dass die Verwendung zu einem eindeutigen und rechtmäßigen Zweck (zB Verwendung von Kundendaten in der Buchhaltung) erfolgen muss. Das bloße Sammeln von Daten ohne konkreten Zweck und Einschränkung ist demgegenüber zumindest bedenklich und in der Regel nicht zulässig. Eingeschränkt wird dies unter anderem dadurch, dass Daten dann verarbeitet werden dürfen, wenn sie in anonymisierter Form zur Verfügung stehen oder sogar von der jeweiligen Person selbst öffentlich gemacht wurden.

Dier §§ 14 f DSG regeln in der Folge die Anforderungen an datenverarbeitende Unternehmen hinsichtlich der Datensicherheit. Zusammengefasst wird gesetzlich gefordert, dass ein Schutz vor unerlaubten Zugriffen, Löschung und/oder Veränderung auf dem aktuellen Stand der Technik besteht. Dieser Schutz kann durch Maßnahmen wie der Beschränkung und Protokollierung von Zugriffen und ähnlichen Vorkehrungen erreicht werden, weiters unterliegt das datenanwendende Unternehmen und dessen Mitarbeiter der Geheimhaltungspflicht.

Erfolgt eine Datenverwendung entgegen den Bestimmungen des DSG und kommt dem verwendenden Unternehmen ein Verschulden zu, kann dieses nach § 33 DSG dem Betroffenen gegenüber nach den allgemeinen zivilrechtlichen Bestimmungen des ABGB schadenersatzpflichtig werden. Weiters sind – insbesondere bei Verletzungen der einzuhaltenden Sicherheit – Verwaltungsstrafen in § 52 DSG bis zu € 25.000,- vorgesehen.

Erwähnenswert im Zusammenhang mit dem IT-SicherheitsG ist nach § 48a DSG, der zumindest öffentlichen Stellen im Katastrophenfall einen gewissen Freiraum bei der Verarbeitung von an sich geschützten Daten ermöglich. Doch selbst diese sind nach der Erreichung des unmittelbaren Zwecks der Verarbeitung (zB zum Katastrophenschutz) umgehend wieder zu löschen.

Ungeachtet dessen, dass sich das IT-SicherheitsG letztlich auch in gewisser Hinsicht auf den Katastrophenfall bezieht, liegt die Verbindung zum Datenschutzrecht doch wesentlich im Bereich der Datensicherheit und endet dort auch wieder. Betrachtet man das IT-SicherheitsG hat es nämlich an sich eine gewisse andere Zielrichtung als das DSG.
Das IT-SicherheitsG macht es sich zur Aufgabe, kritische Infrastrukturen selbst vor unerlaubten Zugriffen zu schützen und versucht im Wege der Vorgabe von Sicherheits-Standards dieses Ziel für die betroffenen Branchen zu verwirklichen. Demgegenüber stehen die Daten der Kunden nicht im Vordergrund, allerdings kann gut und gerne angenommen werden, dass diese jedenfalls von den vorgeschriebenen Maßnahmen im IT-SicherheitsG mitumfasst sein sollen, da es letztendlich um den Gesamt-Schutz eines Unternehmens geht.

Auch im Falle eines österreichischen IT-SicherheitsG wäre die Situation wohl eine Ähnliche. Das DSG bietet bereits – seiner Ausrichtung nach – einen umfassenden Schutz der persönlichen Daten und Vorschriften zur deren Sicherung sowie allfällige Strafen, wenn die Vorgaben nicht eingehalten werden. Ein IT-SicherheitsG würde hier in dem Bereich der Datensicherheit jedenfalls flankierend wirken, die Hauptausrichtung wäre aber klar eine Andere.

Der Entwurf eines Österreichischen IT-SicherheitsG

Wie weiter oben angesprochen, soll bereits mit Herbst 2016 ein Entwurf für ein Österreichisches IT-Sicherheitsgesetz präsentiert werden. Zumindest wenn man nach den derzeitigen Informationen – etwa diesem Artikel vom 13.06.2016 auf Futurezone – geht, erinnert der Entwurf sehr an das deutsche IT-SicherheitsG. Ebenfalls geht es darum, dass Cyberattacken auf Unternehmen meldepflichtig sein sollen, dies unter der entsprechenden Wahrung des Datenschutzes. Auch Strafen sind angedacht, wenn die Meldepflichten nicht erfüllt werden. Wie in Deutschland scheint aber auch der österreichische Gesetzgeber vor dem Definitionsproblem der kritischen Infrastrukturen zu stehen, kann hier aber jedenfalls von der Situation in Deutschland und den dortigen Lösungen profitieren.

Unbekannt ist derzeit, ob das Cybersicherheitsgesetz, also ein österreichisches IT-SicherheitsG, ganz nach dem deutschen Vorbild als ‚Bündel von Gesetzen‘ oder aber als separates (einzelnes) Gesetz geplant ist. Allerdings ist die Bündelvariante, welche in Deutschland gewählt wurde, durchaus von Vorteil zumal die entsprechenden Vorgaben und Pflichten direkt in jene Gesetze eingefügt werden, welche die potentiellen kritischen Infrastrukturen direkt betreffen.

So wäre es etwa denkbar, eine Definition in die Gewerbeordnung (GewO) einzufügen, was sicherlich der Transparenz dienlich wäre.

Fraglich ist natürlich auch noch, welche Behörde – geht man nach der deutschen Gesetzgebung – mit der Koordination der Meldungen sowie der Kommunikation und Strategieplanung gegen Cyberattacken befasst sein wird. Hier hat der Gesetzgeber in Österreich die Möglichkeit eine neue Behörde zu schaffen oder auf bestehende Strukturen zurückzugreifen.

Jedenfalls sinnvoll ist es hinsichtlich den Standards für die kritischen Infrastrukturen den Weg des deutschen Gesetzgebers zu gehen. In Deutschland wurde im IT-SicherheitsG hinsichtlich der Standards auf eine separate Verordnung verwiesen, welche (leider) erst zu einem späteren Zeitpunkt erging. Eine – auch in Österreich gesetzliche Möglichkeit – würde ebenfalls ein gewisses Mehr an Flexibilität hinsichtlich der kritischen Infrastrukturen bieten, jedoch sollte sie zeitnah zum Cybersicherheitsgesetz ergehen.

Wo sich das österreichische Cybersicherheitsgesetz deutlich von dem deutschen IT-SicherheitsG abheben könnte, ist der Aspekt des Daten- und Konsumentenschutzes. Wie etwa heise.de meldete, gab es bereits sieben meldepflichtige Attacken in Deutschland, auf welche das IT-SicherheitsG Anwendung findet. Ob und wie hier Daten Privater ‚erbeutet‘ wurden ist fraglich und ist dies definitiv ein Problem, welches in Zukunft noch zunehmen wird.

Derart ist zu hoffen, dass das Cybersicherheitsgesetz in Österreich nicht nur für Betreiber kritischer Infrastrukturen Standards und Meldepflichten vorsieht, sondern darüber hinaus auch Informationspflichten anordnet. Bereits jetzt bestehen in Österreich, etwa nach dem FAGG oder dem E-CommerceG sowie dem TelekommunikationsG (Cookie-Hinweis nach § 96 Abs 3 TKG) Verpflichtungen dem User/Konsumenten bestimmte Informationen klar zur Verfügung zu stellen. Dies sollte dadurch erweitert werden, dass den Usern zumindest bekannt zu machen ist, ob es sich bei dem jeweiligen Unternehmen um einen Betreiber kritischer Infrastrukturen handelt und welche Meldepflichten vorgegeben sind.

Auch eine Information oder Hinweis auf die einzuhaltenden Standards könnte wesentlich der Transparenz dienen.

Fazit

Zusammengefasst ist daher zu sagen, dass – wenn sich der Gesetzgeber in Österreich entscheidet, bei einem CybersicherheitsG das deutsche IT-SicherheitsG zum Vorbild zu nehmen – dies sicher ein richtiger Weg ist. Dennoch sollte auch der User-Schutz in den Entwurf Eingang finden, damit User in Zukunft darüber informiert werden, ob sie ihre Daten einer kritischen Infrastruktur anvertrauen oder nicht.

Über den Autor

Mag. Michael Lanzinger ist selbständiger Rechtsanwalt mit Kanzleisitz in Wels (OÖ) und Schwerpunkt auf IT-Recht, externer Lektor an der JKU Linz und der KU Graz, Lehrender am WiFi Linz und Wels sowie am BFI Linz, Vortragender im Bereich Zivil-, IT-und Urheberrecht sowie begeisterter User neuer Technologien. Im Datenschutzverein übt er die Funktion des Mediensprechers aus.

Autor: Mag. Michael Lanzinger
Rechtsanwalt für IT-Recht in Wels
Alois-Auer-Straße 9, 4600 Wels
Tel.: 07242/224044
office@kanzlei-lanzinger.at
www.rechtsanwalt-lanzinger.at