Presse

2021-02-23

IT-Sicherheit am Stand der Technik

Technische Umsetzung des IT-SiG 2.0

© Gina Sanders / fotolia.com

Virtuelle Dialogveranstaltung von DIN und DKE am 22.02.2021

Mit dem IT-Sicherheitsgesetz 2.0 (IT-SiG 2.0) will der Gesetzgeber neue Anforderungen an Betreiber kritischer Infrastrukturen festlegen und durch ein freiwilliges IT-Sicherheitskennzeichen Verbrauchervertrauen in IT-Produkte stärken. Bei der Umsetzung dieser Vorgaben in technische Anforderungen soll das Bundesamt für Sicherheit in der Informationstechnik (BSI) neue Zuständigkeiten erhalten.

Wie kann sichergestellt werden, dass sich technische Regelsetzung in Umsetzung des Gesetzentwurfes am Stand der Technik orientiert? Welche Rolle spielt die bestehende nationale Qualitätsinfrastruktur und wie kann eine europäische Anschlussfähigkeit der geplanten Maßnahmen sichergestellt werden? Diese und weitere Fragen haben DIN und DKE am 22.02.2021 in einer virtuellen Diskussionsrunde mit Expertinnen und Experten von Fachverbänden adressiert.

Johannes Koch, Leiter Nationale Normungspolitik und Kooperationen, DKE, leitete die Runde ein und erläuterte die Einbindung der nationalen Normungsorganisationen DIN und DKE in die europäische und internationale Standardisierung. Der Stand der Technik in der IT-Sicherheit sei innerhalb dieses Systems bereits durch eine Vielzahl an etablierten internationalen und Europäischen Normen und Standards beschrieben.

In seiner Keynote gab Dr. Dennis-Kenji Kipker, Legal Advisor, CERT@VDE, einen kurzen Überblick zum aktuellen Stand der Beratungen rund um das IT-SiG 2.0. So kritisieren viele Verbände in ihren Stellungnahmen zum Gesetzentwurf, der derzeit im Parlament beraten wird, u.a. die fehlende Vorankündigung der Maßnahmen bei der Detektion von Sicherheitsrisiken für die Netz- und IT-Sicherheit und von Angriffsmethoden, unübersichtliche Bußgeldvorschriften sowie mangelnde Rechtssicherheit und Bestimmtheit. Aus Sicht der Normung bestehe die Gefahr, dass mit der Zuschreibung der Zuständigkeit der Festlegung des Standes der Technik an das BSI Parallelstrukturen zur bestehenden Qualitätsinfrastruktur aufgebaut werden. Darüber hinaus sei unverständlich, warum für die technische Ausgestaltung des geplanten freiwilligen IT-Sicherheitskennzeichens bestehende Normen und Standards nur nachgelagert nach nationalen technischen Richtlinien des BSI herangezogen werden sollen.

Im Rahmen des folgenden Dialogpanels diskutierten die Teilnehmer unter Moderation von Wolfgang Niedziella, DKE, Geschäftsführer in der VDE-Gruppe sowie President Elect der europäischen Normenorganisation CENELEC, wie eine Umsetzung des IT-SiG 2.0 am Stand der Technik erfolgen kann und welche Rolle Normen und Standards dabei spielen sollten.

Susanne Dehmel, Mitglied der Geschäftsleitung Recht & Sicherheit, Bitkom e.V., hätte sich gewünscht, dass sich der Gesetzgeber bei der Gestaltung des IT-SiG 2.0 möglichst auf das Festlegen von Schutzzielen beschränkt und somit den Anwendern mehr Flexibilität bei der Erfüllung dieser Ziele gewährt. Mit der Zuschreibung der Zuständigkeit zur Festlegung des Standes der Technik an das BSI übernehme die Behörde eine Aufgabe, die eigentlich von Fachleuten unter Einbindung der öffentlichen Hand am runden Tisch der Normungsorganisationen umgesetzt werde. Grundsätzlich sei es begrüßenswert, mit dem IT-Sicherheitskennzeichen mehr Transparenz und eine Orientierungshilfe für Verbraucher zu schaffen, die Anforderungen zur Verleihung des Kennzeichens müssten aber EU-weite und internationale Standards vorrangig berücksichtigen. Insgesamt sei ein europäischer Ansatz zu bevorzugen.

Dr. Lutz Jänicke, Corporate Product & Solution Security Officer, Phoenix Contact/ZVEI, befürchtet, dass die nationale Qualitätsinfrastruktur durch das IT-SiG 2.0 ausgehebelt werde, wenn zukünftig alle Aufgaben (Definition des Standes der Technik, Konformitätsbewertung, Zertifizierung) mit Blick auf IT-Sicherheit in der Hand einer Behörde liegen. Die nationale und europäische Qualitätsinfrastruktur und das europäische Regelungsprinzip des New Legislative Frameworks (NLF) hätten sich bewährt. Da das geplante IT-Sicherheitskennzeichen freiwillig sei, werde der Markt über den Erfolg entscheiden. Aus seiner Erfahrung seien Kunden selbst bei freiwilliger Zertifizierung nicht bereit, einen entsprechenden Aufpreis für das Gütezeichen zu zahlen. Es brauche vielmehr einen gesetzlich verpflichtenden Mindeststandard, der über das NLF europaweit für alle verpflichtend eingeführt werden müsse. Dieser müsse sich am Stand der Technik orientieren, der in Normen und Standards beschrieben wird.

Yassin Bendjebbour, Fachgebietsleiter IT-Sicherheit, Kritische Infrastrukturen, BDEW, beurteilte die Bemühungen des Gesetzgebers für mehr IT-Sicherheit durch das IT-SiG 2.0 grundsätzlich positiv. Die Ausgestaltung der Anforderung dürften aber nicht allein einer Behörde obliegen. Die Beteiligung der betroffenen Akteure sei von essentieller Bedeutung. So sollte auch die Normung berücksichtigt werden, denn ihre Ergebnisse würden breit akzeptiert und im Markt angewendet. Gefahr sieht Bendjebbour für den Fall, dass das zunächst freiwillige IT-Sicherheitskennzeichen auf europäischer Ebene verpflichtend eingeführt würde. Ein verpflichtender Einsatz von zertifizierten Produkten stelle für Betreiber kritischer Infrastrukturen eine Herausforderung dar. Betreiber und Hersteller könnten sich in der Folge vom europäischen Markt zurückziehen, was dazu führen könnte, dass in Europa nur noch wenige Anbieter zur Verfügung stünden – eine Gefahr für die europäisch angestrebte digitale Souveränität. Es brauche daher adäquate gesetzliche Regelungen, die Benachteiligungen vermeiden.

Keynote-Redner Dr. Dennis-Kenji Kipker erläuterte in der Diskussion, dass der Staat im Rahmen des IT-SiG 2.0 als einseitig regulierend auftrete. Technische Vorgaben sollen nach dem vorliegenden Entwurf staatlich definiert werden. Dabei bewege sich das IT SiG 2.0 nicht im luftleeren Raum, sondern könne auf einer Vielzahl bestehender Normen und Standards, die den Stand der Technik für IT-Sicherheit beschreiben, aufbauen. Eine Einbindung der verschiedenen interessierten Kreise an der Erarbeitung der technischen Regeln sei notwendig, um marktgerechte IT-Sicherheitsanforderungen zu erhalten. Die im IT-SiG 2.0 vorgesehene Herangehensweise würde hingegen zu Mehraufwand beri der Umsetzung in den Unternehmen sorgen. Die Definition eines rein nationalen Standes der Technik sei überdies nicht europarechtskonform. Durch den europäischen Cybersecurity Act (CSA) sei es notwendig, die nationalen und internationalen Vorschriften anzugleichen.

In der Schlussrunde waren sich alle Diskussionsteilnehmer einig: Die laufende Parlamentsbefassung mit dem IT-SiG 2.0 müsse genutzt werden, um Klarstellungen zu erreichen. Die Kommentierungsfristen zum Gesetzentwurf im Vorfeld seien zu kurz gewesen, um die anwendende Wirtschaft umfassend zu konsultieren. Zentrale Aspekte des Legislativvorhabens, darunter das geplante IT-Sicherheitskennzeichen, Kompetenzzuschreibungen an das BSI sowie Lieferkettennachweise für Kernkomponenten müssten nochmals überdacht werden.

Katja Krüger, Senior Government Relations Manager, DIN e.V., schloss die Runde mit dem Fazit, dass die Notwendigkeit der Stärkung der IT-Sicherheit in Deutschland unumstritten sei. An der Umsetzung im vorliegenden Gesetzentwurf gebe es weitreichende Kritik, insbesondere mit Blick auf die europäische Skalierbarkeit. Hier müsse der Bundestag nachbessern. Aus Sicht der Normung sei festzuhalten, dass sich der Stand der Technik nicht durch eine Behörde, sondern nur unter Einbeziehung aller interessierten Kreise beschreiben lasse. Normung sei nicht Gegenspieler sondern Partner des BSI bei der Umsetzung des IT-SiG 2.0. Statt des Aufbaus von parallelen Strukturen brauche es vielmehr einen Schulterschluss zwischen BSI, Normung und weiteren an der Qualitätsinfrastruktur beteiligten Akteuren. Um eine europäische Skalierbarkeit des IT-Sicherheitskennzeichens zu ermöglichen, müsse dieses vorrangig auf internationalen und Europäischen Normen basieren. Erst danach sollten nationale technische Richtlinien herangezogen werden. Der aktuelle Gesetzesentwurf beschreibe die Reihenfolge genau umgekehrt und müsse deshalb angepasst werden.

Ihr Kontakt

DIN e. V.
Katja Krüger

Am DIN-Platz
Burggrafenstraße 6
10787 Berlin

Zum Kontaktformular