Der Herr aus Bayern und seine Tendenz zum Totalitarismus

IT-Sicherheitsgesetz 2.0: Wir veröffentlichen den Entwurf, der das BSI zur Hackerbehörde machen soll

Quelle: Netzpolitik.org

Innenminister Horst Seehofer will das Bundesamt für Sicherheit in der Informationstechnik zur Hacker-Behörde umbauen. In Zukunft soll das BSI nicht mehr nur defensiv schützen und beraten, sondern offensiv in IT-Systeme eindringen. Das soll, wenn es nach dem Innenministerium geht, im „IT-Sicherheitsgesetz 2.0“ stehen.

Die Weiterentwicklung des vier Jahre alten, ersten IT-Sicherheitsgesetzes wurde bereits im Koalitionsvertrag vereinbart. Vor wenigen Tagen hat das Innenministerium einen Entwurf fertig gestellt und an die anderen Ministerien verschickt, den wir im Volltext veröffentlichen.

Um IT-Systeme von Staat, Bürgern und Wirtschaft besser zu schützen, sind für das BSI mehr Personal, Geld und Befugnisse geplant. Es soll deutlich mehr Kompetenzen erhalten, um Sicherheitslücken zu suchen, Informationen von Herstellern anzufragen und die Öffentlichkeit über bestehende Probleme zu informieren. Kernaufgabe des BSI ist es, Angriffe abzuwehren und Sicherheitslücken zu schließen.

Das ist ein Interessenkonflikt, denn Polizei und Geheimdienste wollen Sicherheitslücken ausnutzen, beispielsweise für Staatstrojaner. Die Bonner Behörde hat bereits staatliche Schadsoftware mitprogrammiert, aber öffentlich eine Beteiligung abgestritten.

Der neue Entwurf verbietet dem BSI nicht, Sicherheitslücken geheim zu halten und an Hacker-Behörden wie das BKA oder den BND zu geben. In Zukunft soll die Behörde eine Rolle beim „Hack Back“ spielen.

Fernzugriff auf Geräte im „Internet der Dinge“

Zukünftig soll das Bundesamt im Internet nach unsicheren Geräten suchen, beispielsweise mit Portscans. Das betrifft nicht nur Server und Smartphones, sondern auch schlecht abgesicherte Geräte im „Internet der Dinge“ wie Überwachungskameras, Kühlschränke oder Babyfone.

Unsicher sind Systeme mit veralteter Software, ohne Passwort-Schutz oder mit Standard-Passwörtern wie „0000“ und „admin“. Um herauszufinden, ob ein Gerät unsichere Passwörter nutzt, muss sich das BSI darauf einloggen können. Auch ohne Daten auszuspähen oder zu verändern, ist das für Privatpersonen eine Hacking-Straftat.

Wenn das BSI Sicherheitsprobleme oder Angriffe erkennt, soll es Betroffene benachrichtigen können. Dafür sollen Telekommunikationsanbieter dem BSI etwa Bestandsdaten zu einer IP-Adresse übermitteln – also mitteilen, auf wen ein Internet-Anschluss registriert ist.

Installation lückenschließender Software

Das BSI bekommt noch weitere Befugnisse: Wenn ein Gerät Kritische Infrastrukturen wie Energieversorger angreift, soll die Bundesbehörde Internet-Anbietern anordnen können, dessen Datenverkehr zu blockieren oder umzuleiten.

In einem weiteren Schritt sollen potentiell schädliche Geräte auch aktiv verändert werden, um sie zu sichern. Das Bundesamt soll Provider zur „Bereinigung“ von IT-Geräten verpflichten, per „Installation von lückenschließender Software (Patches) bzw. Löschung von Schadsoftware“. Das klingt nach einer Stärkung der IT-Sicherheit, ist aber eine massive Ausweitung staatlicher Befugnisse und ein Eingriff in Grundrechte.

Das Verfahren wird vor allem mit Botnetzen begründet, also Gruppen ferngesteuerter Geräte, die Angriffe durchführen oder Spam verschicken. Diese Bots werden meist von zentralen Servern gesteuert.

Das BSI will den Internet-Verkehr solcher Kommando-Server auf eigene Server umleiten lassen und so die Kontrolle über das Botnetz übernehmen. Danach soll „Bereinigungssoftware“ an die Bots ausgeliefert werden, um die Schadsoftware zu entfernen.

Weil Nutzer oft nicht wissen, dass ihr Gerät mit Schadsoftware befallen ist, will der Staat diese Geräte selbst säubern. Andere europäische Staaten machen das auch, so die Begründung.

Als vor drei Jahren das Mirai-Botnetz hunderttausende Telekom-Router infizierte, wurde diese Idee in Deutschland diskutiert. Allerdings wäre auch das für Privatpersonen eine Straftat.

Darknet-Gesetz und digitaler Hausfriedensbruch

Der Gesetzentwurf ändert nicht nur die Aufgaben des BSI, er verschärft auch das Strafrecht. Unter dem Eindruck der Veröffentlichung privater Daten zum Jahreswechsel werden neue Straftaten eingeführt und andere Straftatbestände verschärft. Einige Vorschläge des Innenministeriums wurden bereits in der Vergangenheit vorgeschlagen.

So kehrt der „digitale Hausfriedensbruch“ zurück. Oder wie das Innenministerium es nennt: die „unbefugte Nutzung von IT-Systemen“. Dieser Vorschlag, der 2016 von Hessen in den Bundesrat eingebracht wurde, scheiterte damals. Die Bundesregierung sah keine Regelungslücken in den bisherigen Gesetzen.

Eine weitere Bekannte ist das sogenannte „Darknet“-Gesetz, dass der Bundesrat vor drei Wochen beschlossen hat. Das Innenministerium übernimmt die Initiative, die vordergründig das Betreiben illegaler Märkte kriminalisieren soll, aber wünschenswerte Dienste und Anonymität im Internet bedroht.

Darüber hinaus soll die Polizei Nutzer-Accounts von Beschuldigten übernehmen, um unter ihren Pseudonymen weiter ermitteln zu können. Das sei wichtig, „weil in den entsprechenden Szenen den langjährig aktiven Accounts ein großes Vertrauen entgegen gebracht wird“. Gemeint sind damit unter anderem Plattformen, auf denen Darstellungen von sexualisiertem Kindesmissbrauch verbreitet werden.

Von Verteidigung zum Angriff

Der Gesetzentwurf des Innenministeriums ist ein Rundumschlag. Viele Initiativen sind sinnvoll: Gütesiegel, Informationspflichten, Verbraucherschutz. Unter dem Strich will Innenminister Seehofer die IT-Sicherheitspolitik Deutschlands aber grundlegend neu ausrichten: von defensiv zu offensiv.

Das reiht sich ein in andere Initiativen wie Hack-Backs, Verschweigen von Schwachstellen, eine neuen Hacker-Behörde und die Ausweitung von staatlichem Hacking.

Dabei ist im Internet Verteidigung die beste Verteidigung.

In den nächsten Wochen wird der Entwurf des Innenministeriums mit den anderen Ministerien diskutiert und abgestimmt, bevor die Bundesregierung den Vorschlag im Bundestag einbringt.

Hier der Gesetzentwurf in Volltext:

Datum: 27.03.2019

Referentenentwurf des Bundesministeriums des Innern, für Bau und Heimat

Entwurf eines Zweiten Gesetzes zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz 2.0 – IT-SiG 2.0)

A. Problem und Ziel

Die Gewährleistung der Cyber- und Informationssicherheit ist ein Schlüsselthema für alle Staaten dieser Welt. Alle gesellschaftlichen Gruppen sind auf funktionierende Informationstechnik angewiesen – sei es für die Produktion, den Konsum, Dienstleistungen oder zur Pflege privater Kontakte. Voraussetzung hierfür ist eine sichere Infrastruktur.

Die jüngere Vergangenheit hat der Öffentlichkeit deutlich vor Augen geführt, dass Digitalisierung, Cyber-Sicherheit und Datenschutz untrennbar miteinander verbunden sind.

Cyber-Angriffe stellen insbesondere für Staat, Wirtschaft und Gesellschaft mithin nach wie vor ein großes Gefahrenpotential dar. Zwar stagniert die Gesamtzahl der Angriffe auf hohem Niveau, jedoch werden sie qualitativ immer ausgefeilter und somit für alle Betroffenen auch gefährlicher. Dies wurde durch Vorfälle wie die Ransomware „WannaCry“ und die Aufdeckung von Schwachstellen in Chips wie „Meltdown“ und „Spectre“ besonders deutlich. Daneben hat auch der zu Beginn des Jahres 2018 in den Medien bekanntgewordene Angriff auf das Auswärtige Amt deutlich gemacht, dass der Staat seine Schutzmaßnahmen anpassen muss. Vorfälle, bei denen persönliche Daten unter anderem aus sozialen Netzwerken ohne Einverständnis und Wissen der Betroffenen weit verbreitet werden (Datenleak-Vorfall Anfang des Jahres 2019), zeigen, dass nicht nur Staat, Wirtschaft und Gesellschaft, sondern auch Individualinteressen betroffen sind.

Eine weitere Verschärfung der Bedrohungslage besteht durch die zunehmende Verbreitung von Internet of Things (IoT)-Geräten. Diese Geräte werden regelmäßig nicht unter Sicherheitsaspekten entwickelt und lassen sich hierdurch ohne großen Aufwand zu riesigen Bot-Netzen zusammenschalten.

Insgesamt ist Cyber-Sicherheit niemals statisch. Ein ausreichendes Schutzniveau heute ist kein Garant für eine erfolgreiche Abwehr der Angriffe von morgen. Eine ständige Anpassung und Weiterentwicklung der Schutzmechanismen und der Abwehrstrategien ist erforderlich. Dieses Gesetz dient daher dem Schutz der Gesellschaft, der Wirtschaft und des Staates.

B. Lösung

IT-Sicherheit muss für die Gesellschaft, die Wirtschaft und den Staat ausgeweitet werden. Entsprechend dem Auftrag aus dem Koalitionsvertrag wird daher der mit dem IT-Sicherheitsgesetz geschaffene Ordnungsrahmen durch das Zweite IT-Sicherheitsgesetz erweitert. Das IT-SiG 2.0 stellt den wesentlichen rechtlichen Rahmen der Tätigkeiten der Bundesregierung auf dem Gebiet der IT-Sicherheit in dieser Legislaturperiode dar.

Das Gesetz verfolgt einen ganzheitlichen Ansatz und enthält Maßnahmen zum Schutz der Gesellschaft bzw. der Bürger, zur Stärkung des Staates bzw. zum Schutz der öffentlichen Informationstechnik und für eine resiliente Wirtschaft.

Zum Schutz der Bürger werden insbesondere Voraussetzungen für ein einheitliches IT-Sicherheitskennzeichen geschaffen, welches die IT-Sicherheit der Produkte erstmals für Bürgerinnen und Bürger sichtbar macht. Hierdurch wird eine fundierte Kaufentscheidung ermöglicht. Außerdem wird Verbraucherschutz als zusätzliche Aufgabe des BSI gesetzlich etabliert.

Um Cyber-Sicherheitsvorfällen insgesamt zu begegnen, werden die Befugnisse des BSI sowie der Strafverfolgungs- und Sicherheitsbehörden zum Schutz der Bundesverwaltung und der Gesellschaft ausgeweitet. Auch werden Möglichkeiten zur Unterstützung der Länder durch das BSI erweitert, da die Bedrohungen des Cyber-Raums unabhängig von Ländergrenzen bestehen.

Zum Schutz der Bürger sowie besonders schutzbedürftiger Personen, werden ergänzend Anpassungen am materiellen Strafrecht und am Strafverfahrensrecht vorgenommen. So werden Strafrahmen zur besseren Abbildung des Unrechts angepasst, Strafbarkeitslücken geschlossen und Qualifikationstatbestände für Computerstraftaten eingeführt. Durch Anpassungen im Strafverfahrensrecht werden den Strafverfolgungs- und Ermittlungsbehörden effektive Ermittlungsinstrumente zur Bekämpfung der Cyberkriminalität an die Hand gegeben.

Bei der rechtswidrigen Verbreitung illegal erlangter Daten spielen die Provider eine erhebliche Rolle. Damit die rechtswidrige Verbreitung solcher Daten zukünftig schnell unterbunden werden kann, werden den Providern Verpflichtungen zum Löschen, zum Melden und zu Bestandsauskünften bei Cybercrime-Vorfällen auferlegt.

Zur Verbesserung der Behördenzusammenarbeit bei der Bekämpfung von Cybercrime-Vorfällen auch über Staatsgrenzen hinweg wird in Umsetzung der Cybercrime-Konvention des Europarats eine Regelung zur Vorabsicherung von Daten geschaffen.

Außerdem werden die für die Betreiber Kritischer Infrastrukturen bestehenden Meldepflichten und Verpflichtungen zur Einhaltung der Mindeststandards auf weitere Teile der Wirtschaft ausgeweitet. Hierbei geht es um diejenigen Teile, an welchen ein besonderes öffentliches Interesse besteht, weil z.B. bei deren Beeinträchtigung ein Grundinteresse der Gesellschaft gefährdet wäre.

C. Alternativen

Beibehalten des bisherigen Rechtszustandes.

D. Haushaltsausgaben ohne Erfüllungsaufwand

Keine.

E. Erfüllungsaufwand

E.1 Erfüllungsaufwand für Bürgerinnen und Bürger

Durch das geplante Regelungsvorhaben kommt es bei Bürgerinnen und Bürgern zu keiner Änderung des Erfüllungsaufwands.

E.2 Erfüllungsaufwand für die Wirtschaft

Durch das geplante Regelungsvorhaben der Bundesregierung kommt es in der Wirtschaft zu einer Veränderung des jährlichen Erfüllungsaufwands von rund 45,09 Mill. Euro. Rund 31,20 Mill. Euro davon entstehen aus neuen oder geänderten Informationspflichten. Einmalig wird die Wirtschaft mit rund 16,71 Mill. Euro belastet.

E.3 Erfüllungsaufwand der Verwaltung

Der Verwaltung entsteht für die Erfüllung der im Gesetz vorgesehenen zusätzlichen Aufgaben ein Aufwand von insgesamt … Planstellen/Stellen mit Personalkosten in Höhe von jährlich rund … Millionen Euro.

Die BDBOS ist verantwortlich für die Kommunikationswege des Bundes. Es ist ein Erfüllungsaufwand in Höhe von insgesamt 10 Planstellen erforderlich. Hierfür fallen jährlich Personalkosten in Höhe von 620.800 Euro und Sachkosten in Höhe von rd. 10,2 Mio. Euro an.

Beim BSI ist ein Erfüllungsaufwand in Höhe von 864 Planstellen/Stellen mit Personalkosten in Höhe von jährlich rund 55,5 Millionen Euro notwendig. Darin ist bereits eine OPH-Quote enthalten. Zusätzlich sind zur Umsetzung des Gesetzes Sachkosten in Höhe von einmalig 28 Mio. Euro und jährlich in Höhe von rd. 47,5 Mio. Euro zu berücksichtigen.

Der Bedarf an Sach- und Personalmitteln sowie Planstellen und Stellen wird finanziell und stellenmäßig im Gesamthaushalt ausgeglichen.

Infolge des Gesetzes zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz) vom 17. Juli 2015 (BGBl 2015, Teil I Nr. 31, S. 1324) und dem Gesetz zur Umsetzung der Richtlinie (EU) 2016/1148 des Europäischen Parlaments und des Rates vom 6. Juli 2016 über Maßnahmen zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz- und Informationssystemen in der Union (EURL2016/1148UmsG) erhielt das BSI Ressourcen als zentrale Anlaufstelle für Betreiber Kritischer Infrastrukturen und Nationale Cyber-Sicherheitsbehörde.

Für die Umsetzung des Zweiten IT-Sicherheitsgesetzes kommen für das BSI folgende neue Aufgaben hinzu:

• Die in § 2 Absatz 13 BSIG eingefügte Ergänzung bezüglich der Zertifizierung der Komponenten für das neue Mobilfunknetz (5G) führt zu einem erhöhten Personalbedarf von 168 Stellen.
• Mit den neuen Aufgaben des BSI zur Förderung des Verbraucherschutzes und der Verbraucherinformation trägt das Gesetz dem Umstand Rechnung, dass die Fragen der IT-Sicherheit durch die Digitalisierung alltäglicher Lebensabläufe – insbesondere durch die steigende Vernetzung der privaten Haushalte – bei Verbraucherinnen und Verbrauchern eine steigende Bedeutung zukommt. Mit seiner technischen Expertise und Erfahrung kann das BSI einerseits durch Beratung, Sensibilisierung und Unterstützung von Verbraucherinnen und Verbrauchern zum Schutz der Verbraucherinnen und Verbraucher vor den mit der Digitalisierung verbundenen Gefahren für die IT-Sicherheit beitragen. Andererseits will das BSI seine Kompetenzen, Fähigkeiten und etablierte Arbeitsbeziehungen dazu einsetzen, Security by Design am Markt durchzusetzen, sodass den Verbraucherinnen und Verbrauchern sichere Produkte zur Verfügung stehen, was heute oft nicht der Fall ist. Um diese wichtige Aufgabe sachgerecht durchführen zu können, benötigt das BSI 169 Planstellen.
• In diesem Kontext kommen auch die Änderungen in § 3 Abs. 1 Satz 2 Nr. 14 sowie § 7 Abs. 1d, sprich die erweiterte Informationsaufgabe und Warnbefugnis im Hinblick auf Produkte zum Tragen, die den Aktivitäten des BSI größere Wirkung verschaffen wird. Um in relevantem Umfang vor unsicheren Produkten warnen zu können, müssen die Untersuchungskapazitäten für Produkte deutlich ausgeweitet und die rechtskonformen Prozesse zur Verbraucherinformation und -warnung ausgebaut und fortentwickelt werden. Hierfür werden 12 Planstellen benötigt.
• Identitätsdiebstahl entwickelt sich immer mehr zum Massenphänomen und Massenproblem. Der Appell zu sicheren Passwörtern kann das grundlegende Problem nicht mehr lösen, Identifizierungs- und Authentisierungsverfahren müssen nutzerfreundlicher werden und zugleich das angemessene, notwendige Maß an Sicherheit bieten. Hier gilt es im Rahmen der neuen Aufgabe im § 3 Abs. 1 Satz 2 Nr. 19 „Pflege und Weiterentwicklung sicherer Identitäten“ alte Ansätze fortzuentwickeln sowie ganz neue Ansätze zu entwickeln, die zur breiten Anwendung kommen. Hierfür benötigt das BSI 8 Planstellen.
• § 4a Kontrolle der Kommunikationstechnik: Staatliche Stellen sind in besonderem Maße auf eine zuverlässige und sichere Kommunikation angewiesen. Daher sind an die Kommunikationstechnik des Bundes besonders hohe Sicherheitsanforderungen zu stellen. Diese besondere Sicherheit erfordert eine effektive und schnelle Kontrollmöglichkeit des Bundesamtes, um Gefahren für die Kommunikationstechnik früh zu erkennen und in der Folge zu beseitigen. Diese neue Aufgabe des BSI führt zu einem Personalbedarf von 64 Planstellen.
• § 4b Meldestelle. Die Sammlung von Informationen über Sicherheitslücken, Schadprogrammen und IT-Sicherheitsvorfällen ist für ein Gesamtlagebild von besonderer Bedeutung. Um eine zentrale Sammlung und systematische Auswertung der an das Bundesamt gerichteten Hinweise auch angesichts der Vielzahl mit dem IT-SiG 2.0 hinzukommender Regelungsbereiche in angemessener Weise sicherzustellen, ist der Ausbau der existierenden Meldestelle beim Bundesamt zwingend erforderlich. Der organisatorische, rechtliche und technische Ausbau sowie die kontinuierliche Beobachtung, Entgegennahme sowie Auswertung und Analyse der Meldungen führt zu einem zusätzlichen Personalbedarf von 14 Planstellen.
• § 5 Abs. 11: Die Bedrohungslage für die Kommunikationstechnik des Bundes ist quantitativ und qualitativ gestiegenen. Um der gestiegenen Gefahr eine effektive Abwehr entgegenzusetzen, muss das Bundesamt personell verstärkt werden. Die aktuell im Bundesamt zur Verfügung stehenden Personalressourcen ermöglichen nicht, die erforderlichen Detektionsmaßnahmen bei allen Behörden des Bundes in ausreichender Form zum Einsatz zu bringen. Neben der mit gem. Gesetz adressierten gestiegenen Gefahrenlage für die Kommunikationstechnik des Bundes erweitert das Gesetz auch die Möglichkeiten des Bundesamtes in Bezug auf eine Unterstützung der Länder. Um eine angemessene Abwehr von Gefahren für die Kommunikationstechnik des Bundes zu erhalten und die neuen Aufgaben bei der Unterstützung der Länder zu erfüllen, benötigt das Bundesamt zusätzliche 29 Planstellen.
• § 5a: Neben der Analyse von Protokolldaten i.S.d. BSIG ist die Auswertung von behördeninternen Protokollierungsdaten ein wesentlicher Bestandteil einer umfassenden Abwehr von Gefahren für die Sicherheit der Informationstechnik. Die geplante Änderung am BSIG erlaubt es dem BSI auf gesetzlicher Grundlage, nun auch behördeninterne Protokollierungsereignisse von vor allem IT-Systemen auszuwerten. Hieraus ergibt sich, dass nun in einem sehr viel größeren Maßstab auch Behörden, die noch nicht durch die IT-Konsolidierung erfasst werden, Protokollierungsdaten an das BSI übermitteln müssen und das BSI diese bei dem gesamten Prozess (Planen, Sammeln, Detektieren, Auswerten) nach Mindeststandard zur Protokollierung und Detektion unterstützen muss. Hierbei ist zu beachten, dass eine sehr heterogene IT-Systemlandschaft besteht, welche eine individuelle Betreuung der Behörden erfordert. Für die Detektion von Cyber-Angriffen durch eine systematische Analyse dieser Daten ist ein Aufwuchs des Bundesamtes um 29 Planstellen zu realisieren.
• In der heutigen Bedrohungslage sind präventive Schutz- und Abwehrmaßnahmen alleine nicht mehr ausreichend. Längst ist klar, dass Angriffe auch bei bestmöglicher Prävention erfolgreich sein werden, sodass die Planung und Durchführung reaktiver Maßnahmen unerlässlich ist. Zu diesen zählt eine möglichst schnelle und sachkundige Zurückführung angegriffener Systeme und Netze in einen „sauberen“ Zustand, um die weitere Nutzbarkeit und Sicherheit der betroffenen Systeme und Netze sicherzustellen. Das Bundesamt hat zu diesem Zweck Mobile Incident Response Teams (MIRTs) eingerichtet, die betroffenen Behörden der Bundesverwaltung sowie weiterer Bedarfsträger (andere Verfassungsorgane oder die Betreiber Kritischer Infrastrukturen) bei der Bewältigung von Sicherheitsvorfällen unterstützen. Die Erfahrung nach der Einrichtung dieser MIRTs hat gezeigt, dass auch die Länder in diesem Bereich einen erheblichen Unterstützungsbedarf haben. Um eine regelmäßige Unterstützung durch das Bundesamt zu ermöglichen, wird durch dieses Gesetz die Betroffenheit eines Landes von einem IT-Sicherheitsvorfall als Einsatz-Regelfall festgelegt. Durch die damit einhergehende Erweiterung des Adressatenkreises entsteht für das Bundesamt ein personeller Mehrbedarf von 41 Planstellen.
• § 5c, § 8b Abs. 2: Kommt es bei Betreibern Kritischer Infrastrukturen oder bei weiterer Anlagen im besonderen öffentlichen Interesse zu größeren (IT-)Störungen, hat dies sehr schnell negative Auswirkungen auf große Teile der Bevölkerung. Zur Aufrechterhaltung oder Wiederherstellung von IT-Systemen im Falle einer erheblichen Störung ist eine bestehende, auch in Krisenlagen funktionsfähige Kommunikationsinfrastruktur von wesentlicher Bedeutung. Um die notwendigen Krisenreaktionspläne zu erarbeiten sowie eine solche Struktur zwischen Bundesbehörden und den KRITIS-Betreibern aufzubauen, zu pflegen und zu betreiben, sind beim Bundesamt 44 Planstellen/Stellen erforderlich.
• § 5d Die schnelle Information der Opfer eines Cyber-Angriffs und die Möglichkeit so früh wie möglich Unterstützung bei der Bewältigung anzubieten, ist eine elementare Aufgabe des Bundesamtes. Um die Opfer eines Angriffs identifizieren zu können, ist eine Bestandsdatenabfrage häufig unerlässlich. Zur effektiven Durchführung der damit verbundenen Aufgaben entsteht ein zusätzlicher Verwaltungsaufwand von 2 Planstellen.
• Das Bundesamt muss in der Lage sein, technische Untersuchungen nach § 7a BSIG zur Erfüllung aller seiner gesetzlichen Aufgaben durchzuführen. Dies wird durch dieses Gesetz ermöglicht. Zudem wir das Bundesamt mit weitergehenden Befugnissen ausgestattet, die zugleich auch zu weitergehenden und tieferen Prüfungen führen und damit einen Mehraufwand erzeugen. Durch die Erweiterung der Untersuchungsbefugnis entsteht ein Bedarf von 5 Planstellen.
• § 7c: Um schnell und effektiv vor Sicherheitsrisiken für die Netz- und Informationssicherheit zu warnen, ist eine Detektion bestehender Risiken unerlässlich. Insbesondere für die Planung, Entwicklung und Wartung der Scanner als auch für die fachliche Begleitung aller Prüfungen sowie für die notwendigen Auswertungen und die Einschätzung der Ergebnisse werden weitere Fachkräfte benötigt. Um diese neue Aufgabe effektiv umzusetzen, benötigt das Bundesamt 10 Planstellen.
• Um Detektionsmaßnahmen zum besonderen Schutz von Mitgliedern der Verfassungsorgane durchzuführen und hierdurch das BKA zu unterstützen, entsteht dem Bundesamt zudem ein Personalbedarf von zusätzlichen 2 Planstellen.
• Die Vielzahl von Digitalisierungsvorhaben der Bundesregierung erfordert eine konstante Beratung und Begleitung durch das Bundesamt, um bereits ab der Konzeptions- und Planungsphase die Aspekte der IT-Sicherheit in angemessener Weise zu berücksichtigen. Daher ist das Bundesamt durch die jeweils zuständige Stelle frühzeitig bei der Planung und Umsetzung der neuen Digitalisierungsvorhaben des Bundes zu beteiligen. Angesichts der Vielzahl der anstehenden Digitalisierungsprojekte beläuft sich der hierdurch entstehende Beratungsaufwand auf einen Bedarf von 71 Planstellen/Stellen.
• Durch die Erweiterung der KRITIS-Regelungen und die damit verbundene Aufnahme weiterer Branchen in den Regelungsbereich des Gesetzes sowie die Ergänzung des BSIG um den Bereich der Infrastrukturen im besonderen öffentlichen Interesse und die Möglichkeit, bestimmten Betreiben im Einzelfall Pflichten nach §§ 8a und 8b BSIG aufzuerlegen, wenn eine Störung der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit der informationstechnischen Systeme, Komponenten oder Prozesse dieses Unternehmens zu einer tatsächlichen und hinreichend schweren Gefährdung für ein Grundinteresse der Gesellschaft führen würde, führt zu einem personellen Mehrbedarf des Bundesamtes von insgesamt 56 Planstellen.
• Durch die Konzeption und Vergabe eines IT-Sicherheitskennzeichens sollen insbesondere Verbraucherinnen und Verbraucher in die Lage versetzt werden, den Aspekt der IT-Sicherheit bei der Auswahl ihrer IT-Produkte in einfacher Form berücksichtigen zu können. Das IT-Sicherheitskennzeichen des Bundesamts wird es Verbraucherinnen und Verbrauchern ermöglichen, schnell und einfach zu überprüfen, ob das jeweilige IT-Produkt bzw. dessen Hersteller aktuelle Sicherheitsstandards in ausreichender Form berücksichtigt. Um die für die Vergabe des IT-Sicherheitskennzeichens erforderlichen Arbeiten inkl. der im Sinne einer Marktaufsicht anstehenden Prüfungen und Kontrollen durchführen zu können, benötigt das Bundesamt 25 zusätzliche Planstellen.
• Die Erweiterung der Bußgeldvorschriften führt zu einem erhöhten Prüfungs- und Verwaltungsaufwand. Das Bundesamt benötigt zur Bewältigung dieses zusätzlichen Aufwandes 2 weitere Planstellen.

F. Weitere Kosten

Keine.

Referentenentwurf der Bundesregierung

Entwurf eines Zweiten Gesetzes zur Erhöhung der Sicherheit informationstechnischer Systeme (Zweites IT-Sicherheitsgesetz – IT-SiG 2.0)

Vom …

Der Bundestag hat das folgende Gesetz beschlossen:

Artikel 1 – Änderung des Gesetzes über das Bundesamt für Sicherheit in der Informationstechnik (BSIG)

Das BSI-Gesetz in der Fassung der Bekanntmachung vom 14. August 2009 (BGBl. I S. 2821), das zuletzt durch Artikel 1 des Gesetzes vom 23. Juni 2017 (BGBl. I S. 1885) geändert worden ist, wird wie folgt geändert:

1. § 2 wird wie folgt geändert:

1. Absatz 3 Satz 1 wird durch folgenden Satz ersetzt:
   

   Kommunikationstechnik des Bundes im Sinne dieses Gesetzes ist die Informationstechnik, die von einer oder mehreren Bundesbehörden oder im Auftrag einer oder mehrerer Bundesbehörden betrieben wird und der Kommunikation oder der Datenverarbeitung innerhalb einer Bundesbehörde, der Bundesbehörden untereinander oder mit Dritten dient.

2. Absatz 9 wird durch folgenden Absatz 9 ersetzt:
   

   (9) Protokollierungsdaten sind Aufzeichnungen über die Art und Weise, wie die Informationstechnik genutzt wurde, über technische Ereignisse oder Zustände innerhalb eines informationstechnischen Systems und wie dieses mit anderen kommuniziert hat. Protokolldaten nach Absatz 8 sind eine Teilmenge der Protokollierungsdaten. Protokollierungsdaten dienen der Erkennung, Eingrenzung oder Beseitigung von Störungen oder Fehlern bei der Kommunikationstechnik oder von Angriffen.

3. Nach Absatz 9 wird folgender Absatz 9a eingefügt:
   

   (9a) IT-Produkte sind Softwareprodukte sowie alle einzelnen oder miteinander verbundenen Hardwareprodukte und Hardwarekomponenten, inklusive der zur einwandfreien Funktion eingesetzten Software.

4. In Absatz 10 Satz 1 Nummer 1 werden nach dem Wort „Versicherungswesen“ die Wörter „oder Entsorgung“ eingefügt.
5. Nach Absatz 12 werden folgende Absätze 13 und 14 eingefügt:
   

   (13) Kernkomponenten für Kritische Infrastrukturen (KRITIS-Kernkomponenten) sind IT-Produkte, die zum Betrieb von Kritischen Infrastrukturen im Sinne dieses Gesetzes dienen und für diesen Zweck besonders entwickelt oder geändert werden. KRITIS-Kernkomponenten sind:

   1. im Sektor Energie IT-Produkte für die Kraftwerksleittechnik, für die Netzleittechnik oder für die Steuerungstechnik zum Betrieb von Anlagen oder Systemen zur Stromversorgung, Gasversorgung, Kraftstoff- oder Heizölversorgung oder Fernwärmeversorgung,
   2. im Sektor Wasser IT-Produkte für die Leit-, Steuerungs- oder Automatisierungstechnik von Anlagen zur Trinkwasserversorgung oder Abwasserbeseitigung,
   3. im Sektor Informationstechnik und Telekommunikation IT-Produkte zum Betrieb von Anlagen oder Systemen zur Sprach- und Datenübertragung oder zur Datenspeicherung und -verarbeitung. Soweit IT-Produkte und deren Einsatz dem Anwendungsbereich des TKG unterfallen, gelten diese nur dann als KRITIS-Kernkomponenten im Sinne dieser Vorschrift, wenn sie durch den Sicherheitskatalog nach § 109 Absatz 6 TKG als solche festgelegt sind,
   4. im Sektor Ernährung IT-Produkte zum Betrieb von Anlagen oder Systemen zur Lebensmittelversorgung,
   5. im Sektor Gesundheit IT-Produkte zum Betrieb eines Krankenhausinformationssystems, zum Betrieb von Anlagen oder Systemen zum Vertrieb von verschreibungspflichtigen Arzneimitteln sowie zum Betrieb eines Laborinformationssystems,
   6. im Sektor Finanz- und Versicherungswesen IT-Produkte zum Betrieb von Anlagen oder Systemen der Bargeldversorgung, des kartengestützten Zahlungsverkehrs, des konventionellen Zahlungsverkehrs, zur Verrechnung und der Abwicklung von Wertpapier- und Derivatgeschäften oder zur Erbringung von Versicherungsdienstleistungen,
   7. im Sektor Transport und Verkehr IT-Produkte zum Betrieb von Anlagen oder Systemen zur Beförderung von Personen und Gütern im Luftverkehr, im Schienenverkehr, in der See- und Binnenschifffahrt, im Straßenverkehr, im öffentlichen Personennahverkehr oder in der Logistik,
   8. im Sektor Entsorgung IT-Produkte zum Betrieb von Anlagen oder Systemen zur Abfallentsorgung.

   (14) Infrastrukturen im besonderem öffentlichen Interesse sind Anlagen oder Teile davon, die

   dem Bereich Rüstung angehören und nach § 60 der Außenwirtschaftsverordnung in der jeweils geltenden Fassung wesentlich für die Sicherheitsinteressen der Bundesrepublik Deutschland sind,

   1. dem Bereich Kultur und Medien angehören und von hoher Bedeutung für das Funktionieren des Gemeinwesens sind, weil durch ihren Ausfall oder ihre Beeinträchtigung eine Gefährdungen für die öffentliche Sicherheit eintreten würde, oder
   2. nicht von Absatz 10 erfasst sind, aber dennoch von erheblicher Bedeutung sind, weil durch ihren Ausfall oder ihre Beeinträchtigung die Geschäftstätigkeit von Unternehmen mit Zulassung zum Teilbereich des regulierten Marktes mit weiteren Zulassungsfolgepflichten (Prime Standard) nach § 48 Börsenordnung der Frankfurter Wertpapierbörse eingeschränkt und dadurch erhebliche volkswirtschaftliche Schäden eintreten würden.

   Die Infrastrukturen im besonderem öffentlichen Interesse nach Nummer 2 werden durch die Rechtsverordnung nach § 10 Absatz 5 näher bestimmt.

2. § 3 Absatz 1 Satz 2 wird wie folgt geändert:

1. In Nummer 2 wird das Wort „oder“ gestrichen.
2. Nach Nummer 5 wird folgender Nummer 5a eingefügt:
   

   5a. Erteilung der Befugnis nach § 1 Absatz 2 des Gesetzes über die Akkreditierungsstelle, als Konformitätsbewertungsstelle im Bereich der IT-Sicherheit tätig zu sein. Im Bereich der hochwertigen IT-Sicherheitszertifizierung Anerkennung der hierfür erforderlichen Sachkenntnis der Konformitätsbewertungsstelle nach § 9 Absatz 6;

3. Nummer 14 wird durch die folgende Nummer 14 ersetzt:
   

   14. Beratung, Information und Warnung der Stellen des Bundes, der Länder sowie der Hersteller, Vertreiber und Anwender in Fragen der Sicherheit in der Informationstechnik, insbesondere unter besonderer Berücksichtigung der möglichen Folgen fehlender oder unzureichender Sicherheitsvorkehrungen;

4. Nach Nummer 14 wird folgende Nummer 14a eingefügt:
   

   14a. Förderung des Verbraucherschutzes und der Verbraucherinformation im Bereich der Sicherheit in der Informationstechnik, insbesondere durch Wahrnehmung der Aufgabe nach Nummer 14 gegenüber Verbrauchern;“.

5. Nummer 17 wird durch folgende Nummer 17 ersetzt:

17. Aufgaben nach den §§ 8a bis 8h als zentrale Stelle für die Sicherheit in der Informationstechnik Kritischer Infrastrukturen, digitaler Dienste, der Infrastrukturen im besonderen öffentlichen Interesse und der Hersteller von IT-Produkten;“.

1. In Nummer 18 wird der Punkt durch ein Semikolon ersetzt.
2. Nach Nummer 18 werden folgende Nummern 19 und 20 eingefügt:
   

   19. Entwicklung von Anforderungen an Identifizierungs- und Authentisierungsverfahren und Bewertung dieser Verfahren unter dem Gesichtspunkt der Informationssicherheit;

   20. Entwicklung und Veröffentlichung sicherheitstechnischer Anforderungen an IT-Produkte .

3. In § 4 Absatz 2 Nummer 1 werden nach dem Wort „Informationen,“ ein Komma und die Wörter „einschließlich personenbezogener Daten,“ eingefügt.

4. Nach § 4 werden folgende §§ 4a und 4b eingefügt:

§ 4a – Kontrolle der Kommunikationstechnik des Bundes

(1) Das Bundesamt ist befugt, die Sicherheit der Kommunikationstechnik des Bundes und ihrer Komponenten, einschließlich technischer Infrastrukturen, die zu deren Betrieb erforderlich sind, zu überprüfen und zu kontrollieren. Es kann hierzu die Bereitstellung aller zur Aufgabenerfüllung erforderlichen Informationen, insbesondere zu technischen Details, zu Strategien, Planungen und Regelungen mit Bezug zur Kommunikationstechnik des Bundes einschließlich Aufbau- und Ablauforganisation, verlangen sowie Unterlagen und Datenträger des Betreibers der jeweiligen Kommunikationstechnik des Bundes oder eines mit Betriebsleistungen beauftragten Dritten einsehen und hiervon unentgeltlich Abschriften, Auszüge, Ausdrucke oder Kopien, auch von Datenträgern, anfertigen oder Ausdrucke von elektronisch gespeicherten Daten verlangen, soweit nicht überwiegende Sicherheitsinteressen oder Geheimschutzinteressen entgegenstehen.

(2) Ferner ist dem Bundesamt in den Zeiten, zu denen die Räume normalerweise für die jeweilige geschäftliche oder betriebliche Nutzung zur Verfügung stehen, zu den Grundstücken und Betriebsräumen, einschließlich Datenverarbeitungsanlagen und -geräten, die für die Kommunikationstechnik des Bundes verwendet werden, Zugang zu gewähren, soweit dies zur Erfüllung der Zwecke nach Absatz 1 erforderlich ist.

(3) Bei Einrichtungen von Dritten, bei denen Schnittstellen zur Kommunikationstechnik des Bundes bestehen, kann das Bundesamt auf der Schnittstellenseite der Einrichtung im Einvernehmen mit dem Dritten die Sicherheit der Schnittstelle überprüfen und kontrollieren. Es kann hierzu im Einvernehmen mit dem Dritten zur Aufgabenerfüllung erforderlichen Informationen, insbesondere zu technischen Details, zu Strategien, Planungen und Regelungen sowie Unterlagen und Datenträger des Betreibers einsehen und hiervon unentgeltlich Abschriften, Auszüge, Ausdrucke oder Kopien, auch von Datenträgern, oder Ausdrucke von elektronisch gespeicherten Daten anfertigen.

(4) Das Bundesamt teilt sein Ergebnis der Überprüfung und Kontrolle nach Absatz 1 der jeweiligen überprüften Stelle sowie im Falle einer öffentlichen Stelle des Bundes ihrer jeweiligen Rechts- und Fachaufsicht mit. Damit kann es Vorschläge zur Verbesserung der IT-Sicherheit, insbesondere zur Beseitigung der festgestellten Mängel, verbinden.

§ 4b – Meldestelle für die Sicherheit in der Informationstechnik

(1) Das Bundesamt fördert die Sicherheit in der Informationstechnik. Hierzu sammelt es Informationen über Sicherheitsrisiken in der Informationstechnik und wertet diese aus.

(2) Das Bundesamt kann zur Wahrnehmung der in Absatz 1 Satz 1 genannten Aufgabe Informationen zu Sicherheitslücken, Schadprogrammen, erfolgten oder versuchten Angriffen auf die Sicherheit in der Informationstechnik und der dabei beobachteten Vorgehensweisen entgegennehmen. Das Bundesamt richtet hierzu geeignete Meldemöglichkeiten ein. Die Meldungen können anonym erfolgen. Soweit die Meldung nicht anonym erfolgt, kann der Dritte im Rahmen der Meldung verlangen, dass die Daten nur anonymisiert weitergegeben werden dürfen. In diesem Fall gilt § 5 Absatz 5 und Absatz 6 Satz 1 entsprechend.

(3) Das Bundesamt kann die gemäß Absatz 2 gemeldeten Informationen zur Aufgabenerfüllung verarbeiten. Insbesondere kann es die Informationen verarbeiten, um:

1. Dritte über bekanntgewordene Sicherheitslücken, Schadprogramme, erfolgte oder versuchte Angriffe auf die Sicherheit in der Informationstechnik zu informieren, soweit dies zur Wahrung ihrer Sicherheitsinteressen erforderlich ist,
2. die Öffentlichkeit gemäß § 7 zu warnen,
3. Bundesbehörden gemäß § 4 Absatz 2 Nummer 2 über die sie betreffenden Informationen zu unterrichten,
4. Betreiber Kritischer Infrastrukturen gemäß § 8b Absatz 2 Nummer 4 Buchstabe a) über die sie betreffenden Informationen zu unterrichten.

Eine Weitergabe erfolgt nicht, wenn die gemäß Absatz 2 gemeldeten Informationen:

1. Betriebs- und Geschäftsgeheimnisse von Dritten beinhalten und die Maßnahmen nach Absatz 3 Satz 1 nicht ohne Bekanntgabe dieser Betriebs- und Geschäftsgeheimnisse durchgeführt werden können,
2. auf Grund von Vereinbarungen mit Dritten nicht übermittelt werden dürfen.

Sonstige gesetzliche Übermittlungshindernisse und Regelungen zum Geheimschutz bleiben unberührt.

(4) Erlangt das Bundesamt im Rahmen einer Meldung nach Absatz 2 Kenntnis von der Identität eines Dritten, so kann eine Übermittlung dieser personenbezogenen Daten unterbleiben, wenn für das Bundesamt erkennbar ist, dass unter Berücksichtigung der Schwere einer gemeldeten Sicherheitslücke, eines Schadprogramms, eines erfolgten oder versuchten Angriffs auf die Sicherheit in der Informationstechnik und der dabei beobachteten Vorgehensweisen sowie der Art und Weise, mittels derer der Dritte diese Erkenntnisse gewonnen hat, die schutzwürdigen Interessen des Dritten das Allgemeininteresse an der Übermittlung überwiegen. Die Entscheidung nach Satz 1 muss dem behördlichen Datenschutzbeauftragten des Bundesamtes sowie einem weiteren Bediensteten des Bundesamtes, der die Befähigung zum Richteramt hat, zur vorherigen Entscheidung vorgelegt werden.

(5) Bestehende gesetzliche Meldepflichten und Übermittlungsregelungen bleiben unberührt.

5. § 5 wird wie folgt geändert:

1. In Absatz 1 Satz 4 werden nach den Wörtern „Schnittstellendaten nach Satz 1 Nummer 2“ die Wörter „nach Maßgabe des § 4a“ eingefügt.
2. Absatz 2 wird wie folgt gefasst:
   

   (2) Protokolldaten nach Absatz 1 Satz 1 Nummer 1 dürfen über den für die automatisierte Auswertung nach Absatz 1 Satz 1 Nummer 1 erforderlichen Zeitraum hinaus, längstens jedoch für 18 Monate, gespeichert werden. Durch organisatorische und technische Maßnahmen ist sicherzustellen, dass eine Auswertung der nach diesem Absatz gespeicherten Daten nur automatisiert erfolgt und dass ein Zugriff auf Daten, die länger als drei Monate gespeichert sind, nur beim Vorliegen tatsächlicher Erkenntnisse über die Betroffenheit des Bundes mit einem Schadprogramm erfolgt und dass ein Zugriff auf Daten, die länger als drei Monate gespeichert sind, nur beim Vorliegen tatsächlicher Erkenntnisse über die Betroffenheit des Bundes mit einem Schadprogramm erfolgt. Die Daten sind zu pseudonymisieren, soweit dies automatisiert möglich ist. Eine nicht automatisierte Auswertung oder eine personenbezogene Verwendung ist nur nach Maßgabe der nachfolgenden Absätze zulässig. Soweit hierzu die Wiederherstellung oder vorübergehende Erhaltung des Personenbezugs pseudonymisierter Daten erforderlich ist, muss diese durch den Präsidenten des Bundesamtes angeordnet werden. Der Präsident kann diese Aufgabe an einen Bediensteten des Bundesamtes mit der Befähigung zum Richteramt delegieren. Die Entscheidung über die Wiederherstellung oder vorübergehende Erhaltung des Personenbezugs ist zu protokollieren. Entscheidet der Delegierte über die Wiederherstellung oder vorübergehende Erhaltung des Personenbezugs pseudonymisierter Daten, sind der Präsident und die behördliche Datenschutzbeauftragte unverzüglich zu informieren.

3. Nach Absatz 2 wird folgender Absatz 2a eingefügt:
   

   (2a) Protokolldaten dürfen vor ihrer Pseudonymisierung und Speicherung nach Absatz 2 sowie stichprobenartig nach ihrer Pseudonymisierung und Speicherung manuell verarbeitet werden, sofern diese Verarbeitung zur Sicherstellung einer fehlerfreien Pseudonymisierung oder fehlerfreien automatisierten Auswertung verhältnismäßig ist. Absatz 2 Satz 5 bis 8 gilt entsprechend. Die Entscheidung ist zu protokollieren.

4. Nach Absatz 10 wird folgender Absatz 11 eingefügt:
   

   (11) Das Bundesamt darf Maßnahmen nach Absatz 1

   1. zur Abwehr von Gefahren für die Kommunikationstechnik des Bundes bei IT-Dienstleistern und Diensteanbietern durchführen, die wesentliche IT-Dienstleistungen oder IT-Dienstleistungen in sicherheitssensiblen Bereichen für den Bund erbringen und
   2. zur Abwehr von Gefahren für die Kommunikationstechnik der Länder auf deren Ersuchen durchführen.

   Hierbei gelten die Absätze 2 bis 10 entsprechend. Im Falle des Satzes 1 Nummer 2 ist dies nur möglich, soweit dies nach jeweiligem Landesrecht ausdrücklich vorgesehen ist.

6. Nach § 5 wird folgender § 5a eingefügt:

§ 5a – Verarbeitung behördeninterner Protokollierungsdaten

Das Bundesamt darf zur Abwehr von Gefahren für die Kommunikationstechnik des Bundes behördeninterne Protokollierungsdaten, die beim Betrieb von Kommunikationstechnik des Bundes anfallen, erheben und automatisiert auswerten, soweit dies zum Erkennen, Eingrenzen oder Beseitigen von Störungen oder Fehlern bei der Kommunikationstechnik des Bundes oder von Angriffen auf die Informationstechnik des Bundes erforderlich ist und überwiegende Sicherheitsinteressen oder Geheimschutzinteressen nicht entgegen stehen. Die Bundesbehörden sind verpflichtet, das Bundesamt bei Maßnahmen nach Satz 1 zu unterstützen und hierbei den unbeschränkten Zugang des Bundesamtes zu behördeninternen Protokollierungsdaten nach Satz 1 sicherzustellen. § 5 Absatz 2 bis 4 sowie Absatz 8 und 9 gelten entsprechend.

7. Der bisherige „§ 5a“ wird „§ 5b“ und wie folgt geändert:

1. Absatz 1 wird wie folgt gefasst:
   

   (1) Handelt es sich bei einer Beeinträchtigung der Sicherheit oder Funktionsfähigkeit eines informationstechnischen Systems einer Stelle des Bundes oder eines Betreibers einer Kritischen Infrastruktur oder eines Betreibers einer weiteren Anlage im besonderen öffentlichen Interesse um einen herausgehobenen Fall, so kann das Bundesamt auf Ersuchen der betroffenen Stelle oder des betroffenen Betreibers die Maßnahmen treffen, die zur Wiederherstellung der Sicherheit oder Funktionsfähigkeit des betroffenen informationstechnischen Systems erforderlich sind.

2. In Absatz 7 wird folgender Satz angefügt:
   

   Ein begründeter Einzelfall liegt in der Regel vor, wenn einem Betreiber von Anlagen nach § 8g die Pflichten nach § 8a und § 8b auferlegt wurden oder eine Stelle eines Landes betroffen ist.

8. Nach § 5b werden die folgenden §§ 5c und 5d eingefügt:

§ 5c – Sicherheit und Funktionsfähigkeit informationstechnischer Systeme im Falle erheblicher Störungen

(1) Das Bundesamt stellt im Einvernehmen mit

1. dem Bundesamt für Bevölkerungsschutz und Katastrophenhilfe und
2. der jeweils zuständigen Aufsichtsbehörde des Bundes

Krisenreaktionspläne auf, um die Aufrechterhaltung oder Wiederherstellung der informationstechnischen Systeme, Komponenten oder Prozesse bei Betreibern Kritischer Infrastrukturen oder Betreibern weiterer Anlagen im besonderen öffentlichen Interesse für den Fall einer erheblichen Störung im Sinne des § 8b Absatz 4 Nummer 2, die zu erheblichen Versorgungsengpässen oder Gefährdungen für die öffentliche Sicherheit führen können, sicherzustellen.

(2) Die Krisenreaktionspläne sollen die an der Krisenreaktion beteiligten Behörden, Betreiber Kritischer Infrastrukturen und Betreiber weiterer Anlagen im besonderen öffentlichen Interesse in die Lage versetzen, im Notfall unverzüglich abgestimmte Entscheidungen zu treffen und die angemessenen Maßnahmen rechtzeitig durchzuführen.

(3) Bei der Erstellung und bei wesentlichen Änderungen der Krisenreaktionspläne soll eine Abstimmung mit den Betroffenen sichergestellt werden. Die Krisenreaktionspläne werden regelmäßig unter Berücksichtigung von Erkenntnissen aus bewältigten Krisen im Bereich der Sicherheit in der Informationstechnik sowie den Veränderungen des Stands der Technik und der Rechtslage überprüft und gegebenenfalls angepasst.

(4) Während einer erheblichen Störung gemäß § 8b Absatz 4 Nummer 2 kann das Bundesamt im mit den jeweils im Einzelfall nach § 5 Absatz 5 zu beteiligenden Stellen

1. den Betroffenen die zur Bewältigung der Störung notwendigen Informationen einschließlich personenbezogener Daten übermitteln,
2. von den Betroffenen die Herausgabe der zur Bewältigung der Störung notwendigen Informationen einschließlich personenbezogener Daten verlangen,
3. im Benehmen mit dem Bundesamt für Bevölkerungsschutz und Katastrophenhilfe gegenüber den Betroffenen die erforderlich informationstechnischen Maßnahmen für die Wiederherstellung der Sicherheit und der Funktionsfähigkeit ihrer informationstechnischen Systeme anordnen, um erhebliche Versorgungsengpässe oder Gefährdungen für andere wichtige Rechtsgüter, insbesondere für Leib und Leben sowie für die öffentliche Sicherheit, abzuwenden, wenn der Betroffene die erhebliche Störung nicht unverzüglich selbst beseitigt oder zu erwarten ist, dass der Betroffene die erhebliche Störung selbst nicht unverzüglich beseitigen kann.

§ 5d – Bestandsdatenauskunft

(1) Das Bundesamt darf von demjenigen, der geschäftsmäßig Telekommunikationsdienste erbringt oder daran mitwirkt, Auskunft über die nach den §§ 95 und 111 des Telekommunikationsgesetzes erhobenen Daten verlangen (§ 113 Absatz 1 Satz 1 des Telekommunikationsgesetzes), wenn das Bundesamt im Rahmen seiner gesetzlichen Aufgabenerfüllung von ziel- und zweckgerichteten Beeinträchtigungen der Sicherheit oder Funktionsfähigkeit informationstechnischer Systeme Dritter Kenntnis erlangt hat, die schutzwürdigen Interessen des betroffenen Dritten eine unmittelbare Kontaktaufnahme durch das Bundesamt mit ihm als erforderlich erscheinen lassen, um im Einzelfall weitergehende Angriffe auf die Sicherheit oder Funktionsfähigkeit informationstechnischen Systeme möglichst zu verhindern oder sonstige Schäden vom betroffenen Dritten abzuwenden, und die Auskunft für die Kontaktaufnahme erforderlich ist.

(2) Die Auskunft nach Absatz 1 darf auch anhand einer zu einem bestimmten Zeitpunkt zugewiesenen Internetprotokoll-Adresse verlangt werden (§ 113 Absatz 1 Satz 3, §113c Absatz 1 Nummer 3 des Telekommunikationsgesetzes).

(3) Das Bundesamt übermittelt Auskunftsverlangen nach Absatz 1 oder Absatz 2 in Textform. Auf Grund eines Auskunftsverlangens nach Absatz 1 oder 2 hat derjenige, der geschäftsmäßig Telekommunikationsdienste erbringt oder daran mitwirkt, die zur Auskunftserteilung erforderlichen Daten unverzüglich an das Bundesamt zu übermitteln. Für die Entschädigung der Diensteanbieter ist § 23 des Justizvergütungs- und -entschädigungsgesetzes entsprechend anzuwenden.

(4) Nach erfolgter Auskunft weist das Bundesamt den Betroffenen auf die bei ihm festgestellten Beeinträchtigungen hin. Nach Möglichkeit weist das Bundesamt den Betroffenen auf angemessene, wirksame und zugängliche technische Mittel hin, mittels derer die festgestellten Beeinträchtigungen durch den Betroffenen selbst beseitigt werden können. In den Fällen des Absatzes 2 ist der Betroffene über die Auskunft zu benachrichtigen. Im Falle der Weitergabe der Information nach § 5 Absatz 5 oder wenn Tatsachen die Annahme rechtfertigen, dass die Voraussetzungen einer Weitergabe nach § 5 Absatz 5 vorliegen, ergeht eine Benachrichtigung an den Betroffenen.

(5) Das Bundesamt kann personenbezogene Daten, die es im Rahmen dieser Vorschrift verarbeitet, entsprechend § 5 Absatz 5 und 6 übermitteln.

(6) Das Bundesamt unterrichtet die oder den Bundesbeauftragten für den Datenschutz und die Informationsfreiheit kalenderjährlich jeweils bis zum 30. Juni des dem Berichtsjahr folgenden Jahres über

1. die Anzahl der Vorgänge, in denen Daten nach Absatz 1 oder Absatz 2 an das Bundesamt übermittelt wurden,
2. Übermittlungen nach Absatz 5.“

9. § 7 wird wie folgt geändert:

Absatz 1 wird wie folgt gefasst:

(1) Zur Erfüllung seiner Aufgaben nach § 3 Absatz 1 Satz 2 Nummer 14 und Nummer 14a kann das Bundesamt

die folgenden Warnungen an die Öffentlichkeit oder an die betroffenen Kreise richten: