12. März 2009 - Hintergrund

Das BSI-Gesetz

Die Sicherheit in der Informationstechnik des Bundes soll verbessert werden. Ein Gesetzentwurf der deutschen Bundesregierung sieht zu diesem Zweck vor, dem Bundesamt für Sicherheit in der Informationstechnik (BSI) erweiterte Befugnisse einzuräumen. Und genau dieser Punkt führt zu heftiger Kritik vonseiten des Datenschutzes. Was steckt aber nun wirklich hinter diesem BSI-Gesetz?

Datenschutzkonzept ist Grundlage der Datenschutzorganisation (Bild: Mathias Rosenthal / iStock / Thinkstock)

Derzeit existiert das „Gesetz über die Errichtung des Bundesamtes für Sicherheit in der Informationstechnik“ (BSI-Errichtungsgesetz) vom 17. Dezember 1990, das zuletzt im Oktober 2006 geändert worden ist.

Rechtliche Grundlage

Dieses Gesetz soll außer Kraft treten, sobald das derzeit nur im Entwurf bestehende „Gesetz zur Stärkung der Sicherheit in der Informationstechnik des Bundes“ vom 16. Februar 2009 in Kraft tritt.

Dieser Gesetzentwurf beinhaltet

  • das „Gesetz über das Bundesamt für Sicherheit in der Informationstechnik“, kurz BSI-Gesetz oder BSIG
  • Änderungen des Telekommunikationsgesetzes (TKG)
  • Änderungen des Telemediengesetzes (TMG)

Inhalte des Entwurfs für ein BSIG

Das BSIG definiert Begriffe und regelt Aufgaben und Befugnisse des Bundesamtes für Sicherheit in der Informationstechnik (BSI).

Nach § 2 des Gesetzesentwurfs

  • umfasst die Informationstechnik (IT) alle technischen Mittel zur Verarbeitung oder Übertragung von Informationen.
  • sind Schadprogramme Programme und sonstige informationstechnische Routinen und Verfahren, die dem Zweck dienen, unbefugt Daten zu nutzen oder zu löschen oder auf IT-Abläufe einzuwirken. Diese Definition entspricht der in der Informationstechnik üblichen Terminologie. Maßgeblich ist, dass die Programme dem Zweck dienen, unbefugt unerwünschte Funktionen auszuüben.
  • sind Sicherheitslücken unerwünschte Eigenschaften von IT-Systemen, insbesondere Computerprogrammen, die es Dritten erlauben, gegen den Willen des Berechtigten dessen Informationstechnik zu beeinflussen.
  • umfasst Datenverkehr die mittels technischer Protokolle übertragenen Daten. Dieser Datenverkehr kann Telekommunikationsinhalte nach § 88 Abs. 1 TKG (Telekommunikationsgesetz) und Nutzungsdaten nach § 15 Abs. 1 TMG (Telemediengesetz) enthalten.

Aufgaben des BSI

Das BSI soll die Sicherheit in der Informationstechnik des Bundes fördern.

Weitere Informationen zum BSI

Zu den Aufgaben sollen nach § 3 des Entwurfes unter anderem gehören:

  • Abwehr von Gefahren für die Sicherheit der Informationstechnik des Bundes
  • Sammlung und Auswertung von Informationen über Sicherheitsrisiken und Zuverfügungstellung der Erkenntnisse an andere Stellen
  • Untersuchung von Sicherheitsrisiken und Entwicklung von Sicherheitsvorkehrungen, insbesondere Verfahren und Geräte
  • Entwicklung von Kriterien, Verfahren und Werkzeugen für die Prüfung und die Bewertung der Sicherheit von IT-Systemen
  • Prüfung und Bewertung der Sicherheit von IT-Systemen und Erteilung von Zertifikaten
  • Herstellung von Schlüsseldaten und Betrieb von Krypto- und Sicherheitsmanagementsystemen für IT-Systeme des Bundes im Bereich des Geheimschutzes
  • Entwicklung von sicherheitstechnischen Anforderungen an die einzusetzende Informationstechnik des Bundes und die Eignung von Auftragnehmern
  • Bereitstellung von IT-Sicherheitsprodukten für Stellen des Bundes
  • Unterstützung der für IT-Sicherheit zuständigen Stellen des Bundes und auch der Länder, wenn diese es nachfragen
  • Unterstützung der Polizei und der Strafverfolgungsbehörden bei der Wahrnehmung ihrer Aufgaben, der Verfassungsschutzbehörden bei der Auswertung von Informationen, des Bundesnachrichtendienstes bei der Wahrnehmung seiner Aufgaben. Diese Unterstützung muss erforderlich sein, um Tätigkeiten zu verhindern bzw. zu erforschen, die sich gegen die Sicherheit der Informationstechnik richten bzw. unter Nutzung von Informationstechnik erfolgen.
  • Beratung und Warnung von Stellen des Bundes, der Länder und Dritter
  • Aufbau geeigneter Kommunikationstrukturen zur Krisenfrüherkennung und Krisenbewältigung

Befugnisse des BSI bei der Abwehr von Schadprogrammen

Die umfangreichen Befugnisse des BSI sind in § 5 des Entwurfes aufgeführt.

§ 5 des Entwurfes schränkt das Fernmeldegeheimnis nach Art 10 des Grundgesetzes (GG) ein, worauf § 11 des Gesetzesentwurfes ausdrücklich hinweist.

  • Nach § 5 Abs. 1 des Entwurfes darf das BSI zur Abwehr von Gefahren für die Kommunikationstechnik des Bundes
    • Protokolldaten, also sog. Logfiles von Servern, Firewalls usw. erheben und automatisiert auswerten, soweit dies zum Erkennen, Eingrenzen oder Beseitigen von Störungen oder Fehlern oder von Angriffen auf die Informationstechnik des Bundes erforderlich ist. Dabei sollen für die Erkennung und die Abwehr von IT-Angriffen die Kopfdaten (Header) der gängigen Kommunikationsprotokolle (z.B. IP, ICMP, TCP, UDP, DNS, HTTP, SMTP) von besonderer Relevanz sein.
    • die an den Schnittstellen der Kommunikationstechnik des Bundes anfallenden Daten automatisiert auswerten, soweit dies für die Erkennung und die Abwehr von Schadprogrammen erforderlich ist. Nach dieser Regelung kann das BSI automatisiert auf technische Telekommunikationsinhalte zugreifen, um diese auf Schadprogramme zu untersuchen oder auf Links zu Internetseiten, die ihrerseits Schadsoftware enthalten, die beim Aufruf versucht, sich automatisch auf dem Rechner des Benutzers zu installieren. Dies erfolgt durch den Einsatz von Virenscannern und ähnlichen Detektionstools, was bisher nur mit Einwilligung der Betroffenen möglich war.
  • Falls nicht eine Ausnahme nach den weiteren Absätzen des § 5 des Entwurfs vorliegt, muss die Auswertung der Daten unverzüglich erfolgen und danach müssen diese sofort und spurenlos gelöscht werden. Dies gilt allerdings nicht für Protokolldaten, die weder personenbezogene Daten noch dem Fernmeldegeheimnis unterliegende Daten beinhalten. Was personenbezogene Daten sind, ergibt sich aus § 3 BDSG (Bundesdatenschutzgesetz). Das sind Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person. Letztere wird auch als Betroffene (Data Subject) bezeichnet. Zu diesen Einzelangaben gehören beispielsweise Name, Adresse, Bankverbindung, Telefonnummern und E-Mail-Adressen.
  • Als Ausnahme zur sofortigen Löschung der Daten regelt § 5 Abs. 2, dass die gewonnenen Daten für maximal 3 Monate gespeichert werden dürfen. Allerdings nur dann, wenn die Daten für die Abwehr von Gefahren, die von dem gefundenen Schadprogramm ausgehen, oder zur Erkennung und Abwehr anderer Schadprogramme erforderlich sein können. Eine Auswertung der gespeicherten Daten darf nur automatisiert erfolgen. Ausnahmen regeln die weiteren Absätze des § 5.

Zulässigkeit der Datenverwendung

Eine über die Regelungen der Abs. 1 und 2 hinausgehende Verwendung von personenbezogenen Daten ist gemäß § 5 Abs. 3 des Entwurfes nur zulässig, wenn bestimmte Tatsachen den Verdacht begründen, dass die Daten ein Schadprogramm enthalten, durch ein Schadprogramm übermittelt wurden oder sich aus ihnen Hinweise auf ein Schadprogramm ergeben können.

Die Verwendung muss erforderlich sein, um diesen Verdacht zu bestätigen oder zu widerlegen. Falls sich der Verdacht bestätigt, dürfen die entsprechenden personenbezogenen Daten weiter verarbeitet werden zur Abwehr des Schadprogramms, zur Abwehr von Gefahren, die von dem aufgefundenen Schadprogramm ausgehen, oder zur Erkennung und Abwehr anderer Schadprogramme.

Benachrichtigung des Betroffenen

Eine Benachrichtigung der Beteiligten des jeweiligen Kommunikationsvorganges erfolgt nach Erkennen bzw. Abwehr des Schadprogramms, kann aber unterbleiben, wenn die Person nur unerheblich betroffen wurde.

  • Nach Abs. 4 des Entwurfes kann das BSI die personenbezogenen Daten an Strafverfolgungsbehörden (also Polizei bzw. Staatsanwaltschaft) zur Verfolgung von Straftaten von erheblicher Bedeutung oder mittels Telekommunikation begangener Straftaten übermitteln. Außerdem dürfen die personenbezogenen Daten an die Polizei des Bundes und der Länder übermittelt werden, zur Abwehr von Gefahren für die öffentliche Sicherheit, die unmittelbar von einem Schadprogramm ausgehen, bzw. an das Bundesamt für Verfassungsschutz, wenn sich aus den Daten sicherheitsgefährdende oder Tätigkeiten eines fremden Staates erkennen lassen.
  • § 5 Abs. 5 des Entwurfes erlaubt eine Übermittlung der Daten durch das BSI für sonstige Zwecke
    • an die Polizei des Bundes bzw. der Länder zur Abwehr einer Gefahr für den Bestand oder die Sicherheit des Staates oder Leib, Leben oder Freiheit einer Person oder Sachen von bedeutendem Wert. Diese Art der Übermittlung ist nur nach Zustimmung durch einen Richter möglich.
    • unter bestimmten Voraussetzungen an die Verfassungsschutzbehörden des Bundes und der Länder. In einem solchen Fall ist die vorherige Zustimmung des Bundesministeriums des Innern für die Übermittlung notwendig.
  • Eine Weitergabe der personenbezogenen Daten an sonstige Dritte oder eine inhaltliche Auswertung zu anderen Zwecken ist gemäß § 5 Abs. 6 des Entwurfes nicht zulässig. Werden Daten, die den Kernbereich der Lebensgestaltung (siehe Bundesverfassungsgericht zur Online-Durchsuchung) betreffen, erlangt, müssen diese gelöscht werden.
  • Das BSI muss ein Datenerhebungskonzept und ein Datenverwendungskonzept erstellen und für Kontrollen durch den Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI) bereithalten.

Neben den Befugnissen nach § 5 des Entwurfes kann das BSI gemäß § 7 Warnungen vor Sicherheitslücken in IT-Produkten und IT-Diensten bzw. vor Schadprogrammen an die Betroffenen bzw. die Öffentlichkeit weitergeben und entsprechende Sicherheitsmaßnahmen empfehlen.

Außerdem kann das BSI Mindeststandards für die Sicherung der Informationstechnik des Bundes festlegen (§ 8 des Entwurfes). Daneben ist das BSI Zertifizierungsstelle der Bundesverwaltung für IT-Sicherheit (§ 9 des Entwurfes).

Änderung im TKG

Der Entwurf des „Gesetzes zur Stärkung der Sicherheit in der Informationstechnik des Bundes“ sieht neben den Regelungen zum BSI eine Änderung des Telekommunikationsgesetzes (TKG) vor.

Danach wird § 109 TKG geändert, der regelt, dass Diensteanbieter technische Vorkehrungen oder sonstige Maßnahmen zum Schutze des Fernmeldegeheimnisses und personenbezogener Daten und der Telekommunikations- und Datenverarbeitungssysteme gegen unerlaubte Zugriffe zu treffen haben.

Nach dem Gesetzesentwurf soll die Bundesnetzagentur (BNetzA) einen Katalog von Sicherheitsanforderungen für das Betreiben von Telekommunikations- und Datenverarbeitungssystemen zusammen mit dem BSI und dem BfDI erstellen und veröffentlichen.

Die Umsetzung von Sicherheitskonzepten wird dann von der BNetzA bei den Diensteanbietern in regelmäßigen Abständen überprüft.

Änderung im TMG

Darüber hinaus sieht der Gesetzentwurf auch eine Ergänzung von § 15 Telemediengesetz (TMG) vor.

Danach soll der Diensteanbieter Nutzungsdaten zum Erkennen, Eingrenzen oder Beseitigen vor Störungen seiner für Zwecke seines Dienstes genutzten technischen Einrichtungen erheben und verwenden dürfen.

Nutzungsdaten sind nach § 15 Abs. 1 TMG Merkmale zur Identifikation des Nutzers, Angaben über Beginn, Ende und Umfang der Nutzung sowie Angaben über die in Anspruch genommenen Telemedien.

Der Diensteanbieter hat die Daten unverzüglich zu löschen, wenn die Voraussetzungen für eine Erhebung oder eine Verwendung nicht mehr vorliegen oder die Daten für die Rechtsverfolgung nicht mehr benötigt werden. Der betroffene Nutzer ist zu unterrichten, sobald dies ohne Gefährdung des mit der Maßnahme verfolgten Zweckes möglich ist.

Nach der noch geltenden Rechtslage darf ein Diensteanbieter gemäß § 15 TMG Nutzungsdaten nur erheben oder verwenden, wenn dies für die Inanspruchnahme der Telemedien bzw. für die Abrechnung der Dienste gegenüber dem Kunden erforderlich ist. Diese Daten müssen spätestens 6 Monate nach Abrechnung gelöscht werden.

Kritik v.a an den Überwachungsbefugnissen des BSI

Änderungen des derzeitigen Gesetzesentwurfes im Rahmen des Gesetzgebungsverfahrens sind zu erwarten, da sich der Entwurf insbesondere aus dem Bereich des Datenschutzes umfangreicher Kritik ausgesetzt sieht.

Die Konferenz der Datenschutzbeauftragten des Bundes und der Länder (DSK) kritisiert den Gesetzesentwurf vorrangig wegen der Überwachungsbefugnisse, die dem BSI eingeräumt werden.

Als besonders schwerwiegend wird dabei die Ermächtigung des BSI in § 5 angesehen, die gesamte Sprach- und Datenkommunikation der Unternehmen bzw. Bürger mit den Bundesbehörden ohne Anonymisierung bzw. Pseudonymisierung zu überwachen und auszuwerten.

Als kritisch sehen die Datenschützer die in § 5 Abs. 4 des Entwurfes vorgesehene Datenübermittlung an Strafverfolgungsbehörden an, insbesondere bei den nicht erheblichen Straftaten, wenn sie mittels Telekommunikation begangen werden.

Weiterhin wird die fehlende Verpflichtung des BSI kritisiert, Informationen über bekannt gewordene Sicherheitslücken und Schadprogramme zu veröffentlichen.

Kein Richtervorbehalt vorgesehen

Als sehr bedenklich wird in § 5 Abs. 6 des Entwurfes angesehen, dass bei Daten die den Kernbereich der privaten Lebensgestaltung betreffen, kein Richtervorbehalt vorgesehen ist, sondern nur das Bundesministerium des Innern entscheiden soll.

Im Hinblick auf die Änderung des TMG wird kritisiert, dass sie weit auslegbar sei und damit den Anbietern von Telemedien die Möglichkeit einer umfassenden Protokollierung des Surfverhaltens der Nutzer im Internet gegeben sei.

Andrea Gailus
Frau Gailus ist seit Mitte 2006 als Rechtsanwältin mit eigener Anwaltskanzlei tätig. Sie hat mehrere Beiträge in Fachzeitschriften veröffentlicht und referiert für rechtliche Seminare.

Sie glauben, Sie hätten noch so viel Zeit? Falsch! Es gibt mehr zu tun, als Sie vielleicht denken! ▶ Zeit zu handeln