IT-Sicherheit als Bürgerrecht – der LIBE-Ausschuss des EP gibt seine Stellungnahme zum Entwurf des EU Cybersecurity Act ab

von Prof. Dr. Dennis-Kenji Kipker, veröffentlicht am 27.01.2018

Rechtsgebiete: WirtschaftsrechtComplianceDatenschutzrechtIT-RechtIT-Sicherheitsrecht|4517 Aufrufe

Zum Ende des vergangenen Jahres hat das EU-Parlament auf Grundlage der NIS-Richtlinie von 2016 einen weiteren und erheblichen Schritt in Richtung einheitlicher und flächendeckender Cybersicherheit in der Europäischen Union getan: Mit dem Entwurf einer Verordnung über die „EU-Cybersicherheitsagentur“ (ENISA) und zur Aufhebung der Verordnung (EU) Nr. 526/2013 sowie über die Zertifizierung der Cybersicherheit von Informations- und Kommunikationstechnik („Rechtsakt zur Cybersicherheit“) soll die Europäische Agentur für Netz- und Informationssicherheit zukünftig mit weitreichenderen Befugnissen ausgestattet, reformiert und ein europaweites Zertifizierungssystem für Cybersicherheit in der Informations- und Kommunikationstechnik etabliert werden.

Ziel des Entwurfes ist es einerseits, einen gemeinsamen Rahmen für Cybersicherheits-Zertifizierungen zu schaffen, um das Vertrauen in den digitalen Binnenmarkt und dessen Sicherheit zu stärken, und andererseits, der ENISA wichtige Kompetenzen als leitende EU-Cybersecuritybehörde zu übertragen, um entsprechenden Risiken vorzubeugen und Angriffe EU-weit koordiniert abwehren zu können. Laut dem Verordnungsentwurf sind sichere Informationstechnik sowie Kommunikationsnetze, Produkte und Dienstleistungen ein wichtiger Bestandteil der fortschreitenden Digitalisierung und damit auch maßgeblich für ein stetiges und staatenübergreifendes, gesamteuropäisches Wirtschaftswachstum. Deshalb sieht das EU-Gesetz verschiedene Maßnahmen vor, um der steigenden Bedrohungslage im digitalen Raum gerecht zu werden. Insbesondere sollen spezielle Befugnisse geschaffen werden, mit denen die Europäische Union auf internationale Cybersicherheitsangriffe reagieren kann.

EU LIBE Committee veröffentlicht Draft Opinion zum Cybersecurity Act

Nunmehr wurde am 17. Januar 2018 eine „Draft Opinion“ von Seiten des Ausschusses für bürgerliche Freiheiten, Justiz und Inneres des Europäischen Parlaments (Berichterstatter Jan Philipp Albrecht) veröffentlicht, der eingehend auf die von der EU vorgeschlagenen Neuregelungen zur IT-Sicherheit Bezug nimmt. Deutlich wird dabei vor allem eines: IT-Sicherheit soll in rechtspolitischer Hinsicht zukünftig nicht nur eine Aufgabe von Staaten und Unternehmen sein, sondern vor allem auch den in der EU lebenden Bürgern zugutekommen, und darüber hinaus auch globale Wirkungen entfalten. Der ursprüngliche Entwurf der neuen Cybersecurity-Verordnung setzte den Fokus vornehmlich ausschließlich auf den Ausbau der ENISA und auf die EU-weite Cybersicherheitszertifizierung, wohingegen nunmehr explizit – ganz in der Tradition und Aufgabe des LIBE Committees stehend – Aspekte des Datenschutzes, Bürgerrechte, Transparenz und der Verbraucherschutz berücksichtigt werden sollen. Gerade die letztgenannte Vorgabe beschäftigt sich vor allem auch mit Aspekten der Verantwortungsteilung zwischen Herstellern, Händlern und Betreibern im Hinblick auf Schäden, die Bürger und Verbraucher durch das nicht ordnungsgemäße Funktionieren relevanter IT-Systeme erleiden.

Bürgerrechte, Cyberkriminalität und Regulierung des digitalen Raumes

Im Einzelnen befasst sich die Stellungnahme mit drei Schlüsselaspekten, welche die Informationssicherheit betreffen: den Bürgerrechten im weitesten Sinne, der Bekämpfung von Cyberkriminalität und der rechtsstaatlichen sowie demokratischen Regulierung des digitalen Raumes. Zur Umsetzung dieser Ziele wird unter anderem vorgeschlagen, dass die Rolle der ENISA sowohl im Hinblick auf Fragen der IT-Sicherheit wie auch auf Fragen des Datenschutzes bezogen ausgebaut werden soll. Gerade für IT-Systeme, deren Ausfall zu schwerwiegenden gesamtgesellschaftlichen und wirtschaftlichen Folgen führen kann, sind klare Verantwortlichkeiten und Haftungsregelungen vorzusehen. Ebenso sind Basis-IT-Sicherheitsanforderungen zu schaffen, die in entsprechenden Expertenrunden abgestimmt werden. Gemäß der Stellungnahme des LIBE-Ausschusses ist es zudem Aufgabe der EU, auch den Endverbraucher stärker zu schützen und Kundentransparenz zu schaffen. Hierzu wird eine Zertifizierung für den IuK-Handel vorgeschlagen, die den Kunden über Aufrüstbarkeit und die Dauer der Kundenunterstützung informiert, um insoweit auch den Lebenszyklus eines informationstechnischen Produktes besser abschätzen zu können – denn nicht zuletzt ist in vielen Fällen „End of Support“ mit „End of Life“ gleichzusetzen. „Security by Design“ ist ein weiteres geflügeltes Wort, das seit der EU Datenschutz-Grundverordnung (EU DS-GVO) neben „Privacy by Design“ in aller Munde ist. Hier soll die Cybersecurity-Verordnung künftig neue Maßstäbe setzen, indem die Hersteller von IuK-Produkten von der ENISA schon bei der Produktkonzeptionierung mit Sicherheitsguidelines und Best Practices ausgestattet werden. Auch der Schutz der Kritischen Infrastrukturen, also speziell solcher Dienste, die für das Funktionieren der Gesellschaft von essenzieller Bedeutung sind, kommt nicht zu kurz: Das schon durch das IT-SiG und auf EU-Ebene 2016 durch die Netz- und Informationssicherheitsrichtlinie (NIS-RL) aufgegriffene Thema soll auch durch den Cybersecurity Act adressiert werden, indem die ENISA unter anderem auf Aufforderung der EU-Mitgliedstaaten präventive IT-Sicherheitsaudits bei kritischen Betreibern durchführen kann. Ein besonderes Augenmerk wird zudem auf das so genannte „staatliche Hacking“ gelegt: Wo die Länder bisher weitgehend in rechtlichen Grauzonen operierten und nur wenig Kontrolle über staatliche Eingriffe in informationstechnische Systeme herrschte, soll die EU Cybersecurity-Verordnung in Zukunft weitaus mehr Klarheit schaffen, geht es nach dem Willen des LIBE-Ausschusses des EP: So soll die ENISA die Aufgabe erhalten, IT-Sicherheitslücken, die noch nicht gemeinhin bekannt sind, an die Hersteller betroffener Produkte zu melden. Als europäische IT-Sicherheitsbehörde ist die ENISA deshalb auch nicht befugt, gegenläufige Maßnahmen zu ergreifen, welche die Gesamtsicherheit der IT beeinträchtigen können. In diesem Zusammenhang zu benennen ist der Umgang mit „Zero Day Exploits“, also solchen Sicherheitslücken, die eingesetzt werden, bevor Updates (Patches) zur Verfügung stehen, um die IT zu schützen. Der Einsatz derartiger Softwarelücken ist hochumstritten, weshalb die ENISA Regelungen zum verantwortungsvollen Austausch und zur Kommunikation der Zero Days entwickeln wird. Die ENISA soll zudem die staatlichen Praktiken zum bewussten Einsatz von Backdoors in IT-Systemen nicht unterstützen. Nicht zuletzt wird im LIBE-Paper der Ansatz verfolgt, IT-Sicherheit als globales Phänomen zu behandeln, und so wird die aktive Beteiligung von Drittstaaten an europäischen Cybersicherheitspolicies durch die ENISA unterstützt und als Bestandteil eines langfristig angelegten IT-Sicherheitsprojekts in der EU – vergleichbar mit Airbus – vorgeschlagen, das auch der privaten europäischen IT-Sicherheitsindustrie zugutekommen soll.

Wesentliche Aspekte der Stellungnahme im Einzelnen

Im Einzelnen fällt an der Stellungnahme des LIBE-Committees auf, dass viele der vorgeschlagenen Regulierungsansätze besonders detailbetont sind – dies spricht für den schon weiter im Gesetzgebungsverfahren fortgeschrittenen Status, den der Cybersecurity Act erreicht hat. So wird eingangs zum Beispiel angemerkt, dass der Begriff „Cybersecurity“ richtigerweise einen weit gefassten Auslegungsspielraum besitzt und so zu Unsicherheiten im Begriffsverständnis und in der Rechtsanwendung führen könne. Da der Gesetzentwurf aber letztlich die Zielsetzung einer Verbesserung der Informationssicherheit im engeren Sinne verfolgt, wird der Begriff der „IT security“ vorgeschlagen, um die Rechtssicherheit zu verbessern sowie die praktische Handhabbarkeit zu erleichtern.

Baseline IT security requirements

Im Hinblick auf die „Baseline IT security requirements” schlägt die Stellungnahme vor, dass diese für alle IT Produkte gelten sollen, die in der EU verkauft oder aus dieser heraus exportiert werden. Die hierzu einschlägigen Anforderungen sollen innerhalb von zwei Jahren nach Inkrafttreten des Cybersecurity Acts geschaffen und laufend alle zwei Jahre überprüft und gegebenenfalls angepasst werden. Die Vorgaben sollen unter anderem garantieren, dass IT-Produkte keine bekannten IT-Sicherheitsschwachstellen enthalten, dass der Anbieter im Hinblick auf die IoT-Device bekannt gewordene Schwachstellen an die Behörden übermittelt, entsprechende Reparaturen vornimmt und den Nutzer über das Ende des Supports für das Produkt informiert. Ferner soll sichergestellt werden, dass IT-Sicherheitslücken zeitnah behoben werden. Im Einzelnen umfassen die Baseline IT security requirements, die von der EU in einem öffentlich einsehbaren Register bekanntgegeben werden sollen, die folgenden Punkte:

Zurverfügungstellung eines Zertifikates durch den Anbieter, dass das verkaufte IT-Produkt keine Hardware oder Software enthält, die mit bekannten IT-Sicherheitslücken behaftet ist
Das verkaufte Produkt verfügt über die technische Möglichkeit, authentifizierte und vertrauenswürdige Softwareupdates von Seiten des Anbieters durchzuführen
Das Produkt enthält keine Backdoors zu Zwecken der Fernwartung, als Kommunikationsschnittstelle oder zur Durchführung von Aktualisierungen
Eine Verpflichtung des Anbieters, die Behörden über bekannte Sicherheitslücken zu informieren
Eine Verpflichtung des Anbieters, Reparaturmöglichkeiten für neu entdeckte IT-Sicherheitslücken bereit zu stellen
Eine Verpflichtung des Anbieters, Informationen über das Updateverfahren und über das Ende des Supports zur Verfügung zu stellen, sowie darüber hinaus eine förmliche Mitteilung zu geben, wenn die technische Unterstützung endet

Ausgleich von IT-Sicherheit und Datenschutz

Unter Gesichtspunkten des Datenschutzes soll eine stärkere Verzahnung mit der IT-Sicherheit stattfinden. Wo früher eine recht eindeutige Trennlinie zwischen IT-Sicherheit und Datenschutz verlief, die durch die EU DS-GVO aufgeweicht wurde, sollen durch den Cybersecurity Act nunmehr die Voraussetzungen einer aktiven Zusammenarbeit zwischen der IT-Sicherheit und dem Datenschutz geschaffen werden. Die ENISA wird hierzu nach dem Vorschlag des LIBE-Ausschusses zusammen mit dem European Data Protection Board neue Richtlinien entwickeln, um die Nutzung von personenbezogenen Daten zu Zwecken der IT-Sicherheit besser regulieren zu können. Auch ist die Einbeziehung der Article 29 Working Party vorgesehen.

Erweiterte Verantwortlichkeiten für Kritische Infrastrukturen

Die Betreiber von Kritischen Infrastrukturen werden noch stärker als bisher zur Verantwortung gezogen, indem ausdrücklich bestimmt wird, dass sie die Verpflichtung trifft, für funktionsfähige IT-Systeme zu sorgen. Dies bedeutet zwangsläufig auch, dass bei einem zu verschuldenden Ausfall der Infrastrukturen, der durch Cybersicherheitsvorfälle hervorgerufen wird, eine erweiterte Verantwortlichkeit besteht.

Bekämpfung von Cybercrime und IT-Sicherheitslücken

Das Thema Cybercrime und der Handel mit IT-Sicherheitslücken werden im LIBE-Vorschlag umfassend aufgegriffen. So soll das Ankaufen und Nutzen der Zero Day Exploits durch staatliche Behörden mit der Zielsetzung von Angriffen auf Informationssysteme eine deutliche Beschränkung erfahren. Exploits sollen nunmehr im Rahmen eines vertraulichen Informationsaustausches gar dazu dienen, neu entdeckte Sicherheitslücken alsbald möglich zu schließen. Einbezogen werden hier Behörden, Privatunternehmen, Universitäten und Sicherheitsforscher. Open Source-Konzepte sollen zukünftig die Softwarekontrolle unterstützen, um Sicherheitslücken möglichst frühzeitig zu erkennen. Ganz im Gegensatz zum jüngsten politischen Vorschlag des Bundesinnenministeriums, zukünftig ein so genanntes „Backdoor-Gesetz“ zu schaffen, will das europäische Recht wirksame Zertifizierungsmaßnahmen vorsehen, um Hersteller und Intermediäre daran zu hindern, vorsätzlich Backdoors in die von ihnen vertriebenen IT-Systeme zu implementieren und so Cyberangriffe zu provozieren. Nicht zuletzt soll die Forschung im IT-Sicherheits- und Datenschutzbereich in der EU einen weiteren Ausbau erfahren.

Fazit und Ausblick

Schon mit der Veröffentlichung der neuen Cyber-Sicherheitsstrategie hat die Europäische Union im September 2017 verdeutlicht, dass sie das Thema der Cybersicherheit ernst nimmt und für sich an dieser Stelle ein neues politisches Handlungsfeld definiert hat. Die der EU NIS-RL nachfolgende Schaffung der Cybersecurity-Verordnung war so gesehen der nächste Schritt, um auch über Kritische Infrastrukturen und digitale Dienste hinaus flächendeckende IT-Sicherheit zu realisieren und um den Mitgliedstaaten durch die Wahl des Rechtsinstruments der Verordnung insoweit auch nur möglichst geringe eigene Handlungsspielräume zu belassen. Gleichwohl standen IT-Sicherheit und Datenschutz bisher mehr nebeneinander, als dass die hierfür notwendigen Voraussetzungen und Maßnahmen zusammengeführt wurden, obwohl thematisch durchaus zahlreiche Überschneidungen und Parallelen gegeben sind. Die Vorschläge des LIBE-Ausschusses helfen dem ab, indem die Cybersecurity-Verordnung einen ganzheitlichen Ausbau erfährt, der in Ergänzung zur EU NIS-RL auf eine branchenübergreifende Regulierung abzielt, die auch den Nutzer deutlich stärker als bisher einbezieht. Dies entspricht ebenso den Vorgaben der neuen deutschen Cyber-Sicherheitsstrategie von 2016. Es bleibt deshalb zu hoffen, dass die Draft Opinion des LIBE-Ausschusses im weitergehenden Gesetzgebungsverfahren zum europäischen Cybersecurity Act Berücksichtigung findet.