Am 27.09.2016 findet der 6. Praxistag Wasserversorgungsnetze in Essen statt; ich werde dort zum Thema IT-Sicherheit sprechen. Dieses Thema steht im großen Zusammenhang der Veränderungen, welche wir als Industrie 4.0 oder digitale Disruption bezeichnen. Ganz abstrakt gesagt geht es um eine zunehmend vernetzte, von dezentralen Prozessen gekennzeichnete Wirtschaftslandschaft, in welcher immer mehr menschliche Bewertungen und Entscheidungen durch autonomes Verhalten von Maschinen unterstützt oder sogar ersetzt werden.
Auf diese Veränderung ist das Rechtssystem weltweit noch kaum vorbereitet, und daraus entstehen eine Menge neue Fragen. Welche, das konnte man beispielsweise kürzlich sehr plastisch im Zusammenhang mit Unfällen bei Tesla-Automobilen sehen, zu denen es im Selbstfahrmodus gekommen war: Welche Sorgfaltspflichten haben Anwender, welche Szenarien müssen Hersteller bedenken? Wie gehen wir juristisch mit atypischen Abweichungen von gewöhnlichen Geschehensabläufen um? Worauf darf man sich verlassen, was muss kontrolliert werden?
Auf dem Praxistag zur Wasserversorgung werde ich das Thema vor allem im Zusammenhang mit Fernwartungssystemen und automatisierter Zustandserfassung von Versorgungsnetzen behandeln, denn dies sind aktuell die technischen Trigger für „4.0“ in diesem Bereich. Auch dort tauchen spannende Fragen auf. Eine kleine Auswahl: Wer haftet, wenn ein Algorithmus fälschlich keine Leckwarnung ausgibt? Wie kann man solche Fehlurteile einer künstlichen Intelligenz beweisen? Oder auch (und das ist in anderen Industrien ebenfalls potentiell von großer Bedeutung): Wem gehört das Datenmaterial, welches der autonome Wartungsroboter eines Dienstleisters erhebt oder welches durch Rechenoperationen eines Computers entsteht? Welche Daten darf ein Wartungsroboter überhaupt erheben – ist ein Schutz vor heimlicher Datensammelei nötig und möglich?
Das IT-Sicherheitsgesetz
An dieser Stelle greife ich einen Gesichtspunkt heraus: Sicherheit. Im Juli 2015 hat der Gesetzgeber auf die zunehmende Bedeutung der IT-Sicherheit reagiert und fordert nun, den Blick über den bislang oft dominierenden Datenschutz auszuweiten und sogenannte Kritische Infrastrukturen gegen IT-bedingte Störungen abzusichern. Er hat dazu das Gesetz über das Bundesamt für Sicherheit in der Informationstechnik (BSI-Gesetz, BSIG) um mehrere Paragraphen mit recht weit reichenden Inhalten ergänzt.
Die zentrale Pflicht wird durch § 8a Abs. 1 BSIG aufgestellt:
Betreiber Kritischer Infrastrukturen sind verpflichtet, spätestens zwei Jahre nach Inkrafttreten der Rechtsverordnung nach § 10 Absatz 1 angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse zu treffen, die für die Funktionsfähigkeit der von ihnen betriebenen Kritischen Infrastrukturen maßgeblich sind. Dabei soll der Stand der Technik eingehalten werden. Organisatorische und technische Vorkehrungen sind angemessen, wenn der dafür erforderliche Aufwand nicht außer Verhältnis zu den Folgen eines Ausfalls oder einer Beeinträchtigung der betroffenen Kritischen Infrastruktur steht.
Wer zu den angesprochenen Betreibern Kritischer Infrastrukturen gehört, ergibt sich aus § 2 Abs. 10 BSIG:
Kritische Infrastrukturen im Sinne dieses Gesetzes sind Einrichtungen, Anlagen oder Teile davon, die
- den Sektoren Energie, Informationstechnik und Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung sowie Finanz- und Versicherungswesen angehören und
- von hoher Bedeutung für das Funktionieren des Gemeinwesens sind, weil durch ihren Ausfall oder ihre Beeinträchtigung erhebliche Versorgungsengpässe oder Gefährdungen für die öffentliche Sicherheit eintreten würden.
Die Kritischen Infrastrukturen im Sinne dieses Gesetzes werden durch die Rechtsverordnung nach § 10 Absatz 1 näher bestimmt.
Das Gesetz erfasst also Infrastrukturen, die zu ganz verschiedenen gesellschaftlichen Bereichen gehören, aber nur dann, wenn sie ein gewisses Gewicht haben. Das Wichtigste ist der letzte Satz. Demnach werden die von den neuen Regelungen erfassten Infrastrukturen durch eine Rechtsverordnung bestimmt. Das ist die Verordnung zur Bestimmung kritischer Infrastrukturen nach dem BSI-Gesetz (BSI-Kritis-Verordnung, BSI-KritisV). Diese Verordnung ist im Mai 2016 in Kraft getreten und stellt als entscheidende Messgröße auf Größenschwellen ab. Darüber, ob dieses Kriterium sich zuverlässig eignen wird, um die Bedeutung einer konkreten Einrichtung zu messen, wird man in den kommenden Jahren sicher diskutieren können.
Schon jetzt ist klar, dass nicht etwa auch die Betriebskantinen der entsprechenden Einrichtungen erfasst sein sollen. § 1 Nr. 1 Satz 2 KritisV schränkt nämlich ein:
Einer Anlage sind alle vorgesehenen Anlagenteile und Verfahrensschritte zuzurechnen, die zum Betrieb notwendig sind, sowie Nebeneinrichtungen, die mit den Anlagenteilen und Verfahrensschritten in einem betriebstechnischen Zusammenhang stehen und die für die Erbringung einer kritischen Dienstleistung notwendig sind.
Im Ergebnis gehören also innerhalb der erfassten Anlagen nur die betriebsnotwendigen Teile zur Kritischen Infrastruktur.
Die wesentlichen Pflichten
Wer eine Kritische Infrastruktur betreibt, ist im Wesentlichen von drei Pflichten betroffen:
- Eine so genannte Kontaktstelle zu benennen, um für das BSI erreichbar zu sein, und zwar innerhalb von sechs Monaten nach Inkrafttreten der KritisV.
- Dem BSI bestimmte IT-Störungen zu melden. Dies bezieht sich nicht auf jede IT-Störung, sondern nur auf erhebliche Störungen von Verfügbarkeit, Integrität, Authentizität und/oder Vertraulichkeit der IT handelt. Als Faustregel kann gelten, was das BSI auf seiner Internetseite darlegt: Störungen, die automatisiert abgewehrt werden können, sind gewöhnlich und damit nicht meldepflichtig.
- Bei der IT-Sicherheit den so genannten Stand der Technik angemessen umzusetzen und dies gegenüber dem BSI zu belegen, etwa durch Audits oder Zertifizierungen.
Mittelbare Auswirkungen des IT-Sicherheitsgesetzes
Unmittelbar gelten diese Pflichten nur für die Betreiber der Kritischen Infrastrukturen. Man darf aber davon ausgehen, dass diese einen Teil davon an ihre eigenen Dienstleister durchreichen werden. Insbesondere dürfte dies bei der Forderung der Fall sein, den Stand der Technik einzuhalten. Abgesehen davon eröffnen sich auch neue Chancen für Anbieter von Sicherheitslösungen, denn nicht alle Betreiber Kritischer Infrastrukturen werden sich vollständig mit eigenen Ressourcen darum kümmern können. Insofern lohnt sich ein Blick auf die neuen Vorschriften vielleicht auch für Unternehmen, die nicht unmittelbar angesprochen sind.