Cloud Computing


Update IT-Sicherheitsgesetz

Neue gesetzliche Anforderungen an Cloud Computing

Dr. Michael Rath ist Rechtsanwalt, Fachanwalt für Informationstechnologie-Recht und Partner der Luther Rechtsanwaltsgesellschaft mbH mit Sitz in Köln. Zudem ist er Certified ISO/IEC 27001 Lead Auditor. Seine Beratungsschwerpunkte sind das IT-Recht, Datenschutzrecht und der Gewerbliche Rechtsschutz. Dr. Michael Rath ist u.a. Mitglied in der Deutschen Gesellschaft für Recht und Informatik e.V. (DGRI) und akkreditierter Schlichter für IT-Streitigkeiten bei der Schlichtungsstelle der DGRI.
Christian Kuss ist Rechtsanwalt der Luther Rechtsanwaltsgesellschaft mbH in Köln. Sein Tätigkeitsschwerpunkt liegt auf IT- und Datenschutzrecht.
Neben der Ausweitung von Berichts- und Meldepflichten im Zuge des neuen IT-Sicherheitsgesetzes gibt es Neuerungen im Telekommunikationsgesetz (TKG). Das BSI selbst wurde ebenfalls mit neuen Regelungen für Cloud-Computing tätig.

Die Überarbeitung des IT-Sicherheitsgesetzes (IT-SiG) erfolgt aufgrund der NIS-RL der EU, die zentraler Bestandteil der Cyber-Sicherheitsstrategie der EU ist. Sie schreibt für Mitgliedstaaten bis spätestens 09.05.2018 die Umsetzung der in ihr enthaltenen Vorgaben in nationale Rechts- und Verwaltungsvorschriften vor. Am 27.04.2017 wurde diese Gesetzesänderung vom Bundestag beschlossen.

Die Bundesbehörde für Cybersicherheit wird weiter gestärkt

Das BSI erhält weitere Kompetenzen. Diese beziehen sich insbesondere auf eine Zusammenarbeit mit dem Militärischen Abschirmdienst (MAD) und dem Bundesnachrichtendienst (BND). So darf das BSI den MAD zukünftig bei der Auswertung und Bewertung von Informationen, die bei Beobachtung terroristischer Bestrebungen oder bei nachrichtendienstlichen Tätigkeiten anfallen, unterstützen.

Daneben erhält das BSI die Befugnis, in bestimmten Fällen personenbezogene Daten an den MAD sowie an den BND zu übermitteln. Dies bezieht sich auf sicherheitsgefährdende oder geheimdienstliche Tätigkeiten sowie zu Unterrichtungszwecken bezüglich Schadprogrammangriffen mit erheblicher Bedeutung und mit Bezug zur Bundesrepublik Deutschland.

Außerdem wird die Schwelle für das Tätigwerden des BSI bei einem Verdacht auf Nichterfüllung der gesetzlich festgeschriebenen IT-Sicherheitsanforderungen für die Betreiber der digitalen Dienste niedriger gelegt. Ursprünglich waren Nachweise eines Verstoßes erforderlich, jetzt darf das BSI schon beim Vorliegen von "Anhaltspunkten" einschreiten.

Dagegen wird die Schwelle für Auskunftsverlangen gegenüber dem BSI erhöht: Konnte bisher eine Auskunft nur bei einer zu erwartenden Beeinträchtigung wesentlicher Sicherheitsinteressen verweigert werden, so ist dies durch die Gesetzesänderungen schon bei einem möglichen Eintritt einer Beeinträchtigung jedweder Sicherheitsinteressen möglich.

Für die "Cyberfeuerwehr" des BSI wird in Paragraf 5a Abs. 1 BSIG nun noch einmal betont, dass die Mobile Incident Response Teams (MIRT) lediglich der Schadensbegrenzung und einer Sicherstellung des Notbetriebes dienen. Ein Einsatz kann nun nicht mehr nur bei Stellen des Bundes oder Betreibern kritischer Infrastruktur, sondern in schwerwiegenden Fällen auch bei anderen Betroffenen durchgeführt werden.

Neue Anforderungen an Cloud Computing in Bundesbehörden

Auch das BSI ist aktiv bei der Festlegung neuer Sicherheitsstandards. So hat es Ende April neue, verbindliche Regelungen zur Nutzung externer Cloud-Dienste durch Bundesbehörden erlassen. Es setzt dabei Bedingungen fest, auf deren Einhaltung durch externe Dienstleister die Bundesbehörden zwingend zu achten haben. Sie erstrecken sich dabei von der Beschaffungs- über die Einsatz- bis hin zur Beendigungsphase.

Es wird auch festgelegt, welche Informationen die Bundesbehörden vor dem Vertragsschluss mit einem Cloud-Anbieter benötigen und welche Rechte und Pflichten im Nutzungsvertrag geregelt werden müssen. Auch die regelmäßige Überprüfung von Sicherheitsnachweisen und Leistungsfähigkeit des genutzten Systems sind zu beachten. Zu guter Letzt werden bei Nutzungsende Datenrückgaben und -löschungen vorgesehen.

Die Erfüllung dieser Anforderungen kann anhand der ebenfalls vom BSI veröffentlichten C5-Anforderungsliste überprüft und dokumentiert werden. Umgekehrt sind die Anbieter von Cloud-Diensten für die öffentliche Hand gut beraten, in Zukunft die Anforderungen der C5-Liste einzuhalten. Dadurch können aufwändige Überprüfungsverfahren oder Nachweisprobleme vermieden werden.

Vorratsdatenspeicherung durch die Hintertür?

Neben den Änderungen im IT-SiG wurde aufgrund der NIS-RL der EU auch das TKG überarbeitet.

Bei Einführung des Paragraf 100 Abs. 1 TKG wurde dieser oftmals als "kleine Vorratsdatenspeicherung" bezeichnet und entsprechend kritisiert. Denn hiernach dürfen Diensteanbieter Bestands- und Verkehrsdaten von Teilnehmern und Nutzern zu Zwecken der IT-Sicherheit erheben und verwenden.

Durch die verabschiedete Gesetzesänderung dürfen Diensteanbieter nun sogar Steuerdaten des informationstechnischen Protokolls zur Datenübertragung verarbeiten. Das bedeutet, dass zum Zwecke der IT-Sicherheit ein Zugriff auf Protokollinformationen, die zur Aufrechterhaltung der Kommunikation zwischen Empfänger und Sender dienen, erfolgen darf.

Kritisch zu betrachten ist allerdings, dass es in diesem Bereich nur noch ein kleiner Schritt zur sogenannten Deep Packet Inspection (DPI) ist. Hierunter versteht man unter anderem den Zugriff auf und die Untersuchung von Anwendungsdaten, wie zum Beispiel in den Bereichen E-Mail, Chatten und Surfen.

Die Kommunikationsinhalte selbst sind jedoch nach der Neufassung nicht Bestandteil des Steuerprotokolls. Missbrauch in diesen Bereichen soll durch eine Beschränkung der Erhebung auf einen "minimalem Umfang" und eine unverzügliche Löschung bei Zweckerreichung entgegen gewirkt werden. Außerdem müssen hierüber Datenschutzbeauftragte, die Bundesnetzagentur und die Betroffenen informiert werden.

Daneben regelt Paragraf 109a TKG nun, dass der Diensteanbieter Teile des Datenverkehrs in Bezug auf ein störendes System eines Nutzers einschränken darf. Er darf die Nutzung des Telekommunikations-Dienstes einschränken, umleiten oder sogar gänzlich unterbinden und den Datenverkehr zu Störungsquellen einschränken.