BMI rettet die fristgemäße Umsetzung des OZG durch schwächstmögliche Verordnung zur IT-Sicherheit

Am 20. September 2020 schrieben wir dazu noch:

Das Onlinezugangsgesetz (OZG) trat am 18. August 2017 in Kraft. Es regelt, dass bis zum 31.12.2022 die Umsetzung abgeschlossen sein muss. Der Gesetzgeber hat den Ländern also 1961 Tage oder auch 5,37 Jahre gegeben, die 578 Verwaltungsdienstleistungen, geteilt in 14 sog. „Lebensbereiche“ digital abzubilden.

Nun sind von den 1961 Tagen Projektdauer bereits 1115 Tage (Stand 06.09.2020) verstrichen. Das sind 56,8% der gesamten Projektdauer, ohne das festgelegt wurde, welche IT-Sicherheits-Standards beachtet werden sollen. Selbstverständlich haben die Länder und die Kommunen bereits angefangen, Software zu entwickeln.

Es ist zu befürchten, das ein Großteil dieser bisher geleisteten Arbeit der Länder und Kommunen „für die Tonne“ ist – denn wie sollen sich Softwareentwickler an Standards halten, wenn nicht feststeht, welche Standards das sind? (Quelle)

Die Verordnung trat am 20.01.2022 in Kraft. Zu diesem Zeitpunkt waren 83% der Projektdauer bereits verstrichen und nur noch 345 Tage Zeit, bis die Umsetzung abgeschlossen sein muss.

Unsere früheren Befürchtungen, dass bereits entwickelte Software grundsätzlich geändert werden muss, sind nun nicht eingetreten – weil IT-Sicherheit so wenig und so schwach berücksichtigt wird, dass die halbherzige Umsetzung einiger weniger IT-Sicherheitsmaßnahmen nun effektiv auf Anfang 2024 verschoben wurde.

Wir hätten diese Kritik der vorliegenden Verordnung gerne auch vor Veröffentlichung eingebracht. Leider haben unsere internen Kanäle in diesem Fall nicht funktioniert und wir haben keine nicht-öffentliche Version vorab erhalten. Dies ist als Hinweis an das BMI zu verstehen.

Sinnvoll wäre auch hier eine öffentliche Kommentierung der Verbände, der Wissenschaft und der Zivilgesellschaft, mit ausreichend Zeit dafür gewesen. Mit diesem Vorgehen jedoch entsteht nicht der Eindruck, dass im BMI ernsthaft der Wunsch besteht, die IT-Sicherheit in dieser umfassenden Projekt zu verbessern.

Schon die Pressemitteilung des BMI zur Veröffentlichung der Verordnung entlarvt den Strategiewechsel – von guter IT-Sicherheit zu schwächstmöglichen Vorgaben, um die Umsetzung des OZG nicht zu gefährden.

Genauso wichtig [Anm: wie ein einheitliches Sicherheitsniveau] ist, dabei Augenmaß zu wahren und die mit großen Schritten voranschreitende OZG-Umsetzung nicht ohne Grund zu belasten.

Wir haben uns die Paragraphen einzeln angeschaut.

§2 (1) –> „Stand der Technik“

„Stand der Technik“ war mal etwas Gutes. Durch die Änderungen im IT-SiG2 ist die Bedeutung des „Stands der Technik“ geändert worden. Im Handbuch der Rechtsförmlichkeit lesen wir zur Verwendung des Begriffs „Stand der Technik:

„Stand der Technik ist der Entwicklungsstand fortschrittlicher Verfahren, Einrichtungen und Betriebsweisen, der nach herrschender Auffassung führender Fachleute das Erreichen des gesetzlich vorgegebenen Zieles gesichert erscheinen lässt. Verfahren, Einrichtungen und Betriebsweisen oder vergleichbare Verfahren, Einrichtungen und Betriebsweisen müssen sich in der Praxis bewährt haben oder sollten – wenn dies noch nicht der Fall ist – möglichst im Betrieb mit Erfolg erprobt worden sein. Im Recht der Europäischen Union wird auch die Formulierung „die besten verfügbaren Techniken“ verwendet. Dies entspricht weitgehend der Generalklausel „Stand der Technik“.

Hingegen im BSIG, §3:

Das Bundesamt (…) nimmt folgende (…) Aufgaben wahr:

20. Beschreibung und Veröffentlichung eines Stands der Technik bei sicherheitstechnischen Anforderungen an IT-Produkte unter Berücksichtigung bestehender Normen und Standards sowie Einbeziehung der betroffenen Wirtschaftsverbände.

Die „herrschende Auffassung führender Fachleute“ ist hier also der Maßstab aus dem Handbuch der Rechtsförmlichkeit. Die Änderungen am BSIG führen nun dazu, dass das BSI diesen hohen Maßstab, unter Berücksichtigung von eben nicht solcher Fachleute, sondern mittels „bestehender Normen und Standards“, sowie den Wirtschaftsverbänden festlegen muss. 

Wir bezweifeln daher, dass das BSI derzeit überhaupt in der Lage ist, objektiv den „Stand der Technik“ zu beschreiben. 

§2 (2) Satz 1 –> Vier technische Richtlinien

Die Einhaltung des Standes der Technik im Sinne von Absatz 1 wird vermutet, wenn die in der Anlage aufgeführten Standards in Form von Technischen Richtlinien des Bundesamtes für Sicherheit in der Informationstechnik in der jeweils geltenden Fassung eingehalten werden.

In der Anlage der Verordnung sind genau vier Technische Richtlinien genannt. Wenn also der Anlagenbetreiber nur diese vier Richtlinien beachtet (und darüber eine Selbsterklärung abgibt), scheint er die Mindestanforderungen der Verordnung zu erfüllen. 

Die vier genannten Verordnungen sind inhaltlich nicht ausreichend, um den Stand der Technik im Bereich der IT-Sicherheit für Systeme am Internet zu erreichen. Wenn das Feld so klein wäre, bräuchte es ganze Forschungsfelder nicht. 

§2 (2) Satz 3 –> 2 Jahre Übergangszeit

In diesem Abschnitt wird den Behörden nach Aktualisierung einer Verordnung pauschal zwei Jahre Übergangszeit gegeben, die neuen Anforderungen umzusetzen. Hier fragen wir uns warum das BMI hier zwei Jahre Übergangszeit gewählt hat – dies erscheint ersteinmal als sehr lang. Die Erwägungsgründe für diese Zahl, sowie eine Evaluierung dieser Vorgabe fehlen wieder. 

Der darauf folgende Teil ist je nach Lesart Besorgniserregend: Hier scheint das BMI sich die Möglichkeit für Ausnahmen von dieser Frist einzuräumen – ob diese als mögliche, situative Verkürzung der Umsetzungsfrist, oder Verlängerung der Frist gemeint ist, oder genutzt werden soll, ist für uns nicht nachvollziehbar. 

§2 (3) Satz 2 –> Nochmal „Stand der Technik“

Die erarbeiteten Technischen Richtlinien sind dem Bundesministerium des Innern und für Heimat zur Zustimmung vorzulegen.

Zur obenstehenden Debatte des „Stand der Technik“ §2 (2) Satz 1 müssen wir hier ergänzen:

WAT? HACKTS DENN?? 

Was nun als „Stand der Technik“ gilt, wird durch diesen Artikel zu einer zustimmungspflichtigen Fragestellung, die das BMI auf Antrag des BSI entscheidet. Oder um es anders zu beschreiben: Ob etwas als „herrschende Auffassung führender Fachleute“ gelten darf ist eine Frage, die ohne die Wahrheit des BMI nicht abschließend beantwortet werden kann. 

§2 Absatz 4 und 5 –> ISMS

Diese Absätze begrüßen wir in der vorliegenden Form. 

§2 (6,7,8,9,10) –> Webcheck

Manchmal muss man auch mal zugeben, etwas nicht zu wissen. Wir haben es leider nicht geschafft das Dokument des BSI zum Thema „Webcheck“ durchzuarbeiten und zu bewerten. Deswegen haben wir noch keine Meinung zum „Webcheck“ des BSI.

§ 2 (6-10) –> Penetrationstests

In den Absätzen 6 bis einschließlich 10 werden verpflichtende und regelmäßige Penetrationstests der Systeme vorgeschrieben. Leider scheint die Pentesterfordernis die einzige Thematik zu sein, bei der regelmäßig das Fachwissen externer Dritte einbezogen wird. Damit wirklich ein Stand der Technik langfristig erhalten werden kann, müssten ebenso z.B. Prozesse und Verfahren regelmäßig analysiert und auditiert werden. Die Pentests sollen in einem 3-jährigen Turnus wiederholt werden. Diese Zahl erscheint uns auch hier wieder als zu lang. Es fehlt die Argumentation, warum genau drei Jahre gewählt wurde. Nach dem Moore’schen Gesetz wären diese drei Jahre sogar zwei Generationen von Computern.

Bei sonst vollständiger Abwesenheit jeglicher Zertifizierungsverpflichtungen begegnet uns dann in der engen Nische der externen Dienstleister für die Pentests in Absatz 8 freudigerweiser erstmalig eine solche. Leider wird dies direkt durch den nachfolgenden Absatz 9 hinfällig, in welchem die Ausnahme definiert wird, dass auch nicht zertifizierte Dienstleister zum Einsatz kommen können, sofern die zertifizierten „nicht zur Verfügung“ stehen.

§2 (11) –> IT-Notfallmanagement

Die Leitline verweist auf den IT-Notfallmanagementbaustein des IT-Grundschutzes – das ist unserer Ansicht nach nicht genug – besser wäre ein vollständiges Business Continuity Management nach ISO 22301 und 200-4 BCM.

§2 (12) –> Umsetzung

Eigentlich fing auch der Absatz 12 optimistisch an und ging in eine gute Richtung, bis zu Satz 3: „Eigenerklärung“ – in solche eine kann man letztlich reinschreiben, was man möchte. Solange das nicht geprüft wird, wird einfach nur das „Restrisiko akzeptiert“ und nichts passiert. Es sollte mittlerweile allgemein bekannt sein, dass wenn Leute ihre eigene Leistung bewerten sollen, sie wohl kaum dokumentieren, dass diese nicht zu ausreichenden Ergebnissen geführt hat.

§3 –> Mittelbar angebundene IT-Komponenten

Die Systeme, die mittelbar angebunden sind, haben einen noch niedrigeren Sicherheitsstandard als die IT-Systeme des Portalverbunds haben werden. Das ist pauschal so festgelegt worden, entspricht aber unserer Meinung so nicht dem Stand der Technik. 

Eigentlich wäre eine individuelle Schutzbedarfsfeststellung aller Systeme notwendig, damit festgelegt werden kann, welche konkreten Daten welchen Schutzbedarf haben. Davon lässt sich wiederum ableiten, welchen Schutzbedarf die Systeme haben, die diese Daten verarbeiten. Solch eine Schutzbedarfsfeststellung ist als Variante der Risikoanalyse bereits lange Teil der erforderlichen Datenschutzdokumentation für die Verarbeitung personenbezogener Daten nach DSGVO. Da im Rahmen des OZG zu einem sehr großen Teil personenbezogne Daten verarbeitet werden, wäre hier also kaum Mehrarbeit seitens der umsetzenden Verwaltungen gefordert.  Die vorliegende Variante sorgt dafür, dass lediglich eine grundsätzliche technische Absicherung der Systeme passiert, jedoch keine Prozesse und Verfahren etabliert werden, die die Anfälligkeit z.B. durch menschliche Fehler reduzieren und IT-Sicherheit im Sinne eines sich stetig verbessernden Prozesses langfristig steigern.

§4 Absatz 1 1 –> Übergang

Wir haben Verständnis dafür, dass die Verordnung nicht sofort in Kraft treten kann, schließlich wurde diese jetzt veröffentlicht, nachdem nur noch 17% der geplanten Projektdauer „übrig“ sind. Im Übrigen ist es aber auch erwartbar, dass die Verordnung erst mit Ablauf der 5 Jahre Zeit (eigentlich 5,5 Jahre), die sich die Bundesregierung für die Umsetzung gegeben hat, wirklich verpflichtend wird.

§4 Absatz 1 2 –> Fristverlängerung

Die schon sehr minimalen Vorgaben zur IT-Sicherheit, die nun viel zu spät in diesem Projekt, also 11 Monate und 11 Tage vor Projektende in Kraft getreten sind, werden hier nun wieder relativiert. Nun sollen die Vorgaben nicht am 31.12.2022 verpflichtend werden, sondern man gibt den Behörden effektiv bis zum 20.01.2024 Zeit. 

Fazit

Die nun verpflichtenden Standards und Normen sind ungenügend um IT-Sicherheit im Kontext des Online-Zugangsgesetzes sicherzustellen. Dafür bräuchte es deutlich mehr konkrete Vorgaben. Sicherheit wird nicht als Eigenschaft der IT-Komponenten verstanden, sondern nur als nachträgliche Bescheinigung der unsicher bleibenden Technik.

Die Definition des „Stand der Technik“ ist im Kontext des OZG nun durch das BMI „zustimmungspflichtig“ – dieser juristische Begriff ist definiert als „herrschende Auffassung führender Fachleute“. Wir können diese Verordnung nicht anders verstehen, als ob sich das BMI hier zum Wahrheitsministerium in Fragen der IT-Sicherheit in den OZG-Systemen erklärt.

Auf externes Wissen jeglicher Art wird – vielleicht mit Ausnahme der Penetrationstests – nicht zugegriffen, auch wenn dies angebracht und notwendig wäre. 

Aufgrund vollständig abwesender Prüfbefugnisse oder Zertifizierungspflichten sind wir uns sicher, dass die Zivilbevölkerung wie auch der Staat in seinem Glaube in Selbsterklärungen der Behörden gestärkt werden wird. Sollte es dennoch zu Sicherheitsvorfällen kommen, gibt es durch die Selbsterklärungen immerhin genügend Dokumentation, um einen klaren Schuldigen zu benennen.

Eigentlich jedoch sollte man, bevor „etwas passiert“ sinnvoll den echten Stand der Technik, der sich konstant weiterentwickelt, wirklich umsetzen. Eine Auswertung, Prüfung, Zertifizierung oder auch nur Einbringung von externem Wissen, um den Stand der Technik nicht nur zu erreichen, sondern zu erhalten, scheint in der vorliegenden Verordnung weder vorgesehen, noch erwünscht.