Interview

"Eine ab­so­lu­te Si­cher­heit gibt es nicht mehr"
Interview

Als am 19.7. welt­weit Flug­hä­fen, Kran­ken­häu­ser, Ban­ken und Ge­schäf­te lahm­ge­legt wur­den, glaub­ten viele zu­nächst an einen Cy­ber­an­griff. Tat­säch­lich konn­te die Ur­sa­che der glo­ba­len IT-Stö­rung recht schnell aus­ge­macht wer­den: Ein feh­ler­haf­ter Code im Up­date einer Si­cher­heits­soft­ware hat zum vor­über­ge­hen­den Aus­fall vie­ler Com­pu­ter­sys­te­me ge­führt. Wir haben diese IT-Panne zum An­lass ge­nom­men, um uns mit dem Main­zer Fach­an­walt für IT-Recht Ste­phan Schmidt über das Thema Cy­ber­si­cher­heit und ak­tu­el­le Re­gu­lie­rungs­vor­ha­ben hier­zu zu un­ter­hal­ten.

14. Aug 2024

NJW: Auch wenn der glo­ba­le IT-Aus­fall Mitte Juli nicht auf einen Cy­ber­an­griff zu­rück­zu­füh­ren ist, stellt sich die Frage, wie si­cher un­se­re IT-Sys­te­me ge­ra­de im Be­reich der kri­ti­schen In­fra­struk­tu­ren sind. Wie sehen Sie das?

Schmidt: Eine ab­so­lu­te Si­cher­heit gibt es nicht mehr. Dafür sind die heu­ti­gen An­griffs­mög­lich­kei­ten zu viel­fäl­tig, die An­griffs­tech­ni­ken zu aus­ge­feilt, aber auch die Ab­hän­gig­kei­ten von be­stimm­ten Sys­te­men und An­bie­tern zu hoch. Be­trei­ber kri­ti­scher In­fra­struk­tu­ren sind in Deutsch­land aber schon jetzt durch das IT-Si­cher­heits­ge­setz 2.0 zu dem Stand der Tech­nik ent­spre­chen­den IT-Si­cher­heits­maß­nah­men ver­pflich­tet, so dass man grund­sätz­lich davon aus­ge­hen kann, dass das Ni­veau bei den Be­trei­bern kri­ti­scher An­la­gen be­reits recht gut ist. Dies be­deu­tet aber nicht, dass es nicht noch ver­bes­sert wer­den kann, um eine höchst­mög­li­che Aus­fall­si­cher­heit zu er­rei­chen. Dies gilt ins­be­son­de­re für die Be­trei­ber, die bis­her nur die kri­ti­sche An­la­ge selbst nach den je­wei­li­gen An­for­de­run­gen ge­schützt, aber an­de­re Un­ter­neh­mens­tei­le außen vor­ge­las­sen haben.

NJW: Sie haben die große Ab­hän­gig­keit von einer Hand­voll Sys­te­me bzw. Un­ter­neh­men an­ge­spro­chen. Lässt sich das über­haupt noch än­dern? Und wenn ja, wie kon­kret?

Schmidt: Ich bin un­si­cher, ob sich diese Ab­hän­gig­keit noch­mal än­dern lässt. Na­tür­lich gibt es klei­ne un­ab­hän­gi­ge An­bie­ter mit sehr guten Pro­duk­ten. Auch das BSI emp­fiehlt ja ver­schie­de­ne Lö­sun­gen klei­ne­rer An­bie­ter. Aber eben­so na­tür­lich ist es für Un­ter­neh­men, da­nach zu schau­en, wer die gro­ßen Her­stel­ler sind, denn diese An­bie­ter haben in der Regel na­tür­lich mehr Bud­get und hohe An­for­de­run­gen an die Qua­li­tät ihrer Pro­duk­te. Dass deren An­ge­bo­te dann wie­der­um in den Cloud-Lö­sun­gen der gro­ßen Play­er wie Mi­cro­soft, Ama­zon und Goog­le in­te­griert sind, macht die Sache aber nicht ein­fa­cher.

NJW: Nur we­ni­ge Tage nach der Crowd­strike-Panne hat die Bun­des­re­gie­rung den Ent­wurf eines Ge­set­zes zur Um­set­zung der NIS-2-Richt­li­nie (und zur Re­ge­lung we­sent­li­cher Grund­zü­ge des In­for­ma­ti­ons­si­cher­heits­ma­nage­ments in der Bun­des­ver­wal­tung) vor­ge­legt. Was kon­kret re­gelt diese Richt­li­nie bzw. das deut­sche Um­set­zungs­ge­setz?

Schmidt: Der Re­gie­rungs­ent­wurf ist ja keine di­rek­te Re­ak­ti­on auf die Crowd­strike-Panne, son­dern das Er­geb­nis eines Pro­zes­ses, an des­sen An­fang die 2022 vor­ge­stell­te eu­ro­päi­sche Cy­ber­si­cher­heits­stra­te­gie steht. Die NIS-2-Richt­li­nie, die nun in deut­sches Recht um­ge­setzt wird, ist Teil die­ser Stra­te­gie und re­gelt Min­dest­an­for­de­run­gen in Sa­chen Cy­ber­si­cher­heit für mitt­le­re und grö­ße­re Un­ter­neh­men sowie deren Lie­fer­ket­ten. Es gibt Min­dest­vor­schrif­ten für einen funk­tio­nie­ren­den und ko­or­di­nier­ten Rechts­rah­men sowie Me­cha­nis­men für die wirk­sa­me Zu­sam­men­ar­beit zwi­schen den zu­stän­di­gen Be­hör­den in den ein­zel­nen Mit­glied­staa­ten. Die Liste der Sek­to­ren und Tä­tig­kei­ten, für die Pflich­ten im Hin­blick auf die Cy­ber­si­cher­heit gel­ten, wird ak­tua­li­siert, und es wer­den Ab­hil­fe- und Durch­set­zungs­maß­nah­men ein­ge­führt. Neben den in­zwi­schen üb­li­chen Bu­ß­gel­dern bei Ver­stö­ßen sind ins­be­son­de­re auch er­wei­ter­te Pflich­ten und die Letzt­ver­ant­wort­lich­keit der Ge­schäfts­lei­tung vor­ge­se­hen.

NJW: Die Richt­li­nie soll im ge­sam­ten Ge­mein­schafts­ge­biet ein hohes ge­mein­sa­mes Cy­ber­si­cher­heits­ni­veau ge­währ­leis­ten. Ist das ge­lun­gen?

Schmidt: Ich denke nicht. Die Um­set­zung der Pflich­ten wird si­cher­lich bei ei­ni­gen Un­ter­neh­men, die bis­her dach­ten, eine Fire­wall und ein Vi­ren­scan­ner wären aus­rei­chend, zu Ver­bes­se­run­gen im Be­reich Cy­ber­si­cher­heit füh­ren. Ein hohes ge­mein­sa­mes Ni­veau kann die Richt­li­nie aber schon des­halb nicht ge­währ­leis­ten, weil Ver­wal­tun­gen auf kom­mu­na­ler und Bun­des­lan­de­be­ne im deut­schen Um­set­zungs­ge­setz von den Pflich­ten aus­ge­nom­men sind. Wenn man sich die Mel­dun­gen über An­grif­fe aus den letz­ten Mo­na­ten an­schaut, wäre das Ge­gen­teil er­for­der­lich, und ge­ra­de die Land­krei­se und Kom­mu­nen müss­ten ge­setz­lich auf IT-Si­cher­heit ver­pflich­tet wer­den, statt diese kom­plett aus dem An­wen­dungs­be­reich her­aus­zu­las­sen.

NJW: Wo kon­kret muss bzw. soll­te noch nach­ge­bes­sert wer­den?

Schmidt: Der Ge­setz­ent­wurf ist hin­sicht­lich der zu er­grei­fen­den Maß­nah­men sehr un­kon­kret, und es lässt sich nicht ohne Wei­te­res ab­le­sen, wel­che Maß­nah­men etwa die Be­trei­ber kri­ti­scher In­fra­struk­tur nun zu­sätz­lich er­grei­fen müs­sen. Hier muss drin­gend nach­ge­schärft wer­den. Da eine Auf­nah­me der kom­mu­na­len Ein­rich­tung in das NIS2Um­suCG ab­ge­lehnt wird, ist es zudem Auf­ga­be der Bun­des­län­der, ei­ge­ne, dem Maß­stab der NIS-2-Richt­li­nie ent­spre­chen­de IT-Si­cher­heits­ge­set­ze zu schaf­fen bzw. vor­han­de­ne Ge­set­ze an­zu­pas­sen. Es muss auch für die Ver­wal­tung au­ßer­halb der Bun­des­ein­rich­tun­gen ge­setz­li­che Min­dest­an­for­de­run­gen an die IT-Si­cher­heit geben.

NJW: Wel­che Mög­lich­keit hat der na­tio­na­le Ge­setz­ge­ber, hier nach­zu­jus­tie­ren?

Schmidt: Das Ge­setz muss ja noch durch das Par­la­ment. Da gibt es aus­rei­chend Mög­lich­kei­ten, die be­stehen­den Schwä­chen noch aus­zu­mer­zen. Zudem sind an ver­schie­de­nen Stel­len kon­kre­ti­sie­ren­de Rechts­ver­ord­nun­gen vor­ge­se­hen, mit denen sich eben­falls noch Un­klar­hei­ten be­sei­ti­gen las­sen.

NJW: Las­sen Sie uns noch­mal auf die Crowd­strike-Panne zu­rück­kom­men: Wer haf­tet ei­gent­lich für die da­durch ver­ur­sach­ten Mil­li­ar­den-Schä­den?

Schmidt: In­zwi­schen ist ja be­kannt, dass die in­ter­ne Prü­fung bei Crowd­strike vor­han­de­ne Feh­ler in Daten nicht er­kannt hat, das Up­date an viele ver­füg­ba­re Sys­te­me zum glei­chen Zeit­punkt ver­teilt wurde und es so zu den welt­wei­ten Pro­ble­men mit dem Up­date kam. Be­trof­fe­ne Kun­den von Crowd­strike haben also even­tu­ell einen di­rek­ten An­spruch gegen den Her­stel­ler. Al­ler­dings ent­hal­ten die AGB des An­bie­ters weit­ge­hen­de Haf­tungs­aus­schlüs­se etwa für die Nut­zung in kri­ti­schen In­fra­struk­tu­ren. Hier muss man prü­fen, ob diese Aus­schlüs­se vor einem Ge­richt Be­stand haben. Kun­den, deren Dienst­leis­ter von der Crowd­strike-Panne be­trof­fen waren, müs­sen die Ver­trä­ge mit ihren Dienst­leis­tern dar­auf prü­fen, ob der Aus­fall eine Schlecht­leis­tung im Sinne des Ver­tra­ges dar­stellt, die zu Scha­dens­er­satz­an­sprü­chen be­rech­tigt. Dies wird nicht immer der Fall sein, da der Aus­fall zwar ei­ni­ge Stun­den dau­er­te, die­ser Zeit­raum aber viel­leicht „zu kurz“ war, um die ver­trag­lich zu­ge­si­cher­te Ver­füg­bar­keit zu un­ter­schrei­ten. Man wird also jeden Ein­zel­fall genau prü­fen müs­sen.

NJW: Wenn wir rich­tig in­for­miert sind, emp­fiehlt das BSI aus­drück­lich die Crowd­strike-Si­cher­heits­soft­ware. Las­sen sich dar­aus et­wai­ge Staats­haf­tungs­an­sprü­che ab­lei­ten?

Schmidt: Crowd­strike wurde vom BSI auf einer Liste von ins­ge­samt 51 qua­li­fi­zier­ten Ad­van­ced Per­sis­tent Th­re­at-Re­spon­se-Dienst­leis­tern ge­lis­tet, weil die Soft­ware die stren­gen Kri­te­ri­en des BSI-Ge­set­zes gemäß § 3 BSIG er­füllt. Sol­che Lis­ten hel­fen Un­ter­neh­men, Be­trei­bern kri­ti­scher In­fra­struk­tu­ren und staat­li­chen In­sti­tu­tio­nen bei der Suche nach qua­li­fi­zier­ten Si­cher­heits­dienst­leis­tern. Da Crowd­strike die An­for­de­run­gen er­füllt hat, um auf diese Liste zu kom­men, sehe ich nicht, dass sich dar­aus ein Staats­haf­tungs­an­spruch er­ge­ben kann. Feh­ler wur­den ja bei der Ver­öf­fent­li­chung des Up­dates durch Crowd­strike und nicht bei der Prü­fung von Crowd­strike durch das BSI ge­macht. 

Rechts­an­walt Ste­phan Schmidt ist Grün­dungs­part­ner von TCI Rechts­an­wäl­te und berät Un­ter­neh­men im Be­reich IT-, IT-Si­cher­heits- und Da­ten­schutz­recht. Er ist Mit­glied des Ge­schäfts­füh­ren­den Aus­schus­ses der Ar­beits­ge­mein­schaft IT-Recht (davit) im DAV.

Die­ser In­halt ist zu­erst in der NJW er­schie­nen. Sie möch­ten die NJW kos­ten­los tes­ten? Jetzt vier Wo­chen gra­tis tes­ten inkl. On­line-Modul NJW­Di­rekt

 

Interview: Monika Spiekermann.