NJW: Auch wenn der globale IT-Ausfall Mitte Juli nicht auf einen Cyberangriff zurückzuführen ist, stellt sich die Frage, wie sicher unsere IT-Systeme gerade im Bereich der kritischen Infrastrukturen sind. Wie sehen Sie das?
Schmidt: Eine absolute Sicherheit gibt es nicht mehr. Dafür sind die heutigen Angriffsmöglichkeiten zu vielfältig, die Angriffstechniken zu ausgefeilt, aber auch die Abhängigkeiten von bestimmten Systemen und Anbietern zu hoch. Betreiber kritischer Infrastrukturen sind in Deutschland aber schon jetzt durch das IT-Sicherheitsgesetz 2.0 zu dem Stand der Technik entsprechenden IT-Sicherheitsmaßnahmen verpflichtet, so dass man grundsätzlich davon ausgehen kann, dass das Niveau bei den Betreibern kritischer Anlagen bereits recht gut ist. Dies bedeutet aber nicht, dass es nicht noch verbessert werden kann, um eine höchstmögliche Ausfallsicherheit zu erreichen. Dies gilt insbesondere für die Betreiber, die bisher nur die kritische Anlage selbst nach den jeweiligen Anforderungen geschützt, aber andere Unternehmensteile außen vorgelassen haben.
NJW: Sie haben die große Abhängigkeit von einer Handvoll Systeme bzw. Unternehmen angesprochen. Lässt sich das überhaupt noch ändern? Und wenn ja, wie konkret?
Schmidt: Ich bin unsicher, ob sich diese Abhängigkeit nochmal ändern lässt. Natürlich gibt es kleine unabhängige Anbieter mit sehr guten Produkten. Auch das BSI empfiehlt ja verschiedene Lösungen kleinerer Anbieter. Aber ebenso natürlich ist es für Unternehmen, danach zu schauen, wer die großen Hersteller sind, denn diese Anbieter haben in der Regel natürlich mehr Budget und hohe Anforderungen an die Qualität ihrer Produkte. Dass deren Angebote dann wiederum in den Cloud-Lösungen der großen Player wie Microsoft, Amazon und Google integriert sind, macht die Sache aber nicht einfacher.
NJW: Nur wenige Tage nach der Crowdstrike-Panne hat die Bundesregierung den Entwurf eines Gesetzes zur Umsetzung der NIS-2-Richtlinie (und zur Regelung wesentlicher Grundzüge des Informationssicherheitsmanagements in der Bundesverwaltung) vorgelegt. Was konkret regelt diese Richtlinie bzw. das deutsche Umsetzungsgesetz?
Schmidt: Der Regierungsentwurf ist ja keine direkte Reaktion auf die Crowdstrike-Panne, sondern das Ergebnis eines Prozesses, an dessen Anfang die 2022 vorgestellte europäische Cybersicherheitsstrategie steht. Die NIS-2-Richtlinie, die nun in deutsches Recht umgesetzt wird, ist Teil dieser Strategie und regelt Mindestanforderungen in Sachen Cybersicherheit für mittlere und größere Unternehmen sowie deren Lieferketten. Es gibt Mindestvorschriften für einen funktionierenden und koordinierten Rechtsrahmen sowie Mechanismen für die wirksame Zusammenarbeit zwischen den zuständigen Behörden in den einzelnen Mitgliedstaaten. Die Liste der Sektoren und Tätigkeiten, für die Pflichten im Hinblick auf die Cybersicherheit gelten, wird aktualisiert, und es werden Abhilfe- und Durchsetzungsmaßnahmen eingeführt. Neben den inzwischen üblichen Bußgeldern bei Verstößen sind insbesondere auch erweiterte Pflichten und die Letztverantwortlichkeit der Geschäftsleitung vorgesehen.
NJW: Die Richtlinie soll im gesamten Gemeinschaftsgebiet ein hohes gemeinsames Cybersicherheitsniveau gewährleisten. Ist das gelungen?
Schmidt: Ich denke nicht. Die Umsetzung der Pflichten wird sicherlich bei einigen Unternehmen, die bisher dachten, eine Firewall und ein Virenscanner wären ausreichend, zu Verbesserungen im Bereich Cybersicherheit führen. Ein hohes gemeinsames Niveau kann die Richtlinie aber schon deshalb nicht gewährleisten, weil Verwaltungen auf kommunaler und Bundeslandebene im deutschen Umsetzungsgesetz von den Pflichten ausgenommen sind. Wenn man sich die Meldungen über Angriffe aus den letzten Monaten anschaut, wäre das Gegenteil erforderlich, und gerade die Landkreise und Kommunen müssten gesetzlich auf IT-Sicherheit verpflichtet werden, statt diese komplett aus dem Anwendungsbereich herauszulassen.
NJW: Wo konkret muss bzw. sollte noch nachgebessert werden?
Schmidt: Der Gesetzentwurf ist hinsichtlich der zu ergreifenden Maßnahmen sehr unkonkret, und es lässt sich nicht ohne Weiteres ablesen, welche Maßnahmen etwa die Betreiber kritischer Infrastruktur nun zusätzlich ergreifen müssen. Hier muss dringend nachgeschärft werden. Da eine Aufnahme der kommunalen Einrichtung in das NIS2UmsuCG abgelehnt wird, ist es zudem Aufgabe der Bundesländer, eigene, dem Maßstab der NIS-2-Richtlinie entsprechende IT-Sicherheitsgesetze zu schaffen bzw. vorhandene Gesetze anzupassen. Es muss auch für die Verwaltung außerhalb der Bundeseinrichtungen gesetzliche Mindestanforderungen an die IT-Sicherheit geben.
NJW: Welche Möglichkeit hat der nationale Gesetzgeber, hier nachzujustieren?
Schmidt: Das Gesetz muss ja noch durch das Parlament. Da gibt es ausreichend Möglichkeiten, die bestehenden Schwächen noch auszumerzen. Zudem sind an verschiedenen Stellen konkretisierende Rechtsverordnungen vorgesehen, mit denen sich ebenfalls noch Unklarheiten beseitigen lassen.
NJW: Lassen Sie uns nochmal auf die Crowdstrike-Panne zurückkommen: Wer haftet eigentlich für die dadurch verursachten Milliarden-Schäden?
Schmidt: Inzwischen ist ja bekannt, dass die interne Prüfung bei Crowdstrike vorhandene Fehler in Daten nicht erkannt hat, das Update an viele verfügbare Systeme zum gleichen Zeitpunkt verteilt wurde und es so zu den weltweiten Problemen mit dem Update kam. Betroffene Kunden von Crowdstrike haben also eventuell einen direkten Anspruch gegen den Hersteller. Allerdings enthalten die AGB des Anbieters weitgehende Haftungsausschlüsse etwa für die Nutzung in kritischen Infrastrukturen. Hier muss man prüfen, ob diese Ausschlüsse vor einem Gericht Bestand haben. Kunden, deren Dienstleister von der Crowdstrike-Panne betroffen waren, müssen die Verträge mit ihren Dienstleistern darauf prüfen, ob der Ausfall eine Schlechtleistung im Sinne des Vertrages darstellt, die zu Schadensersatzansprüchen berechtigt. Dies wird nicht immer der Fall sein, da der Ausfall zwar einige Stunden dauerte, dieser Zeitraum aber vielleicht „zu kurz“ war, um die vertraglich zugesicherte Verfügbarkeit zu unterschreiten. Man wird also jeden Einzelfall genau prüfen müssen.
NJW: Wenn wir richtig informiert sind, empfiehlt das BSI ausdrücklich die Crowdstrike-Sicherheitssoftware. Lassen sich daraus etwaige Staatshaftungsansprüche ableiten?
Schmidt: Crowdstrike wurde vom BSI auf einer Liste von insgesamt 51 qualifizierten Advanced Persistent Threat-Response-Dienstleistern gelistet, weil die Software die strengen Kriterien des BSI-Gesetzes gemäß § 3 BSIG erfüllt. Solche Listen helfen Unternehmen, Betreibern kritischer Infrastrukturen und staatlichen Institutionen bei der Suche nach qualifizierten Sicherheitsdienstleistern. Da Crowdstrike die Anforderungen erfüllt hat, um auf diese Liste zu kommen, sehe ich nicht, dass sich daraus ein Staatshaftungsanspruch ergeben kann. Fehler wurden ja bei der Veröffentlichung des Updates durch Crowdstrike und nicht bei der Prüfung von Crowdstrike durch das BSI gemacht.
Rechtsanwalt Stephan Schmidt ist Gründungspartner von TCI Rechtsanwälte und berät Unternehmen im Bereich IT-, IT-Sicherheits- und Datenschutzrecht. Er ist Mitglied des Geschäftsführenden Ausschusses der Arbeitsgemeinschaft IT-Recht (davit) im DAV.
Dieser Inhalt ist zuerst in der NJW erschienen. Sie möchten die NJW kostenlos testen? Jetzt vier Wochen gratis testen inkl. Online-Modul NJWDirekt.
