Stärkung der Cybersicherheit in Unternehmen: Das neue NIS-2-Umsetzungsgesetz

Stärkung der Cybersicherheit in Unternehmen: Das neue NIS-2-Umsetzungsgesetz

Mit der steigenden Zahl von Cyberbedrohungen und Angriffen wird es immer dringlicher, geeignete Schutzmaßnahmen zu ergreifen. In diesem Zusammenhang hat die Europäische Union die NIS-2-Richtlinie ins Leben gerufen, die ein hohes gemeinsames Cybersicherheitsniveau in der Union anstrebt. Nun wird Deutschland mit dem NIS-2-Umsetzungsgesetz seine nationalen Vorschriften zur Cybersicherheit verschärfen. In diesem Kurzbeitrag werden die wichtigsten Punkte des Gesetzes und seine Auswirkungen auf Unternehmen zusammengefasst.

  1. Hintergrund und Ziele der NIS-2-Richtlinie: Die NIS-2-Richtlinie zielt darauf ab, die Cyberresilienz der europäischen Wirtschaft zu stärken und wettbewerbsverzerrende Unterschiede zwischen den Mitgliedsstaaten zu beseitigen. Sie verpflichtet die Mitgliedstaaten dazu, ihre nationalen Vorschriften zur Cybersicherheit in kritischen Einrichtungen zu verschärfen. Das übergeordnete Ziel ist die Verhinderung von Störungen der informationstechnischen Systeme und Prozesse, die für die Erbringung wichtiger Dienste genutzt werden.
  2. Adressaten: Das NIS-2-Umsetzungsgesetz richtet sich an Betreiber kritischer Anlagen, wichtiger Einrichtungen und Unternehmen im besonderen öffentlichen Interesse. Die Kategorisierung erfolgt entsprechend der Größe und Kritikalität der Unternehmen. Zu den kritischen Anlagen gehören beispielsweise Einrichtungen aus den Bereichen Energie, Verkehr, Bankwesen, Gesundheitswesen und Digitale Infrastruktur. Die Regelungen gelten auch für Großunternehmen und Online-Dienstleister mit bestimmten Umsatz- und Mitarbeiterkriterien.
  3. Neue Anforderungen an das Risikomanagement: Das Gesetz legt neue Risikomanagement-Vorschriften fest, die über die bisherigen Pflichten hinausgehen. Unternehmen müssen angemessene technische und organisatorische Maßnahmen ergreifen, um ihre Systeme zu schützen. Es werden zehn Elemente eines angemessenen Risikomanagementansatzes definiert, die Unternehmen umsetzen müssen. Dazu gehören Risikoanalysen, Lieferkettensicherheit, Kryptografie, Verschlüsselung und Personalsicherheit.
  4. Transparenzpflichten und Meldepflichten: Das Gesetz fordert eine erhöhte Transparenz gegenüber dem Bundesamt für Sicherheit in der Informationstechnik (BSI) und den Kunden. Unternehmen müssen erhebliche Sicherheitsvorfälle dem BSI melden und Zwischenmeldungen abgeben. Zudem werden bußgeldbewehrte Registrierungspflichten eingeführt. Das BSI kann Unternehmen anweisen, ihre Dienstempfänger über Sicherheitsvorfälle zu informieren.
  5. Verantwortung der Geschäftsleitung: Eine bedeutende Neuerung des Gesetzes ist die direkte Verpflichtung der Geschäftsleitung wichtiger und besonders wichtiger Einrichtungen zur Überwachung der Cybersicherheitsmaßnahmen. Die Geschäftsleiter müssen die Risikomanagementmaßnahmen billigen und regelmäßige Schulungen absolvieren. Bei Verstößen können sie persönlich haftbar gemacht werden.
  6. Sanktionen: Das NIS-2-Umsetzungsgesetz sieht strenge Sanktionen für Verstöße gegen die IT-Sicherheitsvorschriften vor. Bußgelder können bis zu 20 Millionen Euro oder einen Prozentsatz des weltweiten Umsatzes des Unternehmens betragen.

Fazit: Das NIS-2-Umsetzungsgesetz markiert einen bedeutenden Schritt in Richtung einer verbesserten Cybersicherheit in Unternehmen. Es legt strengere Vorschriften für Risikomanagement, Transparenz und Verantwortung der Geschäftsleitung fest. Unternehmen sollten sich frühzeitig mit den neuen Anforderungen vertraut machen, um sicherzustellen, dass sie den gesetzlichen Bestimmungen entsprechen und effektive Maßnahmen zum Schutz vor Cyberbedrohungen umsetzen. Die drastischen Sanktionen verdeutlichen, dass Cybersicherheit als essentieller Bestandteil des wirtschaftlichen und sozialen Lebens betrachtet wird und entsprechend behandelt werden muss.

Posted by Dr. Mathias Grzesiek in IT-Strafrecht
Landgericht Ravensburg: Nutzung von Fingerabdrücken zur Entsperrung beschlagnahmter Mobiltelefone ist rechtmäßig

Landgericht Ravensburg: Nutzung von Fingerabdrücken zur Entsperrung beschlagnahmter Mobiltelefone ist rechtmäßig

Das Landgericht Ravensburg hat mit Beschluss vom 14. Februar 2023 (Az. 2 Qs 9/23 jug, hier abrufbar bei Burhoff) bestätigt, dass die Beschlagnahme des Mobiltelefons des Beschuldigten sowie die Abnahme und Nutzung seiner Fingerabdrücke zum Entsperren des Telefons rechtmäßig sind.

Der Beschuldigte wird eines Verstoßes gegen das Betäubungsmittelgesetz verdächtigt, insbesondere der Anstiftung zur unerlaubten Einfuhr von Betäubungsmitteln in nicht geringer Menge und des versuchten unerlaubten Erwerbs von Betäubungsmitteln. Im Rahmen der Ermittlungen wurde sein Zimmer durchsucht und sein Mobiltelefon beschlagnahmt.

Gegen den Beschluss des Amtsgerichts Ravensburg legte der Beschuldigte Beschwerde ein, insbesondere gegen die Anordnung zur Abnahme und Nutzung seiner Fingerabdrücke zum Entsperren seines Telefons. Das Landgericht entschied jedoch, dass die Beschwerde unbegründet ist.

In seiner Begründung stellte das Gericht fest, dass die Voraussetzungen des § 81b Abs. 1 gegeben sind. Die angeordneten Maßnahmen sind von der einschlägigen Ermächtigungsgrundlage gedeckt und verhältnismäßig. Die Anordnung zur Abnahme von Fingerabdrücken des Beschuldigten auch gegen seinen Willen und die Anordnung zur Nutzung der hieraus resultierenden biometrischen Daten für Zwecke der Entsperrung des Mobiltelefons finden ihre Grundlage in § 81b Abs. 1 StPO.

Im Wortlaut heißt es:

Durch die offene Formulierung wird erreicht, dass sich der statische Gesetzeswortlaut an den jeweiligen Stand der Technik anpasst (vgl. Rottmeier/Eckel, NStZ 2020, S. 193 (194)). Mit der „technikoffenen“ Formulierung hat der Gesetzgeber zum Ausdruck gebracht, dass auch solche Maßnahmen gedeckt sind, die dem gesetzlichen Leitbild der Abnahme und Verwendung von äußeren körperlichen Beschaffenheitsmerkmalen zu Identifizierungs- oder Tat nachweiszwecken entsprechen (vgl. Rottrneier/Eckel, NStZ 2020, S. 193 (195)). Im weiteren Sinn kommt der Nutzung der festgestellten Fingerabdrücke zum Entsperren eines Mobiltelefons auch eine Identifizierungsfunktion zu (vgl. ebenda).

Landgericht Ravensburg, 2 Qs 9/23 jug

Das Gericht betonte, dass die Abnahme und Verwendung von Fingerabdrücken zum Entsperren des Mobiltelefons notwendig und mithin verhältnismäßig ist. Insbesondere bleibt das Grundrecht des Beschuldigten auf informationelle Selbstbestimmung hinter dem Interesse der Allgemeinheit an einer effektiven Strafrechtspflege zurück.

Die Identifizierungsfunktion wird hier im Unterschied zum klassischen Fall des § 81b StPO allerdings nicht unmittelbar zum Führen eines Tatnachweises verwendet, sondern als Zwischenziel zur Erlangung der für den Nachweis erforderlichen gespeicherten Daten. Inwieweit die Maßnahme notwendig für das Strafverfahren ist, ist eine Frage der noch zu thematisierenden Verhältnismäßigkeit. Die Verwendung von biometrischen Körpermerkmalen zur Entschlüsselung von Daten durch einen Abgleich mit den im Endgerät hinterlegten Schlüsselmerkmalen ist deshalb auch vom Wortlaut umfasst (vgl. ebenda; LG Baden-Baden Beschluss vom 26. November 2019 – 2 Qs 147/19; Goers in: BeckOK StPO, 46. Edition, 01.01.2023, § 81b Rn. 4.1).

Bei der Abwägung ist zu berücksichtigen, dass die Speicherung der Fingerabdrücke von nur kurzer Dauer ist und der Zweck der Maßnahme mit dem Entsperren des Mobiltelefons erreicht ist. Zudem ist zu beachten, dass es sich um eine offene Ermittlungsmaßnahme handelt und der Beschuldigte eine Tat vorgeworfen wird, die die Grenze eines Bagatelldelikts deutlich übersteigt.

Anmerkung:

Die Entscheidung behandelt die rechtliche Frage der biometrischen Entsperrung von Daten im Strafverfahren. Gemäß § 81b StPO ist es zulässig, Lichtbilder, Fingerabdrücke und ähnliche Maßnahmen beim Beschuldigten aufzunehmen, entweder zum Zweck des Strafverfahrens oder des Erkennungsdienstes. Der Beschuldigte muss nicht aktiv daran mitwirken, aber zwangsweise durchgeführte Maßnahmen dulden. Es ist jedoch umstritten, ob § 81b StPO auch zur Entsperrung biometrischer Verschlüsselungen verwendet werden kann. Die Ansichten in der Literatur sind geteilt. Der Normtext selbst bezieht sich eindeutig nicht auf biometrische Entschlüsselungsversuche. Einige argumentieren, dass § 81b StPO für die Entsperrung verwendet werden kann (so vertreten von Rottmeier/Eckel NStZ 2020, 193 (195 f.), während andere dies ablehnen (Nadeborn/Irscheid StraFo 2019, 274f.; Neuhaus, StV 7/2020, 489f.; Grzesiek/Zühlke, StV-S 3/2021, 117f.). Das Hauptziel der Norm ist die Identifizierung des Beschuldigten für die weitere Verwendung im Strafverfahren. Es ist jedoch fraglich, wie diese weitere Verwendung im Verfahren gestaltet werden kann und ob sie auch bei informationstechnischen Systemsperren relevant ist.

Obwohl das strafrechtliche Analogieverbot im Strafprozessrecht möglicherweise nicht gilt (umstr.), ist der Anwendungsbereich von § 81b StPO nicht eröffnet, da er ein anderes Ziel verfolgt. Auch wenn die nach § 81b StPO gestattete Entnahme von Fingerabdrücken eine scheinbare Nähe aufweist, ist zu bemängeln, dass die Fingerabdrücke zur Identifizierung des Beschuldigten und nicht zum Zugriff auf Daten erhoben werden. Es handelt sich um eine zweistufige Maßnahme, bei der das Gerät im ersten Schritt entschlüsselt wird und dann in einem zweiten Schritt auf die entsperrten Daten zugegriffen wird. Die klare Unterscheidung zwischen Identifikationsmaßnahmen und Beweissicherungsmaßnahmen ist ein zwingendes Erfordernis des Strafprozessrechts. Die nun entschlüsselten Daten dürfen nicht wie von vornherein unverschlüsselte Daten behandelt werden, da dies die betroffenen Rechtsgüter und Grundrechtspositionen nicht berücksichtigt.

Aus hiesiger Sicht fehlt es de lege lata weiterhin an einer Rechtsgrundlage für die zwangsweise biometrische Entsperrung; insbesondere § 81b StPO ermächtigt die Ermittlungspersonen nicht zum Auflegen des Fingers auf einen Fingerabdruckscanner unter Anwendung von unmittelbarem Zwang.

Posted by Dr. Mathias Grzesiek in Cybercrime, IT-Strafrecht, Rechtsprechung
EU Cyber Resilience Act: Ein Schritt in Richtung stärkere digitale Sicherheit

EU Cyber Resilience Act: Ein Schritt in Richtung stärkere digitale Sicherheit

Das Problem der Cyberkriminalität verursacht jährlich Kosten von 5,5 Billionen Euro, wie beispielsweise der Angriff auf eine Netzverwaltersoftware, der 500 Supermarktfilialen zur Schließung zwang, oder der Ransomware-Wurm WannaCry, der 200.000 Computer in 150 Ländern infizierte. Solche Cyberangriffe können den gesamten Binnenmarkt innerhalb von Minuten lahmlegen.

Die Lösung ist der Cyber Resilience Act (CRA), dessen Entwurf im September 2022 von der Europäischen Kommission angenommen wurde. Im Juni 2023 werden die Mitgliedstaaten im Rat der Telekommunikation darüber beraten, und eine Abstimmung im Plenum wird nach der Sommerpause erwartet. Um die Anforderungen des CRA erfolgreich umzusetzen, ist es ratsam, sich bereits jetzt darauf vorzubereiten.

Die Verordnung zielt darauf ab, Produkte mit digitalen Elementen sicherer zu gestalten und Hersteller dazu zu verpflichten, sich während des gesamten Lebenszyklus eines Produkts um dessen Sicherheit zu kümmern. Zudem sollen Bedingungen geschaffen werden, die es Nutzern ermöglichen, Cybersicherheit bei der Auswahl und Verwendung solcher Produkte zu berücksichtigen. Die Verordnung betrifft alle Software- oder Hardwareprodukte und deren Datenfernverarbeitungslösungen sowie deren Komponenten, die getrennt in Verkehr gebracht werden sollen.

Alle Hersteller, Bevollmächtigten, Einführer, Händler und natürliche oder juristische Personen, die das Produkt unter eigenem Namen oder Marke oder nach wesentlichen Änderungen in Verkehr bringen, müssen die Pflichten der Verordnung erfüllen.

Produkte mit digitalen Elementen dürfen nur auf den Markt gebracht werden, wenn sie den in Anhang I Abschnitt 1 der Verordnung aufgeführten Cybersicherheitsanforderungen entsprechen und ordnungsgemäß installiert, gewartet, verwendet und aktualisiert werden. Hersteller, Einführer und Händler haben unterschiedliche Pflichten in Bezug auf die Konformitätsbewertung, technische Dokumentation, CE-Kennzeichnung, Informationsbereitstellung und Überwachung. Darüber hinaus sind sie verpflichtet, bei festgestellten Schwachstellen oder Zwischenfällen entsprechende Maßnahmen zu ergreifen und diese innerhalb von 24 Stunden an die ENISA zu melden.

Bei Nichteinhaltung der Pflichten drohen Geldbußen von bis zu 15.000.000 Euro oder 2,5 % des weltweiten Jahresumsatzes des vorangegangenen Geschäftsjahres. Bei Verstößen gegen andere Pflichten aus der Verordnung können Geldbußen von bis zu 10.000.000 Euro oder 2 % des weltweiten Jahresumsatzes verhängt werden. Bei der Mitteilung falscher, unvollständiger oder irreführender Angaben drohen Geldbußen von bis zu 5.000.000 Euro oder 1 % des weltweiten Jahresumsatzes.

Posted by Dr. Mathias Grzesiek in Cybersecurity