Begründung der Bundesregierung
§ 15 führt den bisherigen § 7b fort und dient zugleich der Umsetzung der NIS-2-Richtlinie. Bei den sog. Schwachstellenscans handelt es sich um eine Aufsichtsmaßnahme des BSI, mit der sichergestellt werden soll, dass die adressierten Einrichtungen der Bundesverwaltung sowie die besonders wichtigen und die wichtigen Einrichtungen keine informationstechnischen Systeme betreiben, denen eine bekannte Schwachstelle oder ein anderes bekanntes Sicherheitsrisiko anhaftet. Mit der Abfragebefugnis nach Absatz 1 korrespondiert deswegen als einziger Zweck der Datenverarbeitung eine Informationspflicht nach Absatz 2. § 15 ermächtigt indes nicht zur Entdeckung von besonders sensiblen, unbekannten Schwachstellen (auch: Zero-Day-Schwachstellen).
Zu Absatz 1
Absatz 1 führt den bisherigen § 7b Absatz 1 entsprechend der Begründung zum IT-SIG 2.0 fort. Die Änderungen dienen zuvörderst der Umsetzung von Artikel 11 Absatz 3 Buchstabe e, Artikel 32 Absatz 2 Buchstabe d und Artikel 33 Absatz 2 Buchstabe c der NIS-2-Richtlinie, die die Durchführung von Schwachstellenscans bei wichtigen und wesentlichen Einrichtungen als zwingende Aufgabe der CSIRTs und Aufsichtsmaßnahme ansehen. Als andere bereits bekannte Sicherheitsrisiken im Sinne des Satz 1 kommen beispielsweise fehlerhafte Konfigurationen in Betracht Die Detektion von Schwachstellen ist neben Portscans auch über weitere webseiten-/ domainbasierte Methoden möglich. Da sich die Art von Schwachstellenscans durch den technischen Fortschritt verändern kann, war eine entwicklungsoffene Formulierung zu wählen. Die Regelung ermöglicht richtliniengemäß auch Scans z. B. bei den von den IT-Dienstleistern für die Einrichtung betriebenen Systemen. Der gewählte Begriff der Abfrage bezeichnet eine entwicklungsoffene, nicht-intrusive Art einer informationstechnischen Abfrage an die öffentlich erreichbaren Schnittstellen, die im Rahmen der technischen Spezifikation der Schnittstelle grundsätzlich vorgesehen ist. Sie dient ausschließlich der Detektion von Systemeigenschaften und schließt eine Einflussnahme auf das System aus. Wenn Schwachstellen in der Spezifikation oder der Implementation einer Schnittstelle bekannt werden, dürfen die Abfragen an die öffentlich erreichbaren Schnittstellen in einer Weise erfolgen, mit der überprüft werden kann, ob die abgefragten Systeme diese Art von Schwachstellen aufweisen. Zudem war die Regelung an die neuen Einrichtungskategorien aus der NIS-2-Richtlinie anzupassen. Statt des Begriffs der Sicherheitslücke wird zur europaweiten Vereinheitlichung der Terminologie der der Schwachstelle im Sinne von Artikel 6 Nummer 15 der NIS-2-Richtlinie verwendet, ohne dass damit eine inhaltliche Änderung verbunden ist. Die Streichung von § 7b Absatz 2 ist eine Folgeänderung zur Anpassung der Tatbestandsvoraussetzungen nach Absatz 1, die im Gegenzug für die Absenkung der Eingriffsschwelle eine Begrenzung der Verwendungsmöglichkeiten detektierter, bekannter Schwachstellen vorsieht. Das Bundesamt kann so die informationstechnischen Systeme der genannten Einrichtungen auf das Vorhandensein solcher Schwachstellen untersuchen, die bisher nicht notwendig öffentlich, aber jedenfalls informierten Fachkreisen bekannt sind. Es darf damit einerseits die Norm nicht zur Ausforschung und Nutzung unbekannter neuer Schwachstellen (Zero-Day-Exploits) nutzen, andererseits darf es zur Information der Betroffenen mit dem Abgleich und der Untersuchung bekannter Schwachstellen bereits beginnen, ohne dass die Schwachstellen zuvor einer breiten Öffentlichkeit bekannt gemacht worden sein müssen.
Zu Absatz 2
Absatz 2 führt den bisherigen § 7b Absatz 3 fort. Eine Weitergabe der konkreten Informationen über die nach Absatz 1 detektierten Schwachstellen ist weder über § 8 Absatz 7 noch nach § 3 Absatz 1 Nummer 2 erlaubt. Absatz 2 gilt diesbezüglich als abschließende Regelung. Damit detektierte Schwachstellen schnellstmöglich geschlossen werden, ist die Informationspflicht des Bundesamtes bei betroffenen Einrichtungen der Bundesverwaltung auf die Informationssicherheitsbeauftragten der Einrichtung und des Ressorts zu erstrecken (Fachaufsicht).
Für das Lagebild darf das Bundesamt abstrahierte Informationen aus den Schwachstellenscans aufbereiten, in dieser Form weitergeben und veröffentlichen (z. B. zur Zahl und Art der betroffenen Einrichtungen oder der Art der Schwachstellen).
Zu Absatz 3
Absatz 3 führt den bisherigen § 7 b Absatz 3 Satz 4 fort.
Zu Absatz 4
Absatz 4 setzt den bisherigen § 7b Absatz 1 Satz 2 und 3 fort, entbindet das Bundesamt aber von der aufwendigen Pflege der sog. „Weißen Liste“, die auch IP-Adressen von informationstechnischen Systemen erfasste, die nicht gescannt wurden. Der damit verbundene Entfall einer Vorabkontrolle wird dadurch kompensiert, dass der BfDI durch die eingeführte Aufforderungsmöglichkeit nun auf Anforderung kontrollieren kann, dass die vom Bundesamt tatsächlich gescannten IT-Systeme auch einer Einrichtung der Bundesverwaltung, einer besonders wichtigen Einrichtung oder einer wichtigen Einrichtung zugeordnet sind.
Gegenüber § 7b Abs. 1 entfällt zudem die bisherige Beschränkung auf Internet-Protokolladressen. Stattdessen werden auch andere Systeme einbezogen, bei denen es sich neben Internet-Protokolladressen beispielsweise auch um zu scannende Domains handeln kann. Da es bei den Schwachstellenscans in Abhängigkeit von der etwaigen Schwachstelle zu nicht intendierten Eingriffen in das Grundrecht auf informationelle Selbstbestimmung aus Art. 2 Abs. 1 in Verbindung mit Art. 1 Abs. 1 GG sowie in das Telekommunikationsgeheimnis aus Art. 10 Abs. 1 GG kommen kann, übt die oder der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit im Rahmen ihrer oder seiner Unabhängigkeit eine Kontrollmöglichkeit für die Betroffenen aus.
Zu Absatz 5
Absatz 5 führt den bisherigen § 7b Absatz 4 fort.
Beschlussempfehlung und Bericht des Innenausschusses
Zu § 15:
aa) Absatz 1 wird durch den folgenden Absatz 1 ersetzt:
„(1) Das Bundesamt kann im Rahmen seiner Aufgabe nach § 3 Absatz 1 Satz 2 Nummer 1 zur Detektion von bekannten Schwachstellen und anderen Sicherheitsrisiken Abfragen an den Schnittstellen öffentlich erreichbarer informationstechnischer Systeme zu öffentlichen Telekommunikationsnetzen durchführen,
- um festzustellen, ob diese Schnittstellen unzureichend geschützt und dadurch in ihrer Sicherheit oder Funktionsfähigkeit gefährdet sein können, oder
- wenn die Einrichtungen der Bundesverwaltung, der besonders wichtigen oder der wichtigen Einrichtungen darum ersuchen.
Erlangt das Bundesamt dabei Informationen, die durch Artikel 10 des Grundgesetzes geschützt sind, darf es diese nur zum Zwecke der Übermittlung nach § 8 Absatz 6 und 7 verarbeiten. Sofern die Voraussetzungen des § 8 Absatz 6 und 7 nicht vorliegen, sind Informationen, die durch Artikel 10 des Grundgesetzes geschützt sind, unverzüglich zu löschen.“
bb) Absatz 2 wird durch den folgenden Absatz 2 ersetzt:
„(2) Wird durch Abfragen gemäß Absatz 1 Satz 1 eine (2) Schwachstelle oder ein anderes Sicherheitsrisiko eines informationstechnischen Systems erkannt, informiert das Bundesamt als allgemeine Meldestelle für die Sicherheit in der Informationstechnik nach § 5 darüber unverzüglich die für das informationstechnische System Verantwortlichen. Gehört das informationstechnische System zu einer Einrichtung der Bundesverwaltung, sind zugleich die Informationssicherheitsbeauftragten der betroffenen Einrichtung der Bundesverwaltung nach § 45 und des übergeordneten Ressorts nach § 46 zu informieren. Das Bundesamt soll dabei auf bestehende Möglichkeiten zur Abhilfe des Sicherheitsrisikos hinweisen. Sind dem Bundesamt die Verantwortlichen nicht bekannt oder ist ihre Identifikation nur mit unverhältnismäßigem Aufwand oder über eine Bestandsdatenabfrage nach § 12 möglich, so ist hilfsweise der betreibende Dienstleister des jeweiligen Netzes oder Systems unverzüglich zu benachrichtigen, wenn überwiegende Sicherheitsinteressen nicht entgegenstehen.“
Begründung
Zu § 15 Absatz 1:
Schwachstellen an den Schnittstellen zu öffentlichen Telekommunikationsnetzen können eine Bedrohung für die Informationssicherheit insbesondere von Einrichtungen des Bundes, sowie von besonders wichtigen und wichtigen Einrichtungen darstellen. Zur Erkennung dieser Bedrohungen ist die bisherige Befugnis für Abfragen nicht ausreichend. Die Neuregelung in Absatz 1 ermöglicht es dem Bundesamt, nach diesen Schwachstellen an den Schnittstellen zu öffentlichen Telekommunikationsnetzen zu suchen. Der § 15 Absatz 1 Satz 2 führt hinsichtlich Löschverpflichtung den bislang geltenden § 7b Absatz 1 Satz 4 fort.
Zu § 15 Absatz 2:
Es ist bereits logisch vorgegeben, dass das Bundesamt nur bereits bekannte Schwachstellen abfragen kann. In Absatz 2 Satz 1 ist das Wort „bekannte“ irreführend und daher zu streichen. Erkennt das Bundesamt im Rahmen der Abfrage ein Sicherheitsrisiko bei einer Einrichtung des Bundes bzw. einer besonders wichtigen oder wichtigen Einrichtung, hat es die jeweilig für das IT-System Verantwortlichen zu informieren. Erkennt das Bundesamt bei anderen Stellen Sicherheitsrisiken soll das Bundesamt auch diese Stellen im Rahmen der zur Verfügung stehenden Befugnisse als Allgemeine Meldestelle für die Sicherheit in der Informationstechnik nach § 5, insbesondere Absatz 3 und 4, darüber informieren.