Die moderne Wirtschaft Deutschlands ist für ihr Funktionieren, die Generierung von Wohlstand und Wachstum und auch für ihre Adaptionsfähigkeit auf geänderte wirtschaftspolitische und geopolitische Rahmenbedingungen angewiesen auf funktionierende und resiliente Infrastruktur, sowohl im physischen als auch im digitalen Bereich. Diese Faktoren haben in den vergangenen Jahren erheblich an Bedeutung gewonnen. Unternehmen sehen sich nicht nur in ihrem wirtschaftlichen Tun, sondern auch in dessen praktischer Absicherung vor eine Vielzahl von Herausforderungen gestellt. Europaweit und global vernetzte Prozesse führen ebenso wie die zunehmende Digitalisierung aller Lebens- und somit auch Wirtschaftsbereiche zu einer höheren Anfälligkeit gegenüber externen, vielfach nicht steuerbaren Faktoren. Informationstechnik in kritischen Anlagen sowie in bestimmten Unternehmen spielt dabei eine zentrale Rolle. Ihre Sicherheit und Resilienz bilden auch die Grundlage für die Versorgungssicherheit, von der Versorgung mit Strom und Wasser bis hin zur Entsorgung von Siedlungsabfällen. Gleiches gilt für das Funktionieren der Marktwirtschaft in Deutschland und dem Binnenmarkt der Europäischen Union. Die Vernetzung und enge Verzahnung gerade der Wirtschaft innerhalb Deutschlands und der Europäischen Union resultieren in Interdependenzen bei der Cybersicherheit. Die vor diesem Hintergrund gestiegenen Cybersicherheitsanforderungen an juristische und natürliche Personen, die wesentliche Dienste erbringen oder Tätigkeiten ausüben, werden mit der Richtlinie (EU) 2022/2555 des Europäischen Parlaments und des Rates vom 14. Dezember 2022 über Maßnahmen für ein hohes gemeinsames Cybersicherheitsniveau in der Union, zur Änderung der Verordnung (EU) Nr. 910/2014 und der Richtlinie (EU) 2018/1972 sowie zur Aufhebung der Richtlinie (EU) 2016/1148 (ABl. L 333 vom 27.12.2022, S. 80, im Folgenden NIS-2-Richtlinie) in der gesamten Europäischen Union weiter angeglichen. 2024 bestätigte sich die Erfahrung der Vorjahre, dass geopolitische und zwischenstaatliche Konflikte oftmals mit einer ganzen Bandbreite an Phänomenen im Cyberraum einhergehen: Desinformation, Hacktivismus, Spionage und Sabotage waren sowohl im russischen Angriffskrieg gegen die Ukraine als auch in der Folge des Terrorangriffs der Hamas auf Israel zu beobachten. Im Bereich der Wirtschaft zählen hierbei Ransomware-Angriffe, Ausnutzung von Schwachstellen, offene oder falsch konfigurierte Online-Server sowie Abhängigkeiten von der IT-Lieferkette und in diesem Zusammenhang auch insbesondere Cyberangriffe über die Lieferkette (sogenannte Supply-Chain-Angriffe) zu den größten Bedrohungen. Zusätzlich zu den bereits bekannten Bedrohungen entstanden in Folge des russischen Angriffskriegs auf die Ukraine und der damit einhergehenden „Zeitenwende“ auch neue Bedrohungen oder die Einschätzungen zu bereits bekannten Bedrohungen mussten aufgrund veränderter Rahmenbedingungen geändert werden. Beispiele hierfür bestehen im Bereich Hacktivismus, insbesondere mittels Distributed-Denial-of-Service (DDoS)-Angriffen oder auch durch in Deutschland erfolgte Kollateralschäden in Folge von Cyber-SabotageAngriffen im Rahmen des Krieges. Zudem haben Störungen und Angriffe im Bereich der Lieferketten sowohl aus den Bereichen Cybercrime als auch in Folge der Zeitenwende zugenommen. Diese Phänomene treten nicht mehr nur vereinzelt auf, sondern sind Teil des unternehmerischen Alltags geworden. Eine Erhöhung der Resilienz der Wirtschaft gegenüber den Gefahren krimineller oder staatlicher Angriffe ist daher eine zentrale Aufgabe für die beteiligten Akteure in Staat, Wirtschaft und Gesellschaft, um den Wirtschaftsstandort Deutschland und den Binnenmarkt der Europäischen Union insgesamt robust und leistungs- und funktionsfähig zu halten.
Für das Informationssicherheitsmanagement in der Bundesverwaltung haben sich die bisherigen Steuerungsinstrumente auf überwiegend untergesetzlicher Basis als nicht ausreichend effektiv erwiesen, um eine flächendeckend wirksame Steigerung des Sicherheitsniveaus zu erreichen. Dies haben insbesondere Sachstandserhebungen zum Umsetzungsplan Bund sowie Prüfungen des Bundesrechnungshofs (BRH) bestätigt. Vor dem Hintergrund der durch aktuelle geopolitische Entwicklungen („Zeitenwende“) abermals verschärften Bedrohungslage hat sich das Risiko für staatliche Einrichtungen zudem weiter erhöht, durch Gefährdungen aus dem Cyberraum in ihrer Handlungsfähigkeit eingeschränkt zu werden.
Dieser Entwurf steht im Kontext der Bestrebungen der Europäischen Union und ihrer Mitgliedstaaten zur Erhöhung der Wirtschaftssicherheit und Verbesserung der Resilienz als Antwort auf neue geopolitische Rahmenbedingungen. Mit der am 20. Juni 2023 veröffentlichten Europäischen Strategie für wirtschaftliche Sicherheit identifiziert die Europäische Kommission das Risiko für die Sicherheit kritischer Infrastruktur vor physischen und Cyberangriffen als eines von vier Hauptrisiken für die europäische Volkswirtschaft.
Dieser Entwurf steht außerdem im Kontext der gefährdeten rechtzeitigen Erreichung der Ziele der Resolution der Generalversammlung der Vereinten Nationen vom 25. September 2015 „Transformation unserer Welt: die UN-Agenda 2030 für nachhaltige Entwicklung“. Der Entwurf soll insbesondere zur Erreichung des Nachhaltigkeitsziels 9 der UN-Agenda 2030 beitragen, eine hochwertige, verlässliche und widerstandsfähige Infrastruktur aufzubauen.
B. Lösung, Nutzen
Entsprechend der unionsrechtlichen Vorgaben wird der mit dem Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz) vom 17. Juli 2015 (BGBl. I 2015 S. 1324) und dem Zweiten Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz 2.0) vom 18. Mai 2021 (BGBl. I 2021, S. 1122) geschaffene Ordnungsrahmen durch das NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz auf den Bereich bestimmter Unternehmen erweitert, zusätzlich werden entsprechende Vorgaben für die Bundesverwaltung eingeführt. Schwerpunktmäßig werden folgende Änderungen vorgenommen:
– Einführung der durch die NIS-2-Richtlinie vorgegebenen Einrichtungskategorien, die mit einer signifikanten Ausweitung des bisher auf Betreiber Kritischer Infrastrukturen, Anbieter digitaler Dienste und Unternehmen im besonderen öffentlichen Interesse beschränkten Anwendungsbereichs einhergeht.
– Der Katalog der Mindestsicherheitsanforderungen des Artikels 21 Absatz 2 NIS-2- Richtlinie wird in das BSI-Gesetz übernommen, wobei in der Intensität der jeweiligen Maßnahme aus Gründen der Verhältnismäßigkeit zwischen den Kategorien ausdifferenziert wird.
– Die bislang einstufige Meldepflicht bei Vorfällen wird durch das dreistufige Melderegime der NIS-2-Richtlinie ersetzt. Dabei soll der bürokratische Aufwand für die Einrichtungen im Rahmen des bestehenden mitgliedstaatlichen Umsetzungsspielraums minimiert werden.
– Ausweitung des Instrumentariums des Bundesamts für Sicherheit in der Informationstechnik (BSI) im Hinblick auf von der NIS-2-Richtlinie vorgegebene Aufsichtsmaßnahmen.
– Gesetzliche Verankerung wesentlicher nationaler Anforderungen an das Informationssicherheitsmanagement des Bundes und Abbildung der zugehörigen Rollen und Verantwortlichkeiten.
– Harmonisierung der Anforderungen an Einrichtungen der Bundesverwaltung aus nationalen und unionsrechtlichen Vorgaben, um ein insgesamt kohärentes und handhabbares Regelungsregime zu gewährleisten.
– Etablierung eines CISO Bund als zentralem Koordinator für Maßnahmen zur Informationssicherheit in Einrichtungen der Bundesverwaltung und zur Unterstützung der Ressorts bei der Umsetzung der Vorgaben für das Informationssicherheitsmanagement.
Ziel der NIS-2-Richtlinie ist die Einführung verbindlicher Maßnahmen für Verwaltung und Wirtschaft, mit denen in der gesamten Europäischen Union ein hohes gemeinsames Cybersicherheitsniveau sichergestellt werden soll. Wichtige und besonders wichtige Einrichtungen sollen vor Schäden durch Cyberangriffe geschützt und das Funktionieren des europäischen Binnenmarktes verbessert werden. Die Konsequenzen eines Cyberangriffes sind sehr vielfältig und können nicht vollständig quantifiziert werden. So können durch Ransomware-Angriffe Server medizinischer Einrichtungen verschlüsselt werden, was die Aufnahme neuer Notfälle und die ambulante Patientenversorgung tagelang verhindert. Dies etwa sind Risiken und Gefahren für Leib und Leben der Bevölkerung, die nicht in monetären Größen ausgedrückt werden können. Bezogen auf die unmittelbar durch Cyberangriffe verursachten und bezifferbaren Schäden für Unternehmen in Deutschland schätzt der Branchenverband der deutschen Informations- und Telekommunikationsunternehmen (Bitkom e. V.) ein jährliches Gesamtschadensvolumen von rund 223,5 Milliarden Euro für das Jahr 2021. Im Jahr 2022 lag das Gesamtschadensvolumen bei 202,7 Milliarden Euro, im Jahr 2023 bei 205,9 Milliarden Euro und im Jahr 2024 bei 266,6 Milliarden Euro. Im Schnitt verursachen Cyberangriffe für Unternehmen in Deutschland einen jährlichen Gesamtschaden von rund 210,7 Milliarden Euro in den letzten drei Jahren. Dabei hat Bitkom deutsche Unternehmen mit mindestens 10 Beschäftigten und einem Jahresumsatz von mindestens einer Millionen Euro befragt. Im Unternehmensregister des Statistischen Bundesamts waren im Berichtsjahr 2021 insgesamt rund 3,4 Millionen rechtliche Einheiten registriert, davon beschäftigten 444 055 rechtliche Einheiten mindestens 10 Beschäftigte. Unter der Annahme einer Gleichverteilung des Gesamtschadensvolumens auf die Unternehmen mit mindestens 10 Beschäftigten ergibt sich ein Schadensvolumen pro Unternehmen von rund 500 000 Euro (=210,7 Milliarden Euro / 444 055 Unternehmen). Es ist anzunehmen, dass selbst bei einer vollständigen Umsetzung der von der NIS-2-Richtlinie vorgegebenen Sicherheitsstandards nicht alle Schäden durch Cyberangriffe abgewehrt werden können. Nimmt man jedoch an, dass durch die Umsetzung der vorliegenden Vorgaben die Hälfte des jährlich verursachten Schadens in den zur Umsetzung der NIS-2-Richtlinie verpflichteten Unternehmen abgewehrt werden kann, so ergibt sich pro Unternehmen ein abgewehrter Schaden von rund 250 000 Euro. Hochgerechnet auf die voraussichtlich geschätzte Anzahl betroffener Unternehmen bedeutet dies einen abgewehrten Gesamtschaden in Höhe von ca. 3,6 Milliarden Euro (= 250 000 Euro * 14 500 Unternehmen) für die deutsche Wirtschaft. Zusätzlich zu dem hier geschätzten abgewehrten Schaden in Höhe von ca. 3,6 Milliarden bei den Unternehmen muss ebenfalls ein mangels verfügbarer Daten nicht bezifferbarer abgewehrter Schaden in der öffentlichen Verwaltung sowie weitere Schäden mitberücksichtigt werden.
OVG Berlin-Brandenburg
Beschluss vom 18.10.2024
OVG 6 S 37/24
Das OVG Berlin-Brandenburg, dass ein Newsportal einen presserechtlichen Anspruch gegen das Innenministerium auf Auskunft über anwaltliche Geltendmachung von Unterlassungsansprüchen hat.
Die Pressemitteilung des Gerichts: OVG: Innenministerium muss Auskunft erteilen
Der 6. Senat des Oberverwaltungsgerichts Berlin-Brandenburg hat das Bundesministerium des Innern und für Heimat in einem einstweiligen Rechtsschutzverfahren verpflichtet, dem Betreiber eines Online-Nachrichtenportals Auskunft zu erteilen, gegen welche Person es im Jahr 2022 mit einem anwaltlichen Unterlassungsbegehren vorgegangen ist und wie die beanstandete Äußerung lautete.
Nach Auffassung des Senats hat der Betreiber des Online-Nachrichtenportals einen verfassungsunmittelbaren presserechtlichen Auskunftsanspruch. Das Portal sei ein im Internet frei zugängliches, audiovisuelles und journalistisch-redaktionell gestaltetes Angebot. Deshalb sei es im Hinblick auf den Auskunftsanspruch der Presse oder dem Rundfunk im funktionalen Sinn gleichzustellen. Zudem bestehe hinsichtlich des in Rede stehenden Auskunftsbegehrens ein gesteigertes öffentliches Interesse und ein Aktualitätsbezug, die eine Vorwegnahme der Hauptsache rechtfertigten. Der Antragsteller habe hinreichend dargelegt, dass es sich beim Vorgehen der Bundesregierung gegen regierungskritische Presseberichterstattung mit Hilfe externer Anwaltskanzleien um ein neues Phänomen handele, an dem ein großes Interesse der Öffentlichkeit bestehe.
Das OVG Münster hat entschieden, dass ein Ministerium bzw. eine Behörde bei einer IFG-Anfrage über fragdenstaat.de nicht standardmäßig die Angabe der Postanschrift des Antragstellers verlangen darf.
Die Pressemitteilung des Gerichts: Standardmäßige Erhebung der Postanschrift des Antragstellers bei IFG-Antrag über „fragdenstaat.de“ unzulässig
Das Bundesministerium des Innern und für Heimat (BMI) darf nicht standardmäßig die Angabe der Postanschrift des Antragstellers verlangen, der über die Internetplattform „fragdenstaat.de“ einen Antrag auf Informationszugang nach dem Informationsfreiheitsgesetz (IFG) stellt. Dies hat das Oberverwaltungsgericht mit heute verkündetem Urteil entschieden und die vorangegangene Entscheidung des Verwaltungsgerichts Köln geändert.
Ein Bürger stellte mittels einer von der Internetplattform „fragdenstaat.de“ generierten, nicht personalisierten E-Mail-Adresse beim BMI einen Auskunftsantrag nach dem IFG. Das Ministerium forderte ihn dazu auf, seine Postanschrift mitzuteilen, da andernfalls der verfahrensbeendende Verwaltungsakt nicht bekanntgegeben und das Verfahren nicht ordnungsgemäß durchgeführt werden könne. Aufgrund dessen sprach der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) eine datenschutzrechtliche Verwarnung gegenüber dem BMI aus. Das Verwaltungsgericht Köln gab der dagegen gerichteten Klage des BMI statt und hob die Verwarnung auf. Die Berufung des BfDI hatte nun Erfolg.
Zur Begründung hat der 16. Senat des Oberverwaltungsgerichts ausgeführt: Die Verwarnung des Ministeriums durch den BfDI ist rechtmäßig. Die Erhebung der Postanschrift war im Zeitpunkt der Datenverarbeitung für die vom BMI verfolgten Zwecke nicht erforderlich. Weder aus den maßgeblichen Vorschriften des IFG noch aus den Grundsätzen des Allgemeinen Verwaltungsrechts geht hervor, dass ein Antrag nach dem IFG stets die Angabe einer Postanschrift erfordert. Anhaltspunkte dafür, dass eine Datenerhebung im vorliegenden Einzelfall erforderlich war, liegen ebenfalls nicht vor.
Das Oberverwaltungsgericht hat wegen grundsätzlicher Bedeutung die Revision zum Bundesverwaltungsgericht zugelassen.
In einem weiteren, auf einem vergleichbaren Sachverhalt beruhenden Verfahren hatten der BfDI und die beigeladene Open Knowledge Foundation, die die Internetplattform „fragdenstaat.de“ betreibt, mit ihren Berufungen hingegen keinen Erfolg. Der BfDI hatte dem BMI die datenschutzrechtliche Anweisung erteilt, in Verfahren nach dem IFG über die vom Antragsteller übermittelten Kontaktdaten hinaus nur noch dann zusätzliche personenbezogene Daten zu verarbeiten, wenn ein Antrag ganz oder teilweise abzulehnen sein wird oder wenn Gebühren zu erheben sind. Wie schon das Verwaltungsgericht Köln hielt auch das Oberverwaltungsgericht mit heute verkündetem Urteil diese Anweisung für rechtswidrig - allerdings aus anderen Gründen: Der streitgegenständliche Bescheid weist jedenfalls einen zu weitreichenden Regelungsgehalt auf, weil er eine Datenverarbeitung auch für die Fälle verbietet, in denen sie ausnahmsweise gerechtfertigt sein könnte.
In diesem Verfahren hat das Oberverwaltungsgericht die Revision nicht zugelassen. Dagegen ist Beschwerde möglich, über die das Bundesverwaltungsgericht entscheidet.
Es liegt eine neue Version - Stand 19.11.2020 - des Referentenentwurfes eines Zweiten Gesetzes zur Erhöhung der Sicherheit informationstechnischer Systeme - IT-Sicherheitsgesetz 2.0 – IT-SiG 2.0 vor.
Es liegt der Referentenentwurf eines Zweiten Gesetzes zur Erhöhung der Sicherheit informationstechnischer Systeme - IT-Sicherheitsgesetz 2.0 – IT-SiG 2.0 vor.
