Skip to content

OVG Münster: Allgemeinverfügung des Bundesamtes für die Sicherheit in der Informationstechnik (BSI) zur Einbauverpflichtung für intelligente Messsysteme (Stromzähler) vorläufig außer Kraft

OVG Münster
Beschluss vom 04.03.2021
21 B 1162/20


Das OVG Münster hat entschieden, dass die Allgemeinverfügung des Bundesamtes für die Sicherheit in der Informationstechnik (BSI) zur Einbauverpflichtung für intelligente Messsysteme (Stromzähler) vorläufig außer Kraft gesetzt wird.

Die Pressemitteilung des Gerichts:

Oberverwaltungsgericht stoppt vorläufig Einbauverpflichtung für intelligente Messsysteme (Stromzähler)

Das Oberverwaltungsgericht hat mit heute bekannt gegebenem Eilbeschluss vom 4. März 2021 die Vollziehung einer Allgemeinverfügung des Bundesamtes für die Sicherheit in der Informationstechnik (BSI) mit Sitz in Bonn ausgesetzt. Mit dieser Allgemeinverfügung hat das BSI festgestellt, dass es technisch möglich ist, Messstellen für Stromverbrauch und -erzeugung mit intelligenten Messsystemen (Smart-Meter-Gateways) auszurüsten. Diese Feststellung beruht auf der Annahme, dass inzwischen auf dem Markt bestimmte, von verschiedenen Herstellern entwickelte intelligente Messsysteme verfügbar sind, die den gesetzlichen Anforderungen in Bezug auf Sicherheit und Interoperabilität (Funktionalität) genügen. Die Feststellung der technischen Möglichkeit löste bundesweit zum einen für Messstellenbetreiber (insbesondere Stadtwerke) die Pflicht aus, ihre Messstellen innerhalb gewisser Zeiträume mit diesen intelligenten Messsystemen auszurüsten. Zum anderen bewirkte die Feststellung faktisch ein Verwendungsverbot für andere Messsysteme.

Nunmehr hat das Oberverwaltungsgericht im einstweiligen Rechtsschutzverfahren auf die Beschwerde eines privaten Unternehmens aus Aachen, das auch andere Messsysteme vertreibt, die Vollziehung der Allgemeinverfügung ausgesetzt. Das hat zur Folge, dass nun vorläufig weiterhin andere Messsysteme eingebaut werden dürfen. Bereits - möglicherweise auch in Privathaushalten - verbaute intelligente Messsysteme müssen nicht ausgetauscht werden.

Zur Begründung hat der 21. Senat im Wesentlichen ausgeführt: Die Allgemeinverfügung mit der Feststellung der technischen Möglichkeit der Ausrüstung von Messstellen mit intelligenten Messsystemen sei voraussichtlich rechtswidrig. Die am Markt verfügbaren intelligenten Messsysteme genügten nicht den gesetzlichen Anforderungen. Sie seien hinsichtlich der Erfüllung der im Messstellenbetriebsgesetz (MsbG) und in Technischen Richtlinien normierten Interoperabilitätsanforderungen nicht, wie gesetzlich vorgeschrieben, zertifiziert. Diese Messsysteme könnten auch nicht zertifiziert werden, weil sie die Interoperabilitätsanforderungen nicht erfüllten. Dass sie den Anforderungen der Anlage VII der Technischen Richtlinie TR-03109-1 des BSI genügten, reiche nicht. Die Anlage VII sei nicht formell ordnungsgemäß zustande gekommen, weil die vorgeschriebene Anhörung des Ausschusses für Gateway-Standardisierung nicht erfolgt sei. Die Anlage VII sei auch materiell rechtswidrig, weil sie hinsichtlich der Interoperabilitätsanforderungen hinter den gesetzlich normierten Mindestanforderungen zurückbleibe. Bestimmte Funktionalitäten, die intelligente Messsysteme nach dem Messstellenbetriebsgesetz zwingend erfüllen müssten, sehe die Anlage VII nicht vor. Dies habe unter anderem zur Konsequenz, dass Betreiber von Stromerzeugungsanlagen, die nach dem Gesetz mit intelligenten Messsystemen auszurüsten seien, nicht ausgestattet werden könnten. Die dem BSI zustehende Kompetenz, Technische Richtlinien entsprechend dem technischen Fortschritt abzuändern, gehe nicht so weit, dadurch gesetzlich festgelegte Mindestanforderungen zu unterschreiten. Seien die dortigen Mindestanforderungen nicht erfüllbar, müsse der Gesetzgeber tätig werden.

Der Beschluss des 21. Senats ist unanfechtbar. Das Hauptsacheverfahren (Klage gegen die Allgemeinverfügung) ist noch beim Verwaltungsgericht Köln unter dem Aktenzeichen 9 K 3784/20 anhängig. Zudem sind beim 21. Senat noch etwa 50 gleich gelagerte Beschwerdeverfahren von Messstellenbetreibern (insbesondere Stadtwerken) anhängig, in denen der Senat in Kürze entscheiden wird.

Aktenzeichen: 21 B 1162/20 (I. Instanz: VG Köln 9 L 663/20)




BSI veröffentlicht Lagebericht zur IT-Sicherheit in Deutschland 2017

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat den Lagebericht zur IT-Sicherheit in Deutschland 2017 veröffentlicht.

Den vollständigen Lagebericht finden Sie hier:
BSI - Die Lage der IT-Sicherheit in Deutschland 2017

Die Pressemitteilung des BSI:

Die Lage der IT-Sicherheit in Deutschland 2017

Der Bericht zur Lage der IT-Sicherheit in Deutschland beschreibt und analysiert die aktuelle IT-Sicherheitslage, die Ursachen von Cyber-Angriffen sowie die verwendeten Angriffsmittel und -methoden, auch anhand konkreter Beispiele und Vorfälle. Daraus abgeleitet thematisiert der Lagebericht Lösungsansätze zur Verbesserung der IT-Sicherheit in Deutschland.

Der Lagebericht des BSI verdeutlicht eine neue Qualität der Gefährdung: Die zunehmende Digitalisierung und Vernetzung durch Entwicklungen wie dem Internet der Dinge, Industrie 4.0 oder Smart Everything bieten Cyber-Angreifern fast täglich neue Angriffsflächen und weitreichende Möglichkeiten, Informationen auszuspähen, Geschäfts- und Verwaltungsprozesse zu sabotieren oder sich anderweitig auf Kosten Dritter kriminell zu bereichern. Angreifer verfügen über leistungsfähige und flexibel einsetzbare Angriffsmittel und -methoden. Gleichzeitig verlieren bisherige klassische Abwehrmaßnahmen weiter an Wirksamkeit. Im Fokus der Angriffe stehen Unternehmen und Kritische Infrastrukturen ebenso wie Verwaltung, Forschungseinrichtungen und Bürger.

Die Cyber-Angriffe mit Erpressungs-Software (Ransomware) oder gezielte Angriffe auf den "Faktor Mensch" (CEO-Fraud) haben deutlich gemacht, welche Konsequenzen diese Entwicklungen haben und wie verwundbar eine digitalisierte Gesellschaft ist.

Der Lagebericht des BSI macht deutlich, dass sich die Frage der Sicherheit der eingesetzten Informationstechnik nicht mehr nur nebenbei stellt. Sie stellt sich auch nicht länger nur einem eingeweihten Kreis der IT-Spezialisten. Vielmehr ist die Cyber-Sicherheit wesentliche Voraussetzung für das Gelingen der Digitalisierung in Deutschland. Das BSI arbeitet mit verschiedenen Akteuren aus Staat, Wirtschaft und Gesellschaft gemeinsam daran, den Risiken wirksame und umsetzbare Sicherheitsmaßnahmen entgegenzusetzen und die Widerstandsfähigkeit Deutschlands gegen Cyber-Gefahren zu erhöhen .


BSI: Mindestens 1000 deutsche Online-Shops auf Magento-Basis von Online-Skimming betroffen - Sicherheitslücke in veralteter Version

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat mitgeteilt, dass mindestens 1000 deutsche Online-Shops auf Magento-Basis von Online-Skimming betroffen sind. Ursache sind Sicherheitslücken in einer veralteten Version, die im Oktober 2016 bekanntgegeben wurden. Grundsätzlich ist der Betreiber eines Online-Shops verpflichtet alle zumutbare Maßnahmen zu ergreifen, um Schäden von seinen Kunden zu verhindern und die die gespeicherten personenbezogenen Daten zu schützen. Tut er dies nicht, so drohen Schadensersatzansprüche und Ordnungsgelder.


Online-Skimming: 1.000 deutsche Online-Shops betroffen

Dem Bundesamt für Sicherheit in der Informationstechnik (BSI) liegen Informationen vor, nach denen aktuell mindestens 1.000 deutsche Online-Shops von Online-Skimming betroffen sind. Dabei nutzen Cyber-Kriminelle Sicherheitslücken in veralteten Versionen der Shopsoftware, um schädlichen Programmcode einzuschleusen. Dieser späht dann beim Bestellvorgang die Zahlungsinformationen der Kunden aus und übermittelt sie an die Täter. Betroffen sind Online-Shops, die auf der weit verbreiteten Software Magento basieren.

Der eingeschleuste Code und der damit verbundene Datenabfluss ist für Nutzer üblicherweise nicht erkennbar. Über den Umfang der über diese Angriffe bereits abgeflossenen Zahlungsdaten liegen dem BSI zur Zeit keine Erkenntnisse vor.

Basierend auf einer von einem Entwickler von Sicherheitstools für Magento durchgeführten Analyse wurden bereits im September 2016 weltweit knapp 6.000 von Online-Skimming betroffene Online-Shops identifiziert, darunter auch mehrere hundert Shops deutscher Betreiber. CERT-Bund benachrichtigte daraufhin die jeweils zuständigen Netzbetreiber in Deutschland zu betroffenen Online-Shops. Aktuellen Erkenntnissen zufolge wurde diese Infektion von vielen Betreibern bis heute nicht entfernt oder die Server wurden erneut kompromittiert. Die von den Angreifern ausgenutzten Sicherheitslücken in Magento wurden von den Shop-Betreibern trotz vorhandener Softwareupdates offenbar nicht geschlossen. Dies ermöglicht Cyber-Kriminellen, weiterhin Zahlungsdaten und andere bei Bestellungen eingegebene persönliche Daten von Kunden auszuspähen. Die Anzahl aktuell bekannter betroffener Online-Shops in Deutschland ist dadurch auf mindestens 1.000 angestiegen.

Das CERT-Bund des BSI hat heute erneut die jeweils zuständigen Netzbetreiber in Deutschland zu betroffenen Online-Shops in ihren Netzen informiert und bittet Provider, die Informationen an ihre Kunden (Shop-Betreiber) weiterzuleiten.

"Leider zeigt sich nach wie vor, dass viele Betreiber bei der Absicherung ihrer Online-Shops sehr nachlässig handeln. Eine Vielzahl von Shops läuft mit veralteten Software-Versionen, die mehrere bekannte Sicherheitslücken enthalten", erklärt BSI-Präsident Arne Schönbohm. "Die Betreiber müssen ihrer Verantwortung für ihre Kunden gerecht werden und ihre Dienste zügig und konsequent absichern."

Nach § 13 Absatz 7 TMG sind Betreiber von Online-Shops verpflichtet, ihre Systeme nach dem Stand der Technik gegen Angriffe zu schützen. Eine grundlegende und wirksame Maßnahme hierzu ist das regelmäßige und rasche Einspielen von verfügbaren Sicherheitsupdates.

Das BSI weist an dieser Stelle darauf hin, dass die Verpflichtung zur Absicherung von Systemen nicht nur für Unternehmen, sondern auch für alle anderen geschäftsmäßigen Betreiber von Websites gilt. Darunter fallen zum Beispiel auch Websites von Privatpersonen oder Vereinen, wenn mit deren Betrieb dauerhaft Einnahmen generiert werden sollen. Dies wird bereits dann angenommen, wenn auf Websites bezahlte Werbung in Form von Bannern platziert wird.

Betreiber von Online-Shops auf Basis von Magento können mit dem kostenfreien Dienst MageReport überprüfen, ob ihr Shop-System bekannte Sicherheitslücken aufweist und von den aktuellen Angriffen betroffen ist. Zu jedem erkannten Problem werden detaillierte Informationen zu dessen Behebung bereitgestellt.




BSI: Entwurf des neuen Risikomanagement-Standards 200-3 - Modernisierungsprozess des IT-Grundschutzes

Das BSI hat den Entwurf des neuen Risikomanagement-Standards 200-3 - Modernisierungsprozess des IT-Grundschutzes veröffentlicht.

BSI veröffentlicht Entwurf des neuen Risikomanagement-Standards

Im Rahmen des 3. IT-Grundschutz-Tags 2016 hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) auf der IT-Sicherheitsmesse it-sa in Nürnberg den ersten neuen BSI-Standard vorgestellt, der aus dem Modernisierungsprozess des IT-Grundschutzes hervorgegangen ist.

In dem neuen Risikomanagement-Standard 200-3 sind erstmals alle risikobezogenen Arbeitsschritte bei der Umsetzung des IT-Grundschutzes gebündelt in einem Dokument dargestellt. Anwender können dadurch mit einem deutlich reduzierten Aufwand das angestrebte Sicherheitsniveau erreichen. Die Risikoanalyse aus dem bisherigen BSI-Standard 100-3 wurde in ein vereinfachtes Gefährdungsmodell überführt.

Der neue Standard wird zunächst als Community Draft veröffentlicht, damit auch Anwender ihre Anregungen und Hinweise in die Weiterentwicklung des IT-Grundschutzes einbringen können. Er bietet sich an, wenn Unternehmen oder Behörden bereits erfolgreich mit der IT-Grundschutz-Methodik arbeiten und möglichst direkt eine Risikoanalyse an die IT-Grundschutz-Analyse anschließen möchten.

Hierzu erklärt Arne Schönbohm, Präsident des BSI: "Infolge der Digitalisierung nimmt die Komplexität der IT und damit auch die Abhängigkeit von Staat, Wirtschaft und Gesellschaft von IT stetig zu. Cyber-Sicherheit und ein umfassendes Risikomanagement sind entscheidende Kriterien für eine erfolgreiche Digitalisierung, insbesondere in Verwaltung und Wirtschaft. Der IT-Grundschutz und der neue BSI-Standard zum Risikomanagement sind eine wichtige Grundlage, um Gefährdungspotentiale zu untersuchen, realistisch zu bewerten und mögliche Risiken angemessen zu behandeln. Dazu gehört, einen soliden Prozess zur Risikoentscheidung aufzusetzen."