Mint az IT-biztonsági törvény 2

Új törvénytervezet egy olyan biztonsági címke bevezetése, amely megmutatja a felhasználóknak, hogy mely informatikai termékekhez tudnak aggodalom nélkül hozzáférni.

it-biztonsági

Hosszú ideig igaz volt, hogy az informatikai rendszerek biztonságos vagy gyenge biztonsága az üzemeltetőn múlik. A politika nagyrészt kívül maradt. Az IT-biztonsági törvény csak 2015-ben kezdett a „kritikus infrastruktúrákra”, vagyis a fontos közéleti jelentőségű rendszerekre összpontosítani. E törvény (IT-SiG 2.0) felülvizsgálata sokkal tovább megy, amint azt a szövetségi kormány 2020 májusa óta rendelkezésre álló miniszteri tervezete mutatja: A törvényi előírások ma már számos társaságot érintenek. A fogyasztók informatikai piacát is szabályozni kell - de egyelőre önkéntes alapon.

A szövetségi kormány egy „egységes informatikai biztonsági címkét” akar létrehozni az állampolgárok védelme érdekében, „ami először láthatóvá teszi a termékek informatikai biztonságát”. Ennek lehetővé kell tennie a "tájékozott vásárlási döntést". A fontos címkét a termékeken vagy azok csomagolásán helyezik el. QR-kódot tartalmaz, amely a termékkel kapcsolatos jelenlegi biztonsági információk előhívására szolgál a Szövetségi Információbiztonsági Hivatal (BSI) honlapján.

Fogyasztóvédelem címkézéssel?

Még mindig nem világos, hogyan kell egy ilyen címkét részletesen megvalósítani. Ami sok más szabályozást illeti, a tervezet hivatkozik a még megalkotásra váró törvényi rendeletre is. Egyértelmű azonban, hogy az eszközgyártóknak be kell nyújtaniuk a címke használatára vonatkozó kérelmet az ÁME-hez. Mindenesetre ez az iroda lesz a támpont az informatikai szektor szabályozásához a jövőben. A fogyasztóvédelem az egyik újonnan hozzáadott feladata.

A címke megszerzéséhez a pályázóknak dokumentumokat kell benyújtaniuk, amelyek bizonyítják a termék ígért informatikai biztonsági tulajdonságait. Ha a BSI jóváhagyja az alkalmazást, a termékeken fel lehet tüntetni az IT biztonsági címkét. Ezt követően is az irodának véletlenszerű minták segítségével ellenőriznie kell, hogy a gyártó vagy az importőr továbbra is megfelel-e a törvényi előírásoknak.

Ezek a tervek a Bitkom e kritikájával találkoznak. V. Noha elvileg üdvözli az informatikai biztonsági címkét, legalábbis az európai megközelítést ésszerűbbnek tartja, mint a tisztán nemzeti szabályozást a nemzetközi piacon. Ezenkívül az egyesület szerint fennáll annak a kockázata, hogy a fogyasztók hosszú távon biztonságban érzik magukat pusztán azáltal, hogy megvásárolnak egy ilyen módon címkézett eszközt. A felhasználóknak azonban tisztában kell lenniük azzal, hogy azok helyes használatától függ, például a frissítések telepítésétől.

Állami gyártói ellenőrzés

A jövőben az informatikai gyártókat az állam egésze segíti. Itt is, mint sok más intézkedésnél, a BSI központi szerepet játszik: A kritikus infrastruktúrák ("KRITIS") területén bekövetkező jelentős zavarok esetén az irodának képesnek kell lennie arra, hogy többek között a termékgyártóktól információkat kérjen a műszaki részletekről.

A BSI ezután nemcsak felhasználhatja ezt és az abból nyert ismereteket, hanem továbbadhatja azokat más hatóságoknak és szervezeti egységeknek, amennyiben ez a feladatok ellátásához szükséges. A törvénytervezet nem veszi figyelembe, hogy a rendkívül érzékeny üzleti információk is érintettek lehetnek.

A "KRITIS" üzemeltetőknek be kell nyújtaniuk az összes lényeges informatikai termékük listáját az ÁME-nek. Az iroda felhasználhatja ezeket az információkat adatbázis létrehozására - ez rendkívül érzékeny, mert felsorolja az összes lehetséges sebezhetőséget és a megfelelő támadási vektorokat is. A tervezet még ennél is tovább megy: megtiltja az olyan kritikus alkatrészek használatát, amelyek „megbízhatatlan gyártóktól” származnak. Az ilyen alkatrészek (tiltott) működéséről be kell jelenteni a Szövetségi Belügyminisztériumot (BMI). A gyártó akkor tekinthető megbízhatónak, ha „garanciát” adott ki. Megfelelő bizonyítékot kell szolgáltatnia arra, hogy a termék biztonságos. Az, hogy ezt hogyan kell részletesen megtenni, még mindig teljesen nyitott - ahogy az a kérdés is, hogy nyílt forráskódú és nemzetközi beszállítók idején is lehetséges-e egyértelmûen ilyen bizonyítás?.

A törvénytervezet összehasonlító szabályozásokat is előír a távközlési ágazatra vonatkozóan. Ezt a megközelítést "Lex Huawei" -nek becézték a megbeszélés során. Ez arra utal, hogy a kínai szolgáltató szerepet játszik az 5G mobilhálózatok kiépítésében. A "KRITIS" üzemeltetőkre vonatkozó követelmények nem a magánszemélyek által használt informatikai berendezésekre vonatkoznak, hanem csak a vállalati infrastruktúrára. Pontosan itt rejlik az IT-SiG 2.0 fő feladata.

Több szabályozás az alapvető dolgokra

Elsősorban a vállalatok és szolgáltatások informatikáját kívánja a korábbinál erősebben szabályozni, ettől függ a közösség működése. A BSI törvény meghatározza, hogy mely intézményeket érinti pontosan. Eszerint a "KRITIS" követelmények csak azokra a "létesítményekre, rendszerekre vagy azok részeire" vonatkoznak, amelyek az energia, az informatika és a telekommunikáció, a közlekedés és a közlekedés, az egészségügy, a víz, a táplálkozás, valamint a pénzügyi és biztosítási ágazathoz tartoznak. Ezen túlmenően: "ha nem sikerül vagy ha károsodnak, fenn kell állnia az ellátás jelentős szűk keresztmetszeteinek vagy a közbiztonságot fenyegető veszélynek".

Az említett területeken vannak olyan törvényi rendeletek, amelyek részletesebben elmagyarázzák, hogy kire vonatkoznak a követelmények. Az ellátás mértékét az egyes rendszerkategóriák küszöbértékei alapján határozzák meg. A küszöb általában 500 000 ember.

A létfontosságú infrastruktúrák szolgáltatói már kötelesek informatikai rendszereiket a jelenlegi fejlettségnek megfelelően üzemeltetni, rendszeresen ellenőrizni és korszerűsíteni. A biztonsági előírások itt meghatározó szerepet játszanak. Ez vonatkozik például az alapvető informatikai védelemre és az ISO szabványokra, például a BSI által meghatározott 27001-re, de az ágazatspecifikus követelményekre is. A cél a műszaki berendezésekhez és adatokhoz való illetéktelen hozzáférés, valamint a meghibásodások megakadályozása. A biztonsági eseményeket be kell jelenteni a BSI-nek. Az iroda a jelentésekből nyert ismereteket az üzemeltetők rendelkezésére bocsátja, és ezzel megteremti az előzetes figyelmeztető intézkedések feltételeit.

Új "kritikus" területek

Az IT-SiG 2.0 most a létesítmények és a vállalatok teljesen új kategóriáit határozza meg. Ezekhez hasonló kötelezettségeket kell alkalmazni, mint a már meglévő "KRITIS" üzemeltetőkre. Ezért sok vállalat szembesül jelentős új informatikai követelményekkel, ami nem utolsósorban magas költségeket jelent.

A törvénytervezet a „különleges közérdekű társaság” kifejezést átveszi a német informatikai biztonsági törvénybe. Ezek a vállalatok nem az előző meghatározás értelmében "KRITIS" szolgáltatók. Ugyanakkor olyan termékeket fejlesztenek vagy gyártanak, amelyek a katonaság vagy az állambiztonság szempontjából relevánsak. Vagy gazdasági jelentőségük és az általuk létrehozott hozzáadott érték miatt a figyelem középpontjában állnak. Ez például a nagy DAX vállalatokat érintheti, amelyek megfelelő üzleti működése több ezer munkahelytől és sok ellátási lánctól függ. Azok a vállalatok, amelyekre a veszélyes anyagokkal szembeni védelemről szóló rendelet értelmében szabályozás vonatkozik, szintén az új kategóriákba tartoznak.

Ezenkívül a biztonsági előírások megsértésének sok pénzbe kell kerülnie: Az IT-SiG 2.0 a bírságok kereteit a GDPR-hez igazítja. Ez azt jelenti, hogy a törvény megsértése esetén legfeljebb 20 millió euró, vagyis a vállalat előző pénzügyi év globális értékesítésének legfeljebb négy százaléka esedékes.

A tervezet azonban korántsem egyértelművé teszi, hogy mi is az a "különleges közérdekű társaság". Mint a túl sok kérdés, ez a kérdés is egyelőre nyitva marad - a Szövetségi Belügyminisztérium (BMI) törvényi rendeletének válaszolnia kell rá. Teljesen logikus, az aktualitás okán, hogy nem minden numerikus vagy technikai követelményt szabályoz a törvény. Ha ily módon a sürgősen meghatározandó kérdéseket valamikor a törvény elfogadását követően egy szakaszba tolják, ez következményekkel jár az ipari szektorokra és a szabályozásra jogosult vállalatokra. Már korai szakaszban jogbiztonságra van szüksége, hogy az új szabályozás pontosan kiket érint, és mit kell tennie.

Még azoknak is jelentős erőfeszítéssel kell számolniuk az új rendeletek végrehajtásában, akiket korábban "KRITIS" üzemeltetőnek tekintettek. A tervezet arra kötelezi ezeket a vállalatokat, hogy vezessenek be folyamatokat a munkavállalók megbízhatóságának ellenőrzésére a különösen a biztonság szempontjából érzékeny területeken.

Ezenkívül a "technika állása" szerint az informatikai biztonságnak a jövőben magában kell foglalnia a "támadást észlelő rendszerek" használatának kötelezettségét is. A tervezet szerint ez „technikai eszközökkel és szervezeti integrációval támogatott folyamatokat tartalmaz az informatikai rendszerek elleni támadások észlelésére”. A működési módot illetően ez áll: "A támadás észlelését úgy végezzük, hogy összehasonlítjuk az informatikai rendszerben feldolgozott adatokat a támadásokra utaló információkkal és technikai mintákkal". A BSI-nek képesnek kell lennie a vonatkozó műszaki irányelvek (BSI-TR) kidolgozására ebben az összefüggésben. Nem világos, hogy milyen kapcsolat áll fenn a biztonság szempontjából releváns egyéb műszaki normákkal és szabványokkal, például az ISO előírásokkal.

Szintén adatvédelmi szempontból nem kis jelentőségű a támadást észlelő rendszerek kötelező használata. A tervezet de facto lehetővé teszi a vállalatok számára, hogy megőrizzék magánadat-megőrzésüket: az ilyen rendszerekkel kapcsolatos adatokat az üzemeltetők legfeljebb tíz évig tárolhatják, és egyedi esetekben a bűnüldöző hatóságokhoz is továbbíthatják.

Több teljesítmény a BSI számára

Az IT-SiG 2.0 ismét hozzájárul ahhoz, hogy a BSI egyfajta szuper ügynökséggé váljon az IT biztonság terén. A kormány azon törekvése, hogy ezt a területet a korábbiaknál átfogóbb módon értse meg, a BSI hatásköreinek és személyzetének jelentős növekedését eredményezte. Csak az IT-SiG 2.0 által végrehajtott változtatásokat össze kell kapcsolni 583 új álláshely létrehozásával a bonni hatóságnál.

A BSI nem csak jelentési pont lesz a "KRITIS" kérdésekben. A korábbi német és európai jogszabályok már előírják, hogy a kiberrohamok megelőzését, felderítését és védelmét szolgáló információcsere összehangolt és transznacionális. A BSI feladata központi gyűjtőhelyként az informatikai biztonsági kockázatokkal kapcsolatos információk fogadása és értékelése a lehető legkülönbözőbb forrásokból annak érdekében, hogy kidolgozhassák az informatikai biztonsági helyzetre vonatkozó átfogó tervet - az úgynevezett helyzetjelentést. Ennek alapján a vállalatokat vagy a nagyközönséget figyelmeztethetik például biztonsági hiányosságokra és rosszindulatú programokra.

"Az új törvény a biztonság megsértése miatt kiszabott bírságok körét a GDPR-hez igazítja."

A kritikusok arra panaszkodnak, hogy a hatóság által tárolt adatok rendkívül érzékenyek. Mennyire vannak biztonságban azok adatai, akik információt továbbítanak a BSI-nek? Az adatvédelemmel kapcsolatos aggodalmak egyre növekszenek, mert a jövőben a BSI-nek saját hatáskörét kell kapnia a távközlési törvényekben. Hozzáférhet például a távközlési szolgáltatók által tárolt ügyféladatokhoz. Ez magában foglalja a telefonszámokat, a csatlakozási azonosítókat, a résztvevők nevét és címét, valamint a mobiltelefon-szerződésekre vonatkozó „nemzetközi mobileszköz-azonosítót” (IMEI). Eddig a tájékoztatás ilyen kiterjedt jogai a rendőrségre és a bűnüldöző szervekre korlátozódtak.

Az állampolgárok és a vállalatok jogait különösen érinti a BSI felhatalmazása a szövetségi kommunikációs technológia működése során keletkező naplóadatok mentésére. Ezeket az adatokat már összegyűjthetik és automatikusan kiértékelhetik, ha ez informatikai biztonsági célokra szükséges. Az IT-SiG 2.0 segítségével ennek a jogosultságnak a kiterjesztése tárgyalás alatt áll: A naplóadatokat nem csak addig szabad engedélyezni, amíg az értékelésükhöz szükséges, de legfeljebb 18 hónapig. Ezek az adatok minden bizonnyal tartalmazhatnak személyes adatokat. A törvény által előírt álnevesítés ezen nem változtat.

Feladatainak teljesítése érdekében a törvénytervezet szerint a BSI-nek a jövőben képesnek kell lennie arra, hogy „intézkedéseket hajtson végre a rosszindulatú programok, a biztonsági hiányosságok és egyéb biztonsági kockázatok észlelésére a nyilvánosan hozzáférhető informatikai rendszerekben”. Ennek előfeltétele, hogy "a tények igazolják azt a feltételezést, hogy védtelenek, és veszélybe kerülhet a biztonságuk vagy a funkcionalitásuk". Az informatikai rendszert akkor kell „nem védettnek” tekinteni, ha nyilvánosan ismert biztonsági hiányosságai vannak, vagy ha a megtett biztonsági intézkedések nyilvánvalóan nem megfelelőek ahhoz, hogy a rosszindulatú felek hozzáférhessenek hozzá.

Hivatalos kockázatkutatás során a BSI "rosszindulatú programok és egyéb támadási módszerek összegyűjtése és kiértékelése céljából felhasználhatja a támadók sikeres támadását szimuláló rendszereket és folyamatokat". Ez azt jelenti, hogy az irodának nemcsak kikötői átvizsgálást kell végeznie, hanem mézes edényeket és süllyesztőket is működtetnie. Végül is az IT rendszerekbe történő aktív behatolást továbbra sem tervezik. Ha az említett technikai eljárások alkalmazásával valóban gyenge pontokat észlelnek, a BSI-nek tájékoztatnia kell az informatikai rendszerért felelős személyt vagy a felelős üzemeltetőt.

Nem független hatóság

Az egyik olyan feladat, amelyet a hivatalnak a jövőben meg kell kapnia, az a hatáskörök megadása, hogy megfelelőségértékelő testületként működjön az informatikai biztonság területén. Ezen túlmenően a szövetségi kormány nagy valószínűséggel megnevezi a BSI-t a kiberbiztonsági tanúsítás nemzeti hatóságának az EU kiberbiztonsági törvényével (CSA) összhangban. Az ilyen fontos hivatal nem független, hanem a szövetségi belügyminisztérium alá tartozik. Ez a minisztérium azonban olyan hatóságokat is irányít, mint a Szövetségi Alkotmányvédelmi Hivatal, a Szövetségi Bűnügyi Rendőrség Hivatala és a Szövetségi Rendőr-főkapitányság. Ha valaki komolyan akarja venni az informatikai biztonság témáját, akkor a BMI-től független BSI-t kell előírni, mint az azonos rangú legfelsőbb szövetségi hatóságot. Erről jelenleg még vita folyik. Nagyon világos azonban, hogy legalább az IT-SiG 2.0 még nem hoz ilyen függetlenséget.

Európai szinten előrelátható, hogy a BSI hatalmas hatáskör-összekapcsolása konfliktusokat fog eredményezni a GDPR-rel és az elektronikus azonosításról és a belső piaci elektronikus tranzakciókhoz kapcsolódó bizalmi szolgáltatásokról szóló uniós rendelettel (eIDAS-VO). Akár belső összeférhetetlenségek is lehetnek: Hogyan lehet a BSI egyrészt informatikai nyomozó hatóság, amely aktívan felfedezi a gyengeségeket, másrészt esetleg maga is hitelesítette a kérdéses rendszereket?

Sok anyag érvekhez

Az IT-SiG 2.0-ról szóló törvénytervezet megmutatja, hogy az elkövetkező években a politikusok akarata szerint mely irányt kellene megtenni Németországban és Európában. Az út az állam által előírt biztonság irányába vezet a bürokratikus receptek szerint. A rendeleteknek a legapróbb részletekig kell szabályozniuk a műszaki feltételeket. A fogyasztók most is érzik a hatásokat: Különösen a magánszemélyek informatikai piacán fontos szerepet játszik az odaítélendő új biztonsági pecsét. Végül, de nem utolsósorban, ez az út befolyásolja a szuverenitást a saját informatikai infrastruktúrája felett. Valóban az átfogó, jobb informatikai biztonság céljához vezet? Kétségek megengedettek. (juke)