DA+

Aufsatz : Das IT-Sicherheitsgesetz: purer Aktionismus oder doch mehr IT-Sicherheit? : aus der RDV 4/2015, Seite 167 bis 171

Lesezeit 14 Min.

Während in Deutschland seit über 40 Jahren Datenschutz detailliert geregelt ist, fehlen explizite gesetzliche Vorgaben zur IT-Sicherheit weitgehend. Lediglich in vier Gesetzen (BDSG [1], TKG[2], TMG[3] und EnWG [4]) gibt es konkrete, allerdings Sektorspezifische Regelungen. Auch ein IT-Sicherheitsbeauftragter in Analogie zum Datenschutzbeauftragten ist nur für „Erbringer von Telekommunikationsdiensten für die Öffentlichkeit“ vorgeschrieben.

Trotzdem haben viele Unternehmen organisatorische Strukturen zur IT-Sicherheit geschaffen, weil es für die Unternehmen sinnvoll ist. Während große Unternehmen hier gut aufgestellt sind, sieht es bei den kleineren Unternehmen eher nicht so optimal aus.

Der Bundestag verabschiedete am 12.6.2015 in dritter Lesung das Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz) in der Fassung des Regierungsentwurfs[5] mit den Änderungsvorschlägen[6] des Innenausschusses.

Das IT-Sicherheitsgesetz ändert das BSI-Gesetz (Artikel 1 und 8), das Atomgesetz (Artikel 2), das Energiewirtschaftsgesetz (Artikel 3), das Telemediengesetz (Artikel 4), das Telekommunikationsgesetz (Artikel 5), das Bundesbesoldungsgesetz (Artikel 6) und das Bundeskriminalamtgesetz (Artikel 7). Die Änderungen treten (bis auf Artikel 8) am Tag nach der Verkündung des Gesetzes in Kraft. Eine Synopse der Änderungen ist auf der Homepages des Autors zu finden[7]. In § 10 Abs. 1 BSIG neu wird die Bundesregierung ermächtigt, ohne Zustimmung des Bundesrates eine Rechtsverordnung zu erlassen, welche „wegen ihrer Bedeutung als kritisch anzusehenden Dienstleistungen und deren als bedeutend anzusehenden Versorgungsgrads, welche Einrichtungen, Anlagen oder Teile davon als Kritische Infrastrukturen im Sinne dieses [IT-Sicherheits-]Gesetzes gelten“. Zwei Jahre nach In-Kraft-Treten dieser Verordnung müssen die betroffenen Unternehmen die erforderlichen technischen und organisatorischen Maßnahmen getroffen haben. Da viele (kleinere) Unternehmen abwarten werden, ob sie unter die zukünftige Definition der kritischen Infrastruktur fallen, wird es dann zeitlich u.U. eng. Das InKraft-Treten dieser Verordnung startet die diversen Übergangsfristen.

Neue Rechte und Pflichten des BSI

Im Rahmen der Tätigkeit des BSI als „IT-Sicherheitsdienstleister“ werden die entsprechenden Bundesbehörden jetzt dazu verpflichtet, entsprechende Protokolldateien (§ 5 Abs. 1 Nr. 1 BSIG) und Schnittstellendaten (§ 5 Abs. 1 Nr. 2 BSIG), die beim Betrieb von Kommunikationstechnik des Bundes anfallen, zur Verfügung zu stellen (§ 5 Abs. 1 Satz 4 BSG neu). Gerade vor den aktuellen Sicherheitsvorfällen im Deutschen Bundestag[8] stellt sich die pragmatische Frage, ob die bundeseigenen IT-Sicherheitsexperten nicht auch hier tätig werden sollten, da nach unveränderter Rechtslage das BSI für die „Kommunikationstechnik der Bundesgerichte, soweit sie nicht öffentlich-rechtliche Verwaltungsaufgaben wahrnehmen, des Bundestages, des Bundesrates, des Bundespräsidenten und des Bundesrechnungshofes“ nicht zuständig ist (§ 2 Abs. 3 Satz 2 BSIG).

Das BSI erhält als neue Aufgabe die Funktion der zentralen Meldestelle für IT-Sicherheitsvorfälle bei Unternehmen, die dem Bereich Kritische Infrastruktur zuzuordnen sind (§ 8b BSIG neu).

Das BSI muss die eingegangenen Meldungen auswerten und daraus Lagebilder für den Bereich Kritische Infrastruktur erstellen und diese Lagebilder über die Kontaktstellen an die Unternehmen kommunizieren (§ 8b Abs. 2 Nr. 4 BSIG neu).

Kritische Infrastrukturen

Für die Unternehmen[9] ist es wichtig, beurteilen zu können, inwieweit sie unter die Regelungen des IT-Sicherheitsgesetzes fallen. Der § 2 Abs. 10 BSIG neu definiert grob den Begriff „Kritische Infrastruktur“ als die Bereiche „Energie, Informationstechnik und Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung sowie Finanz- und Versicherungswesen“ und weiter als alle „von hoher Bedeutung für das Funktionieren des Gemeinwesens […], weil durch ihren Ausfall oder ihre Beeinträchtigung erhebliche Versorgungsengpässe oder Gefährdungen für die öffentliche Sicherheit eintreten“ könnten. Die Rechtsverordnung nach § 10 Abs. 1 BSIG neu soll dies weiter konkretisieren.

Das Bundesministerium des Innern stellt eine Seite mit einer etwas detaillierten Definition von Kritischer Infrastruktur zur Verfügung[10]. Danach sind „Kritische Infrastrukturen […] Organisationen und Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen, bei deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen eintreten würden.“ Darüber hinaus liefert diese Seite eine „Sektoren- und Brancheneinteilung Kritischer Infrastrukturen“.

Durch das Terrorismusbekämpfungsgesetz[11] wurde 2002 das Sicherheitsüberprüfungsgesetz[12] um Regelungen zum vorbeugenden personellen Sabotageschutz ergänzt und die Bundesregierung ermächtigt, durch Rechtsverordnung festzustellen, welche Behörden und nichtöffentlichen Stellen lebens- oder verteidigungswichtige Einrichtungen i.S. des Sicherheitsüberprüfungsgesetzes sind. Die Sicherheitsüberprüfungs feststellungsverordnung[13] regelt dies und dürfte eine Grundlage für die entsprechende neue Verordnung sein. Insbesondere der zweite Teil, die §§ 9a bis 11, sind für Unternehmen relevant.

Meldepflicht

Unternehmen aus dem Bereich Kritische Infrastruktur müssen „erhebliche Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse“ dem BSI melden (§ 8b Abs. 4 BSIG neu). Zur Durchführung der Kommunikation mit dem BSI wird beim Unternehmen eine Kontaktstelle eingerichtet (§ 8b Abs. 3 BSIG neu). Die Unternehmen müssen sicherstellen, dass sie über die Kontaktstelle „jederzeit erreichbar sind“. Dies kann wohl nur als eine 24/7-Erreichbarkeit verstanden werden. Die Betreiber kritischer Infrastruktur aus dem gleichen Sektor können eine gemeinsame Kontaktstelle benennen (§ 8b Abs. 5 BSIG neu), mit der dann das BSI in der Regel kommuniziert. Diese übergeordnete Kontaktstelle verteilt dann die Information unter den Unternehmen eines Sektors. Insbesondere vor dem Hintergrund der jederzeitigen Erreichbarkeit scheint das die zu bevorzugende Kommunikationsstruktur zu sein. Die übergeordnete Kontaktstelle entbindet ein Unternehmen aber nicht von der Pflicht eine eigene Kontaktstelle einzurichten.

Leider wird auch nicht definiert, was eine „erhebliche Störung“ ist. Es sind alle Störungen, die zu „einem Ausfall oder einer Beeinträchtigung der Funktionsfähigkeit“ der Kritischen Infrastrukturen führen können oder geführt haben (§ 8b Abs. 4 Satz 1 BSIG neu). Diese Formulierung muss wohl so verstanden werden, dass das operative Geschäft des Betreibers, also z.B. die Energieversorgung, von dem Ausfall betroffen oder bedroht sein muss.

Werden im Rahmen der Meldungen personenbezogene Daten übermittelt, unterliegen diese einer strikten Zweckbindung (§ 8b Abs. 7 BSIG neu). Die Regelungen aus § 5 Abs. 7 BSIG bezüglich Erkenntnissen aus dem Kernbereich privater Lebensgestaltung und über Personen mit einem Zeugnisverweigerungsrecht sind anzuwenden.

Das BSI wird ermächtigt, Hard- und Software zu untersuchen um Sicherheitslücken zu finden (§ 7a BSIG neu). Die dabei erlangten Erkenntnisse darf das BSI erforderlichen Falls veröffentlichen, wenn den Herstellern Gelegenheit zur Stellungnahme gegeben wird (Responsible Disclosure).

Mindeststandards zur IT-Sicherheit

Das BSI entwickelt Mindeststandards für die IT-Sicherheit der Informationstechnik des Bundes (§ 8 BSIG neu). Diese Mindeststandards können vom Bundesministerium des Innern mit Zustimmung des IT-Rats als Verwaltungsvorschriften erlassen werden. Für die Bundesgerichte, soweit sie nicht öffentlichrechtliche Verwaltungsaufgaben wahrnehmen, den Bundestag, den Bundesrat, den Bundespräsidenten und den Bundesrechnungshof sind die Verwaltungsvorschriften lediglich Empfehlungen.

Die Branchenverbände der Betreiber Kritischer Infrastruktur können branchenspezifische Sicherheitsstandards zur Gewährleistung der IT-Sicherheit in der Branche entwickeln (§ 8a Abs. 2 BSIG neu). Das BSI stellt im Benehmen mit dem Bundesamt für Bevölkerungsschutz und Katastrophenhilfe und eventuell zuständigen Aufsichtsbehörden fest, ob die Standards aus reichend sind.

Auditieren, Evaluieren und das Bußgeld Alle zwei Jahre müssen die betroffenen Unternehmen nachweisen, dass sie angemessene Sicherheitsmaßnahmen implementiert haben (§ 8a Abs. 3 BSIG neu). Der Nachweis kann durch Sicherheitsaudits, Prüfungen oder Zertifizierungen erfolgen.

Das BSI kann die Details der Auditierung, der Prüfungen und IT-Sicherheitsaudits sowie die fachlichen und organisatorischen Anforderungen an die prüfenden Stellen festlegen (§ 8a Abs. 4 BSIG neu).

Werden die Nachweise nicht erbracht oder die IT-Sicherheit nicht angemessen implementiert, kann ein Bußgeld verhängt werden (§ 14 BSIG neu). Falls auf Verlangen des BSI festgestellte Sicherheitsmängel nicht beseitigt werden, kann es bis 100.000 € betragen; ansonsten beträgt es bis 50.000 €. Eine Ordnungswidrigkeit begeht auch, wer keine Kontaktstelle benennt oder erforderliche Meldungen unterlässt.

Kleine Vorratsdatenspeicherung

Nach dem bisherigen § 100 Abs. 1 TKG darf ein Dienstanbieter zum „Erkennen, Eingrenzen oder Beseitigen von Störungen oder Fehlern an Telekommunikationsanlagen die Bestands daten und Verkehrsdaten der Teilnehmer und Nutzer erheben und verwenden.“ In der neuen Fassung wird die Befugnis auf „Störungen, die zu einer Einschränkung der Verfügbarkeit von Informationsund Kommunikationsdiensten oder zu einem unerlaubten Zugriff auf Telekommunikations- und Datenverarbeitungssysteme der Nutzer“ erweitert (§ 100 Abs. 1 TKG neu).

Der Bundesrat hatte in seiner Stellungnahme[14] vom 6.2.1015 unter Nr. 9 geäußert: „Gemäß § 100 Abs. 1 TKG-E sollen Telekommunikationsanbieter die erweiterten Befugnisse erhalten, Nutzungsdaten „zum Erkennen, Eingrenzen und Beseitigen von Störungen sowie von Missbrauch seiner für Zwecke seines Telemedienangebots[15] genutzten technischen Einrichtungenzu erheben und zu verwenden. Bei der damit eingeführten Speicherbefugnis handelt es sich im Kern um eine weitreichende Vorratsdatenspeicherung, für die unter anderem das Bundesverfassungsgericht und der Europäische Gerichtshof enge Grenzen gesetzt haben.

Tatsache ist jedoch, dass vorhandene Verkehrs- und Bestands daten gegebenenfalls auf Anforderung Strafverfolgungsbehörden zur Verfügung gestellt werden müssen. An dieser Stelle ist nicht geregelt, wie lange diese Daten gespeichert werden dürfen; es wird lediglich auf die Erforderlichkeit abgestellt. Es ist jedenfalls leicht vorstellbar, dass die heute etablierten sieben Tage für die hinzugekommenen Erlaubnistatbestände zu kurz sind.

Völlig neu ist der Erlaubnistatbestand des „unerlaubten Zugriffs auf Telekommunikations- und Datenverarbeitungssysteme der Nutzer“. Dies ist auch im Kontext des neuen § 109a Abs. 4 TKG neu zu sehen, nachdem Telekommunikationsanbieter für die Öffentlichkeit ihnen bekannt gewordene Störungen, die von Systemen des Nutzers ausgehen, dem Nutzer unverzüglich mitteilen müssen.

Da der Nutzer auch auf technische Maßnahmen zum Beseitigen der Störung hingewiesen werden muss, kann hier leicht ein neues Kommunikationsformat mit dem eigenen Provider entstehen, das Kriminellen die Arbeit „erleichtert“. Die Standard-Mail eines Providers an seine DSL-Kunden mit dem Hinweis auf die Störung und dem Link auf den Patch ist schnell bekannt und wird dann nachgebaut. Ob im Massengeschäft mit Nutzern elektronische Signaturen zur Vertrauensbildung beitragen, darf bezweifelt werden.

BKA ermittelt Cybercrime

Das Bundeskriminalamt wird als zentrale Stelle für alle Ermittlungen bei Straftaten nach den §§ 202a, 202b, 202c, 263a, 303a und 303b StGB zuständig, soweit die innere oder äußere Sicherheit der Bundesrepublik Deutschland oder Bundesbehörden oder Kritische Infrastruktureinrichtungen betroffen sind (§ 4 Abs. 1 Nr. 5 BKAG neu).

EG-Richtlinie

Die Europäische Kommission hat im Februar 2013 einen Entwurf einer „Richtlinie des Europäischen Parlaments und des Rates über Maßnahmen zur Gewährleistung einer hohen gemeinsamen Netz- und Informationssicherheit in der Union“[16] vorgelegt. Dieser Entwurf setzt früher an und verlangt von den Mitgliedsstaaten das Erstellen einer nationalen IT-Sicherheitsstrategie und die Errichtung einer zuständigen Behörde. Regeln für die Zusammenarbeit zwischen den Mitgliedstaaten und der Kommission im Bereich der IT-Sicherheit, für den Austausch von Frühwarnungen vor Sicherheitsrisiken und -vorfällen über eine sichere Infrastruktur, für die Koordinierung und für die Durchführung regelmäßiger gegenseitiger Überprüfungen sollen geschaffen werden. Die Betreiber kritischer Infrastrukturen in bestimmten Bereichen (Finanzdienste, Verkehr, Energie und Gesundheitswesen), Betreiber zentraler Dienste der Informationsgesellschaft (vor allem App-Stores, eCommerce-Plattformen, Internet-Zahlungen, Cloud-Computing, Suchmaschinen, soziale Netze) und öffentliche Verwaltungen müssen Risikomanagementmethoden einführen und schwerwiegende Sicherheitsvorfälle in ihren Kerndiensten einer zuständigen nationalen Behörde melden.

Im März 2014 stimmte das Europäische Parlament dem Entwurf mit Änderungen zu[17]. Der nächste Schritt im Verfahren wäre die erste Lesung im Rat der Europäischen Union.

Am 29. Juni erzielte die lettische Präsidentschaft im Rat der Europäischen Union eine Einigung mit dem Europäischen Parlament über die wichtigsten Prinzipien des Entwurfs der Richtlinie zur Netzund Informationssicherheit[18]. Dabei wurden die Grundzüge einer europaweiten Meldepflicht für IT-Sicherheitsvorfälle festgelegt. Die Mitgliedsländer müssen einen nationalen IT-Sicherheitsplan erarbeiten und zuständige Behörden festlegen.

Fazit

Für Unternehmen und Behörden gewinnt die Nutzung der Informations- und Kommunikationstechnik zunehmend an Bedeutung. Damit nimmt auch die Abhängigkeit von deren Funktionstüchtigkeit stetig zu. Es ist daher unerlässlich, umfassende Sicherheitsmaßnahmen zu ergreifen. Hierzu muss man ein Lagebild der Bedrohungen haben, um die S icherheitsmaßnahmen zielgerichtet und effizient zu gestalten.

Ein umfassendes Lagebild kann aber nur zentral in möglichst vollständiger Kenntnis der Angriffe erstellt werden. Deshalb muss eine zentrale Stelle über eine Meldepflicht die Übersicht haben.

Die Meldepflicht muss so gestaltet werden, dass die zentrale Stelle nicht in den Meldungen trivialer Vorfälle untergeht, aber gleichzeitig das Wesentliche ankommt. Außerdem müssen die Unternehmen und Behörden, die Meldungen machen, auch etwas zurückbekommen. Die aufgrund der Meldungen erstellten Lagebilder und Sicherheitsinformationen müssen zeitnah an die meldenden Unternehmen und Behörden zurückfließen.

Die Verpflichtung zur Einführung von Mindeststandards der IT-Sicherheit für Unternehmen der sog. „kritischen Infra struktur“ ist sicherlich sinnvoll. Der Roman „Blackout“ von Marc-Elsberg[19] beschreibt das Szenario des Ausfalls kritischer Infrastruktur auf eindrucksvolle Weise. Das ZDF berichtet in der Sendung Frontal 21 vom 9.6.2015 über eine Studie des Bundesamtes für Bevölkerungsschutz und Katastrophenhilfe, in der die Folgen eines Cyberangriffes gegen die Stromversorgung untersucht wurden. Während bereits nach einem Tag große Teile des Gesundheitswesens ausfallen, dauert es maximal drei Wochen, bis es keine Treibstoffversorgung mehr gibt[20].

Der Gesetzgeber möchte die genaue Definition der kritischen Infrastruktur erst in einer Verordnung nachliefern. Es wäre besser gewesen, ein belastbarerer Verordnungsentwurf hätte bei der Verabschiedung des Gesetzes vorgelegen. Denn erst die Verordnung legt fest, wer genau von dem Gesetz betroffen ist.Die neuen Möglichkeiten des BSI, sich zu Sicherheitslücken in Soft- und Hardware öffentlich zu äußern, dürfen begrüßt werden. Ein „responsible Disclosure“ ist die einzig sinnvolle Möglichkeit, einige Hersteller zum Handeln zu bewegen.

Die Umsetzungsfrist ist extrem ehrgeizig, wenn nicht zu kurz. Der Grundschutz-Zertifizierungsprozess geht nach Erreichen der Einstiegsstufe von einer Zwei-Jahrestaktung für die Aufbaustufe und das endgültige Zertifikat aus. Für Unternehmen und Behörden, die erst neu unter den Geltungsbereich des Gesetzes fallen, wird die Übergangsfrist zu kurz sein. Nur für Unternehmen und Behörden, die bereits zertifiziert sind oder sich regelmäßig auditieren lassen, ist die Übergangsfrist leicht zu schaffen.

Da derartige Prozesse häufig sehr beratungsintensiv sind, ist nach dem In-Kraft-Treten der Verordnung mit entsprechenden Engpässen – und damit auch mit steigenden Preisen – zu rechnen.

Eine Meldepflicht allein verbessert die IT-Sicherheit nicht. Erst wenn aus dem entstandenen Lagebild Maßnahmen werden, verbessert sich auch die IT-Sicherheit. Der Auftrag zur Schaffung von Mindeststandards ist da schon sehr viel wichtiger. Dass IT-Sicherheitsstandards nicht in Gesetzen und Verordnungen festgeschrieben werden, ist dabei der richtige Weg. Der sich aus den rasanten technischen Entwicklungen ergebende Änderungsbedarf ist mit den Zeitskalen, in denen der Gesetzgeber arbeitet, nicht zu vereinbaren. Der Gesetzgeber würde den technischen Entwicklungen ständig hinterher rennen.

Durchaus kritisch zu sehen, ist die Tatsache, dass doch etliche Bundesbehörden (§ 2 Abs. 3 Satz BSIG) von den technisch-organisatorischen IT-Sicherheitsvorgaben ausgenommen werden. Die vom Bundesministerium des Innern erlassenden Verwaltungsvorschriften mit Mindeststandards zur IT-Sicherheit haben für diese nur empfehlenden Charakter (§ 8 Abs.1 BSIG neu). Auch von der Meldepflicht sind Bundesbehörden gänzlich ausgenommen.

Insgesamt ist das IT-Sicherheitsgesetz ein Schritt in die richtige Richtung, der aber viele wichtige Details auslässt. Auch wenn die Definition gerade dieser Details kompliziert und anspruchsvoll ist, sollte der Gesetzgeber nicht darauf vertrauen, dass sich dies schon irgendwie regelt. Was genau sind „erhebliche Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit“ der IT-Systeme, -Komponenten oder -Prozesse?

Prof. Dr. Rainer W. Gerling

Prof. Dr. Rainer W. Gerling ist IT-Sicherheitsbeauftragter der Max-Planck-Gesellschaft und Honorarprofessor für IT-Sicherheit an der Hochschule München. Er studierte Physik an der TU Dortmund und promovierte und habilitierte an der Universität Erlangen-Nürnberg.

Über 20 Jahre war er der Datenschutzbeauftragte der Max-Planck-Gesellschaft. Er ist stellvertretender Vorsitzender der GDD und war langjähriger Leiter des Erfa-Kreises Bayern.

[1] § 9 BDSG mit Anlage für verantwortliche Stellen bei der Verarbeitung personenbezogener Daten.

[2] § 109 Abs. 1 TKG für „jeden Dienstleister“ und § 109 Abs. 2 und 3 für „Erbringer von Telekommunikationsdiensten für die Öffentlichkeit“.

[3] § 13 Abs. 4 TMG für Diensteanbieter

[4] § 11 Abs. 1a EnWG für Betreiber von Energieversorgungsnetzen.

[5] BT-Drs. 18/4096, http://dip.bundestag.de/btd/18/040/1804096.pdf; abgerufen am 13.6.2015.

[6] BT-Drs. 18/5121, http://dip.bundestag.de/btd/18/051/1805121.pdf; abgerufen am 13.6.2015

[7]Http://www.rainer-gerling.de/gesetze

[8]Http://www.golem.de/news/iuk-kommission-das-protokoll-des-bundestags-hacks-1506-114635.html

[9] Kleinstunternehmen (weniger als 10 Beschäftigte und weniger als 2 Mio. Euro Jahresumsatz bzw. Jahresbilanzsumme (Empfehlung der Kommission 2003/361/EG, ABl. L 124 vom 20.5.2003, S. 36) sind ausgenommen.

[10]Https://www.bmi.bund.de/SharedDocs/Downloads/DE/Themen/Sicherheit/BevoelkerungKrisen/Sektoreneinteilung.pdf?__blob=publicationFile; abgerufen am 7.6.2015.

[11] Gesetz vom 9. Januar 2002 (BGBl. I S. 361)

[12] Sicherheitsüberprüfungsgesetz vom 20. April 1994 (BGBl. I S. 867) zuletzt geändert durch Artikel 4 des Gesetzes vom 7. Dezember 2011 (BGBl. I S. 2576).

[13] Sicherheitsüberprüfungsfeststellungsverordnung in der Fassung der Bekanntmachung vom 12. September 2007 (BGBl. I S. 2294) zuletzt geändert durch Artikel 8 des Gesetzes vom 7. Dezember 2011 (BGBl. I S. 2576). Die §§ 2 bis 12 der Verordnung treten am 10. Januar 2016 außer Kraft, falls die Gültigkeit nicht verlängert wird. Hierzu findet derzeit eine Evaluierung und Bewertung statt.

[14] BR-Drs. 634/14.

[15] An dieser Stelle wird der Gesetzentwurf fehlerhaft zitiert. Der Bezug auf „Telemedien“ in einem Änderungsvorschlag des § 100 TKG macht so keinen Sinn. Das Zitat stammt aus einem älteren Entwurf eines IT-Sicherheitsgesetzes (Entwurf vom 18.8.2014) und war in einem Änderungsvorschlag zur Einfügung eines Abs. 9 in § 15 TMG enthalten. Dieser Vorschlag war im aktuellen Gesetzentwurf nicht mehr enthalten.

[16]Http://ec.europa.eu/information_society/newsroom/cf/dae/document.cfm?doc_id=1666; abgerufen am 6.6.2015.

[17]Http://www.europarl.europa.eu/sides/getDoc.do?type=TA&reference=P7-TA-2014-0244&language=DE; abgerufen am 06.06.2015.

[18]Https://eu2015.lv/de/nachrichten/pressemitteilungen/2512-lettischeeu-ratspraesidentschaft-erzielt-einen-durchbruch-bei-den-gespraechenmit-dem-europaeischen-parlament-ueber-die-netz-und informationssicherheit: Abgerufen am 02.07.2105.

[19] Marc Elsberg, BLACKOUT – Morgen ist es zu spät, Blanvalet Verlag, München (2012); siehe auch ergänzend: Arbeitsbericht Bericht Nr. 141 des Büros für Technikfolgenabschätzung des Deutschen Bundestages (TAB) http://www.tab-beim-bundestag.de/de/pdf/publikationen/berichte/TAB-Arbeitsbericht-ab141.pdf; abgerufen am 29.6.2015

[20]Http://www.zdf.de/ZDF/zdfportal/blob/38806248/1/data.pdf; abgerufen am 13.6.2015.