IT-Sicherheit

Ab dem 18. August 2026 gilt in der EU die neue E-Evidence-Verordnung. Sie verpflichtet viele Unternehmen – darunter auch kleine und mittlere Anbieter digitaler Dienste – dazu, auf Anfragen von Strafverfolgungsbehörden aus anderen EU-Ländern bestimmte Nutzerdaten herauszugeben oder zu speichern.

Mit Ablauf der Übergangsfristen im Sommer 2026 wird sie für hunderttausende Unternehmen allein in Deutschland in vollem Umfang verbindlich: die europäische E-Evidence-Verordnung für grenzüberschreitende Ermittlungshilfeersuchen bei Straftaten. Ab dann sind Telekommunikationsdienste und Internet-Provider, aber auch alle Cloudservicebetreiber, Online-Shops, Portale, Foren oder sonstige für Nutzer zugängliche elektronische Dienste verpflichtet, auf Anordnung von Strafverfolgungsbehörden aus allen EU-Mitgliedsländern bestimmte Daten ihrer Nutzer herauszugeben oder vorübergehend zu speichern.

Zu den berechtigten Stellen gehören Staatsanwaltschaften, Polizei oder andere Behörden im Ausland, die in einem standardisierten Verfahren die Übermittlung elektronischer Beweismittel verlangen dürfen. Gegenstand solcher Abfragen können Bestandsdaten zu Namen, Konten und Anschriften sein, aber auch Verkehrsdaten und die Ausleitung von Inhalten.

Eng gesetzt sind die Fristen, binnen derer die Beantwortung der Herausgabeanordnungen zu erfolgen hat: acht Stunden bei Lebensgefahr oder Gefährdungen kritischer Infrastrukturen, maximal zehn Tage im Regelfall. Und vor Ablauf dieser Zeiträume muss auch geklärt sein, ob die Herausgabe überhaupt rechtlich zulässig ist: Weil die Anfrage nach der Gesetzeslage im Ursprungsland gestellt wird, ist eine rechtsförmliche Prüfung im Zielland unerlässlich, wenn man sich nicht dem Risiko aussetzen will, personenbezogene Daten widerrechtlich herauszugeben. Bevor also die Übermittlung fristgerecht erfolgen kann, um Bußgelder zu vermeiden, müssten die Herausgabeverpflichteten sich erst einmal rückversichern, ob sie dadurch nicht unbeabsichtigt einen Datenschutzvorfall heraufbeschwören.

Der Sinn der Regelung ist die einheitliche Abwicklung von Ermittlungen in Strafverfahren über alle EU-Mitgliedsländer hinweg – aber die konkrete Umsetzung gestaltet sich wenig harmonisch.

Insbesondere die technischen Maßnahmen, um automatisierte Anordnungen und Herausgaben zu ermöglichen, sind bislang nicht richtig etabliert. Vergleichbare Verfahren existieren zwar für die Rechtshilfeersuchen zwischen staatlichen Institutionen, aber die direkte Abfrage bei potenziell rund 300.000 Unternehmen allein in Deutschland ist eine völlig andere Dimension – und offenbar völlig unerwartet: Alle Schätzungen der EU-Kommission und der beteiligten Justizministerien der Mitgliedsstaaten kamen auf viel geringere Zahlen.

Providerverbände und andere Betroffene schlagen deshalb zu Recht Alarm: Die schiere Anzahl potenzieller Herausgabeanordnungen steigt in schwindelerregende Höhen. Schon jetzt gibt es jährlich über 100 Millionen Bestandsdatenabfragen allein in Deutschland. Wenn in Zukunft die Strafverfolgungsbehörden anderer Länder ebenfalls darauf Zugriff bekommen sollen, explodiert das dadurch generierte Abfragevolumen. In einigen Ländern soll es dafür immerhin eine Aufwandsentschädigung geben. Deutschland gehört nicht dazu.

Und es kann jeden treffen, nicht nur ein paar hundert TK-Unternehmen. Die E-Evidence-Verordnung betrachtet alles als Gegenstand für Herausgabeanordnungen, was im Strafverfahren als elektronisches Beweismittel verwendet werden kann. Und die Zielgruppe der Adressaten ist breit gefächert. Alle Datenspuren, die deutsche Bürger im Ausland hinterlassen, können Ermittlungsanlass und gegebenenfalls Beweismittel sein. Bei Katalogstraftaten wie Kinderpornografie sind es dann eben nicht immer die Großen der Branche, über deren Plattformen die Straftaten begangen wurden – Datenspeicherung kann auch über das schwarze Brett des Fußballvereins oder das Studienportal der Universität stattfinden, die alle auch aus dem Ausland erreichbar sind. Dank Roaming in der EU dürften auch die Versuche kleinerer Dienstleister aussichtslos sein, sich als rein „nationales Angebot“ aus dem Anwendungsbereich der Verordnung herauszureden.

Autor: Ulrich Plate, Berater für Informationssicherheit bei nGENn GmbH und Leiter der Kompetenzgruppe Kritische Infrastruktur des Verbands der Internetwirtschaft eco e.V.

Die NIS-2-Richtlinie verpflichtet besonders wichtige und wichtige Einrichtungen dazu, die Sicherheit ihrer Lieferketten zu gewährleisten. Zur Unterstützung hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) ein Informationspaket veröffentlicht. Es bietet Unternehmen eine erste Orientierung, wie sie die Anforderungen zur Lieferkettensicherheit im Sinne der NIS-2-Richtlinie umsetzen können.

Die Informationen zur Sicherheit in der Lieferkette enthalten auch Tabellen, die einen Überblick über ausgewählte bestehende Standards zum Thema Lieferkettensicherheit bieten. Das BSI weist darauf hin, dass die Umsetzung der Risikomanagementmaßnahmen anhand dieser Standards nicht automatisch bedeutet, dass die Anforderungen der NIS-2-RL vollständig erfüllt werden.

Weltweit kam es in den vergangenen Wochen zu IT-Ausfällen in zahlreichen Branchen, darunter auch bei Betreibern kritischer Infrastrukturen in Deutschland. Grund für das tagelange Chaos war nach Angaben des Bundesamtes für Sicherheit in der Informationstechnik (BSI) ein fehlerhaftes Update einer IT-Security-Lösung.

Zum wiederholten Male verdeutlichte dieser Vorfall, dass bereits kleine technische Probleme zu großen Auswirkungen in der Breite der Wirtschaft sorgen können. Angesichts dieser Ereignisse und der angespannten geopolitischen Lage werden sich Unternehmen verschiedenster Branchen der Bedeutung von Cybersicherheit immer stärker bewusst.

Eine wichtige Rolle spielt in diesem Zusammenhang aktuell die 2023 in Kraft getretene zweite EU-Richtlinie zur Netzwerk- und Informationssicherheit (NIS-2-Richtlinie). Den Gesetzentwurf zur Umsetzung in deutsches Recht hat das Bundeskabinett am 24. Juli verabschiedet. Für die Wirtschaft spielt dabei insbesondere das NIS-2-Umsetzungs- und Cybersicherheitsstärkungsgesetz des Bundes eine Rolle – die DIHK hat hierzu bereits im Mai 2024 in einem Positionspapier (PDF, 191 KB) Stellung bezogen.

Mit den neuen Regelungen wird die Zahl der Unternehmen, die künftig Registrierungs-, Nachweis- und Meldepflichten gegenüber dem BSI zu erfüllen haben, deutlich zunehmen. Dabei erfolgt eine Kategorisierung in "wichtige" und "besonders wichtige" Einrichtungen, die in den Fokus der Richtlinie rücken.

Deutschlandweit sollen nach den im Gesetzentwurf festgelegten Kriterien rund 29.500 Unternehmen unter die NIS-2-Richtlinie fallen.Die Umsetzung der EU-Richtlinie in nationales Recht verpflichtet Unternehmen beispielsweise zur Einrichtung eines Risikomanagements oder zu Nachweispflichten zur internen IT-Sicherheit. Zudem müssen sie künftig "erhebliche Sicherheitsvorfälle" innerhalb von 24 Stunden einer Meldestelle des BSI und des Bundesamtes für Bevölkerungsschutz und Katastrophenhilfe bekanntgeben. Neu ist auch, dass künftig die Geschäftsleitung für Vorfälle haftet und zu Schulungen verpflichtet wird. Die Aufsicht für die Umsetzung wird beim BSI liegen, das bei Nichtbeachtung der Vorschriften hohe Strafen verhängen kann.

Sind Sie unsicher, ob Ihr Unternehmen von der NIS-2 Richtlinie betroffen ist?
Die NIS-2 Betroffenheitsprüfung des BSI bietet Ihnen in wenigen Schritten dafür eine erste Orientierung.

Kriterien sind:

Die Task Force "IT-Sicherheit in der Wirtschaft" des Bundesministeriums für Wirtschaft und Technologie (BMWi) bietet Unternehmen Informationen zum Thema IT-Sicherheit an.

Kleine und mittelständische Unternehmen finden in dem extra erstellten Internetportal Orientierung und Hilfe. Das Portal bietet kostenlos Informationen zu den Risiken verschiedener IT-Anwendungen und entsprechende Handlungsempfehlungen und -anleitungen. Das Angebot umfasst regionale Veranstaltungen, Broschüren und Online-Informationen.

Kernstück der Internetseite ist der vom Fraunhofer Institut für sichere Informationstechnik entwickelte IT-Sicherheitsnavigator. Er bündelt herstellerneutrale Informations- und Hilfsangebote und macht diese komfortabel über das Internet zugänglich. Über Schlagworte und regionale Eingrenzungen können Unternehmen schnell und unkompliziert die für ihr spezielles Sicherheitsproblem passenden Angebote finden.