{"id":"bgbl1-2009-54-2","kind":"bgbl1","year":2009,"number":54,"date":"2009-08-19T00:00:00Z","url":"https://offenegesetze.de/veroeffentlichung/bgbl1/2009/54#page=9","api_url":"https://api.offenegesetze.de/v1/veroeffentlichung/bgbl1-2009-54-2/","document_url":"https://media.offenegesetze.de/bgbl1/2009/bgbl1_2009_54.pdf#page=9","order":2,"title":"Gesetz zur Stärkung der Sicherheit in der Informationstechnik des Bundes","law_date":"2009-08-14T00:00:00Z","page":2821,"pdf_page":9,"num_pages":6,"content":["Bundesgesetzblatt Jahrgang 2009 Teil I Nr. 54, ausgegeben zu Bonn am 19. August 2009 2821\nGesetz\nzur Stärkung der Sicherheit in der Informationstechnik des Bundes\nVom 14. August 2009\nDer Bundestag hat das folgende Gesetz beschlos- Satz 2 genannten Gerichte und Verfassungsorgane be-\nsen: trieben werden.\n(5) Schadprogramme im Sinne dieses Gesetzes sind\nArtikel 1 Programme und sonstige informationstechnische Rou-\nGesetz tinen und Verfahren, die dem Zweck dienen, unbefugt\nDaten zu nutzen oder zu löschen oder die dem Zweck\nüber das Bundesamt\ndienen, unbefugt auf sonstige informationstechnische\nfür Sicherheit in der Informationstechnik Abläufe einzuwirken.\n(BSI-Gesetz – BSIG)\n(6) Sicherheitslücken im Sinne dieses Gesetzes sind\nEigenschaften von Programmen oder sonstigen infor-\n§1\nmationstechnischen Systemen, durch deren Ausnut-\nBundesamt für Sicherheit zung es möglich ist, dass sich Dritte gegen den Willen\nin der Informationstechnik des Berechtigten Zugang zu fremden informationstech-\nnischen Systemen verschaffen oder die Funktion der\nDer Bund unterhält ein Bundesamt für Sicherheit in\ninformationstechnischen Systeme beeinflussen kön-\nder Informationstechnik als Bundesoberbehörde. Es\nnen.\nuntersteht dem Bundesministerium des Innern.\n(7) Zertifizierung im Sinne dieses Gesetzes ist die\n§2 Feststellung durch eine Zertifizierungsstelle, dass ein\nProdukt, ein Prozess, ein System, ein Schutzprofil\nBegriffsbestimmungen (Sicherheitszertifizierung), eine Person (Personenzerti-\n(1) Die Informationstechnik im Sinne dieses Geset- fizierung) oder ein IT-Sicherheitsdienstleister bestimmte\nzes umfasst alle technischen Mittel zur Verarbeitung Anforderungen erfüllt.\noder Übertragung von Informationen. (8) Protokolldaten im Sinne dieses Gesetzes sind\n(2) Sicherheit in der Informationstechnik im Sinne Steuerdaten eines informationstechnischen Protokolls\ndieses Gesetzes bedeutet die Einhaltung bestimmter zur Datenübertragung, die unabhängig vom Inhalt eines\nSicherheitsstandards, die die Verfügbarkeit, Unver- Kommunikationsvorgangs übertragen oder auf den am\nsehrtheit oder Vertraulichkeit von Informationen betref- Kommunikationsvorgang beteiligten Servern gespei-\nfen, durch Sicherheitsvorkehrungen chert werden und zur Gewährleistung der Kommunika-\ntion zwischen Empfänger und Sender notwendig sind.\n1. in informationstechnischen Systemen, Komponen- Protokolldaten können Verkehrsdaten gemäß § 3\nten oder Prozessen oder Nummer 30 des Telekommunikationsgesetzes und\n2. bei der Anwendung von informationstechnischen Nutzungsdaten nach § 15 Absatz 1 des Telemedienge-\nSystemen, Komponenten oder Prozessen. setzes enthalten.\n(3) Kommunikationstechnik des Bundes im Sinne (9) Datenverkehr im Sinne dieses Gesetzes sind die\ndieses Gesetzes ist die Informationstechnik, die von ei- mittels technischer Protokolle übertragenen Daten. Der\nner oder mehreren Bundesbehörden oder im Auftrag Datenverkehr kann Telekommunikationsinhalte nach\neiner oder mehrerer Bundesbehörden betrieben wird § 88 Absatz 1 des Telekommunikationsgesetzes und\nund der Kommunikation oder dem Datenaustausch Nutzungsdaten nach § 15 Absatz 1 des Telemedienge-\nder Bundesbehörden untereinander oder mit Dritten setzes enthalten.\ndient. Kommunikationstechnik der Bundesgerichte,\nsoweit sie nicht öffentlich-rechtliche Verwaltungsaufga- §3\nben wahrnehmen, des Bundestages, des Bundesrates, Aufgaben des Bundesamtes\ndes Bundespräsidenten und des Bundesrechnungsho-\nfes ist nicht Kommunikationstechnik des Bundes, so- (1) Das Bundesamt fördert die Sicherheit in der In-\nweit sie ausschließlich in deren eigener Zuständigkeit formationstechnik. Hierzu nimmt es folgende Aufgaben\nbetrieben wird. wahr:\n(4) Schnittstellen der Kommunikationstechnik des 1. Abwehr von Gefahren für die Sicherheit der Infor-\nBundes im Sinne dieses Gesetzes sind sicherheitsrele- mationstechnik des Bundes;\nvante Netzwerkübergänge innerhalb der Kommunika- 2. Sammlung und Auswertung von Informationen über\ntionstechnik des Bundes sowie zwischen dieser und Sicherheitsrisiken und Sicherheitsvorkehrungen\nder Informationstechnik der einzelnen Bundesbehör- und Zurverfügungstellung der gewonnenen Er-\nden, Gruppen von Bundesbehörden oder Dritter. Dies kenntnisse für andere Stellen, soweit dies zur Er-\ngilt nicht für die Komponenten an den Netzwerküber- füllung ihrer Aufgaben oder zur Wahrung ihrer\ngängen, die in eigener Zuständigkeit der in Absatz 3 Sicherheitsinteressen erforderlich ist;","2822 Bundesgesetzblatt Jahrgang 2009 Teil I Nr. 54, ausgegeben zu Bonn am 19. August 2009\n3. Untersuchung von Sicherheitsrisiken bei Anwen- Rahmen der gesetzlichen Befugnisse nach den\ndung der Informationstechnik sowie Entwicklung Verfassungsschutzgesetzen des Bundes und der\nvon Sicherheitsvorkehrungen, insbesondere von Länder anfallen,\ninformationstechnischen Verfahren und Geräten für c) des Bundesnachrichtendienstes bei der Wahr-\ndie Sicherheit in der Informationstechnik (IT-Sicher- nehmung seiner gesetzlichen Aufgaben.\nheitsprodukte), soweit dies zur Erfüllung von Auf-\ngaben des Bundes erforderlich ist, einschließlich Die Unterstützung darf nur gewährt werden, soweit\nder Forschung im Rahmen seiner gesetzlichen Auf- sie erforderlich ist, um Tätigkeiten zu verhindern\ngaben; oder zu erforschen, die gegen die Sicherheit in der\nInformationstechnik gerichtet sind oder unter Nut-\n4. Entwicklung von Kriterien, Verfahren und Werkzeu- zung der Informationstechnik erfolgen. Die Unter-\ngen für die Prüfung und Bewertung der Sicherheit stützungsersuchen sind durch das Bundesamt ak-\nvon informationstechnischen Systemen oder Kom- tenkundig zu machen;\nponenten und für die Prüfung und Bewertung der\nKonformität im Bereich der IT-Sicherheit; 14. Beratung und Warnung der Stellen des Bundes, der\nLänder sowie der Hersteller, Vertreiber und Anwen-\n5. Prüfung und Bewertung der Sicherheit von informa- der in Fragen der Sicherheit in der Informations-\ntionstechnischen Systemen oder Komponenten technik unter Berücksichtigung der möglichen\nund Erteilung von Sicherheitszertifikaten; Folgen fehlender oder unzureichender Sicherheits-\n6. Prüfung und Bestätigung der Konformität im Be- vorkehrungen;\nreich der IT-Sicherheit von informationstechnischen 15. Aufbau geeigneter Kommunikationsstrukturen zur\nSystemen und Komponenten mit technischen Krisenfrüherkennung, Krisenreaktion und Krisen-\nRichtlinien des Bundesamtes; bewältigung sowie Koordinierung der Zusammen-\n7. Prüfung, Bewertung und Zulassung von informati- arbeit zum Schutz der kritischen Informationsinfra-\nonstechnischen Systemen oder Komponenten, die strukturen im Verbund mit der Privatwirtschaft.\nfür die Verarbeitung oder Übertragung amtlich ge- (2) Das Bundesamt kann die Länder auf Ersuchen\nheim gehaltener Informationen nach § 4 des Sicher- bei der Sicherung ihrer Informationstechnik unterstüt-\nheitsüberprüfungsgesetzes im Bereich des Bundes zen.\noder bei Unternehmen im Rahmen von Aufträgen\ndes Bundes eingesetzt werden sollen; §4\n8. Herstellung von Schlüsseldaten und Betrieb von Zentrale Meldestelle für\nKrypto- und Sicherheitsmanagementsystemen für die Sicherheit in der Informationstechnik\ninformationssichernde Systeme des Bundes, die\nim Bereich des staatlichen Geheimschutzes oder (1) Das Bundesamt ist die zentrale Meldestelle für\nauf Anforderung der betroffenen Behörde auch in die Zusammenarbeit der Bundesbehörden in Angele-\nanderen Bereichen eingesetzt werden; genheiten der Sicherheit in der Informationstechnik.\n9. Unterstützung und Beratung bei organisatorischen (2) Das Bundesamt hat zur Wahrnehmung dieser\nund technischen Sicherheitsmaßnahmen sowie Aufgabe\nDurchführung von technischen Prüfungen zum 1. alle für die Abwehr von Gefahren für die Sicherheit in\nSchutz amtlich geheim gehaltener Informationen der Informationstechnik erforderlichen Informatio-\nnach § 4 des Sicherheitsüberprüfungsgesetzes ge- nen, insbesondere zu Sicherheitslücken, Schadpro-\ngen die Kenntnisnahme durch Unbefugte; grammen, erfolgten oder versuchten Angriffen auf\n10. Entwicklung von sicherheitstechnischen Anforde- die Sicherheit in der Informationstechnik und der da-\nrungen an die einzusetzende Informationstechnik bei beobachteten Vorgehensweise, zu sammeln und\ndes Bundes und an die Eignung von Auftragneh- auszuwerten,\nmern im Bereich von Informationstechnik mit be- 2. die Bundesbehörden unverzüglich über die sie be-\nsonderem Schutzbedarf; treffenden Informationen nach Nummer 1 und die in\n11. Bereitstellung von IT-Sicherheitsprodukten für Stel- Erfahrung gebrachten Zusammenhänge zu unter-\nlen des Bundes; richten.\n12. Unterstützung der für Sicherheit in der Informa- (3) Werden anderen Bundesbehörden Informationen\ntionstechnik zuständigen Stellen des Bundes, ins- nach Absatz 2 Nummer 1 bekannt, die für die Erfüllung\nbesondere soweit sie Beratungs- oder Kontrollauf- von Aufgaben oder die Sicherheit der Informationstech-\ngaben wahrnehmen; dies gilt vorrangig für den nik anderer Behörden von Bedeutung sind, unterrichten\nBundesbeauftragten für den Datenschutz, dessen diese ab dem 1. Januar 2010 das Bundesamt hierüber\nUnterstützung im Rahmen der Unabhängigkeit er- unverzüglich, soweit andere Vorschriften dem nicht ent-\nfolgt, die ihm bei der Erfüllung seiner Aufgaben gegenstehen.\nnach dem Bundesdatenschutzgesetz zusteht; (4) Ausgenommen von den Unterrichtungspflichten\n13. Unterstützung nach Absatz 2 Nummer 2 und Absatz 3 sind Informa-\ntionen, die aufgrund von Regelungen zum Geheim-\na) der Polizeien und Strafverfolgungsbehörden bei schutz oder Vereinbarungen mit Dritten nicht weiter-\nder Wahrnehmung ihrer gesetzlichen Aufgaben, gegeben werden dürfen oder deren Weitergabe im\nb) der Verfassungsschutzbehörden bei der Auswer- Widerspruch zu der verfassungsrechtlichen Stellung ei-\ntung und Bewertung von Informationen, die bei nes Abgeordneten des Bundestages oder eines Verfas-\nder Beobachtung terroristischer Bestrebungen sungsorgans oder der gesetzlich geregelten Unabhän-\noder nachrichtendienstlicher Tätigkeiten im gigkeit einzelner Stellen stünde.","Bundesgesetzblatt Jahrgang 2009 Teil I Nr. 54, ausgegeben zu Bonn am 19. August 2009 2823\n(5) Die Vorschriften zum Schutz personenbezogener 3. sich aus ihnen Hinweise auf ein Schadprogramm er-\nDaten bleiben unberührt. geben können,\n(6) Das Bundesministerium des Innern erlässt nach und soweit die Datenverarbeitung erforderlich ist, um\nZustimmung durch den Rat der IT-Beauftragten der den Verdacht zu bestätigen oder zu widerlegen. Im\nBundesregierung allgemeine Verwaltungsvorschriften Falle der Bestätigung ist die weitere Verarbeitung per-\nzur Durchführung des Absatzes 3. sonenbezogener Daten zulässig, soweit dies\n1. zur Abwehr des Schadprogramms,\n§5\n2. zur Abwehr von Gefahren, die von dem aufgefunde-\nAbwehr von nen Schadprogramm ausgehen, oder\nSchadprogrammen und Gefahren\n3. zur Erkennung und Abwehr anderer Schadpro-\nfür die Kommunikationstechnik des Bundes\ngramme erforderlich ist.\n(1) Das Bundesamt darf zur Abwehr von Gefahren\nEin Schadprogramm kann beseitigt oder in seiner\nfür die Kommunikationstechnik des Bundes\nFunktionsweise gehindert werden. Die nicht automati-\n1. Protokolldaten, die beim Betrieb von Kommunika- sierte Verwendung der Daten nach den Sätzen 1 und 2\ntionstechnik des Bundes anfallen, erheben und darf nur durch einen Bediensteten des Bundesamtes\nautomatisiert auswerten, soweit dies zum Erkennen, mit der Befähigung zum Richteramt angeordnet wer-\nEingrenzen oder Beseitigen von Störungen oder den.\nFehlern bei der Kommunikationstechnik des Bundes (4) Die Beteiligten des Kommunikationsvorgangs\noder von Angriffen auf die Informationstechnik des sind spätestens nach dem Erkennen und der Abwehr\nBundes erforderlich ist,\neines Schadprogramms oder von Gefahren, die von\n2. die an den Schnittstellen der Kommunikationstech- einem Schadprogramm ausgehen, zu benachrichtigen,\nnik des Bundes anfallenden Daten automatisiert wenn sie bekannt sind oder ihre Identifikation ohne un-\nauswerten, soweit dies für die Erkennung und Ab- verhältnismäßige weitere Ermittlungen möglich ist und\nwehr von Schadprogrammen erforderlich ist. nicht überwiegende schutzwürdige Belange Dritter ent-\nSofern nicht die nachfolgenden Absätze eine weitere gegenstehen. Die Unterrichtung kann unterbleiben,\nVerwendung gestatten, muss die automatisierte Aus- wenn die Person nur unerheblich betroffen wurde, und\nwertung dieser Daten unverzüglich erfolgen und müs- anzunehmen ist, dass sie an einer Benachrichtigung\nsen diese nach erfolgtem Abgleich sofort und spuren- kein Interesse hat. Das Bundesamt legt Fälle, in denen\nlos gelöscht werden. Die Verwendungsbeschränkungen es von einer Benachrichtigung absieht, dem behördli-\ngelten nicht für Protokolldaten, sofern diese weder chen Datenschutzbeauftragten des Bundesamtes so-\npersonenbezogene noch dem Fernmeldegeheimnis wie einem weiteren Bediensteten des Bundesamtes,\nunterliegende Daten beinhalten. Behördeninterne Pro- der die Befähigung zum Richteramt hat, zur Kontrolle\ntokolldaten dürfen nur im Einvernehmen mit der jeweils vor. Der behördliche Datenschutzbeauftragte ist bei\nbetroffenen Behörde erhoben werden. Ausübung dieser Aufgabe weisungsfrei und darf des-\nwegen nicht benachteiligt werden (§ 4f Absatz 3 des\n(2) Protokolldaten nach Absatz 1 Satz 1 Nummer 1 Bundesdatenschutzgesetzes). Wenn der behördliche\ndürfen über den für die automatisierte Auswertung nach Datenschutzbeauftragte der Entscheidung des Bun-\nAbsatz 1 Satz 1 Nummer 1 erforderlichen Zeitraum hi- desamtes widerspricht, ist die Benachrichtigung nach-\nnaus, längstens jedoch für drei Monate, gespeichert zuholen. Die Entscheidung über die Nichtbenachrichti-\nwerden, soweit tatsächliche Anhaltspunkte bestehen, gung ist zu dokumentieren. Die Dokumentation darf\ndass diese für den Fall der Bestätigung eines Verdachts ausschließlich für Zwecke der Datenschutzkontrolle\nnach Absatz 3 Satz 2 zur Abwehr von Gefahren, die von verwendet werden. Sie ist nach zwölf Monaten zu lö-\ndem gefundenen Schadprogramm ausgehen oder zur schen. In den Fällen der Absätze 5 und 6 erfolgt die\nErkennung und Abwehr anderer Schadprogramme er- Benachrichtigung durch die dort genannten Behörden\nforderlich sein können. Durch organisatorische und in entsprechender Anwendung der für diese Behörden\ntechnische Maßnahmen ist sicherzustellen, dass eine geltenden Vorschriften. Enthalten diese keine Bestim-\nAuswertung der nach diesem Absatz gespeicherten mungen zu Benachrichtigungspflichten, sind die Vor-\nDaten nur automatisiert erfolgt. Die Daten sind zu pseu- schriften der Strafprozessordnung entsprechend anzu-\ndonymisieren, soweit dies automatisiert möglich ist. wenden.\nEine nicht automatisierte Auswertung oder eine perso-\n(5) Das Bundesamt kann die nach Absatz 3 verwen-\nnenbezogene Verwendung ist nur nach Maßgabe der\ndeten personenbezogenen Daten an die Strafver-\nnachfolgenden Absätze zulässig. Soweit hierzu die\nfolgungsbehörden zur Verfolgung einer mittels eines\nWiederherstellung des Personenbezugs pseudonymi-\nSchadprogramms begangenen Straftat nach den\nsierter Daten erforderlich ist, muss diese durch den\n§§ 202a, 202b, 303a oder 303b des Strafgesetzbuches\nPräsidenten des Bundesamtes angeordnet werden.\nübermitteln. Es kann diese Daten ferner übermitteln\nDie Entscheidung ist zu protokollieren.\n1. zur Abwehr einer Gefahr für die öffentliche Sicher-\n(3) Eine über die Absätze 1 und 2 hinausgehende\nheit, die unmittelbar von einem Schadprogramm\nVerwendung personenbezogener Daten ist nur zuläs-\nausgeht, an die Polizeien des Bundes und der Län-\nsig, wenn bestimmte Tatsachen den Verdacht begrün-\nder,\nden, dass\n2. zur Unterrichtung über Tatsachen, die sicherheitsge-\n1. diese ein Schadprogramm enthalten,\nfährdende oder geheimdienstliche Tätigkeiten für\n2. diese durch ein Schadprogramm übermittelt wurden eine fremde Macht erkennen lassen, an das Bundes-\noder amt für Verfassungsschutz.","2824 Bundesgesetzblatt Jahrgang 2009 Teil I Nr. 54, ausgegeben zu Bonn am 19. August 2009\n(6) Für sonstige Zwecke kann das Bundesamt die automatisierte Auswertung verwendeten Kriterien sind\nDaten übermitteln zu dokumentieren. Der Bundesbeauftragte für den Da-\n1. an die Strafverfolgungsbehörden zur Verfolgung ei- tenschutz und die Informationsfreiheit teilt das Ergebnis\nner Straftat von auch im Einzelfall erheblicher seiner Kontrollen nach § 24 des Bundesdatenschutz-\nBedeutung, insbesondere einer in § 100a Absatz 2 gesetzes auch dem Rat der IT-Beauftragten der Bun-\nder Strafprozessordnung bezeichneten Straftat, desregierung mit.\n2. an die Polizeien des Bundes und der Länder zur Ab- (9) Das Bundesamt unterrichtet den Bundesbeauf-\nwehr einer Gefahr für den Bestand oder die Sicher- tragten für den Datenschutz und die Informationsfrei-\nheit des Staates oder Leib, Leben oder Freiheit einer heit kalenderjährlich jeweils bis zum 30. Juni des dem\nPerson oder Sachen von bedeutendem Wert, deren Berichtsjahr folgenden Jahres über\nErhalt im öffentlichen Interesse geboten ist, 1. die Anzahl der Vorgänge, in denen Daten nach\n3. an die Verfassungsschutzbehörden des Bundes und Absatz 5 Satz 1, Absatz 5 Satz 2 Nummer 1 oder\nder Länder, wenn tatsächliche Anhaltspunkte für Be- Absatz 6 Nummer 1 übermittelt wurden, aufgeglie-\nstrebungen in der Bundesrepublik Deutschland vor- dert nach den einzelnen Übermittlungsbefugnissen,\nliegen, die durch Anwendung von Gewalt oder da- 2. die Anzahl der personenbezogenen Auswertungen\nrauf gerichtete Vorbereitungshandlungen gegen die nach Absatz 3 Satz 1, in denen der Verdacht wider-\nin § 3 Absatz 1 des Bundesverfassungsschutzgeset- legt wurde,\nzes genannten Schutzgüter gerichtet sind.\n3. die Anzahl der Fälle, in denen das Bundesamt nach\nDie Übermittlung nach Satz 1 Nummer 1 und 2 bedarf Absatz 4 Satz 2 oder 3 von einer Benachrichtigung\nder vorherigen gerichtlichen Zustimmung. Für das der Betroffenen abgesehen hat.\nVerfahren nach Satz 1 Nummer 1 und 2 gelten die\nVorschriften des Gesetzes über das Verfahren in Fami- (10) Das Bundesamt unterrichtet kalenderjährlich je-\nliensachen und in den Angelegenheiten der freiwilligen weils bis zum 30. Juni des dem Berichtsjahr folgenden\nGerichtsbarkeit entsprechend. Zuständig ist das Amts- Jahres den Innenausschuss des Deutschen Bundesta-\ngericht, in dessen Bezirk das Bundesamt seinen Sitz ges über die Anwendung dieser Vorschrift.\nhat. Die Übermittlung nach Satz 1 Nummer 3 erfolgt\nnach Zustimmung des Bundesministeriums des Innern; §6\ndie §§ 9 bis 16 des Artikel 10-Gesetzes gelten entspre- Löschung\nchend.\nSoweit das Bundesamt im Rahmen seiner Befug-\n(7) Eine über die vorstehenden Absätze hinausge- nisse personenbezogene Daten erhebt, sind diese un-\nhende inhaltliche Auswertung zu anderen Zwecken verzüglich zu löschen, sobald sie für die Erfüllung der\nund die Weitergabe von personenbezogenen Daten an Aufgaben, für die sie erhoben worden sind, oder für\nDritte sind unzulässig. Soweit möglich, ist technisch si- eine etwaige gerichtliche Überprüfung nicht mehr be-\ncherzustellen, dass Daten, die den Kernbereich privater nötigt werden. Soweit die Löschung lediglich für eine\nLebensgestaltung betreffen, nicht erhoben werden. etwaige gerichtliche Überprüfung von Maßnahmen\nWerden aufgrund der Maßnahmen der Absätze 1 bis 3 nach § 5 Absatz 3 zurückgestellt ist, dürfen die Daten\nErkenntnisse aus dem Kernbereich privater Lebensge- ohne Einwilligung des Betroffenen nur zu diesem\nstaltung oder Daten im Sinne des § 3 Absatz 9 des Zweck verwendet werden; sie sind für andere Zwecke\nBundesdatenschutzgesetzes erlangt, dürfen diese zu sperren. § 5 Absatz 7 bleibt unberührt.\nnicht verwendet werden. Erkenntnisse aus dem Kern-\nbereich privater Lebensgestaltung sind unverzüglich zu\n§7\nlöschen. Dies gilt auch in Zweifelsfällen. Die Tatsache\nihrer Erlangung und Löschung ist zu dokumentieren. Warnungen\nDie Dokumentation darf ausschließlich für Zwecke der (1) Zur Erfüllung seiner Aufgaben nach § 3 Absatz 1\nDatenschutzkontrolle verwendet werden. Sie ist zu Satz 2 Nummer 14 kann das Bundesamt Warnungen\nlöschen, wenn sie für diese Zwecke nicht mehr erfor- vor Sicherheitslücken in informationstechnischen Pro-\nderlich ist, spätestens jedoch am Ende des Kalender- dukten und Diensten und vor Schadprogrammen an die\njahres, das dem Jahr der Dokumentation folgt. Werden betroffenen Kreise oder die Öffentlichkeit weitergeben\nim Rahmen der Absätze 4 oder 5 Inhalte oder Um- oder Sicherheitsmaßnahmen sowie den Einsatz be-\nstände der Kommunikation von in § 53 Absatz 1 Satz 1 stimmter Sicherheitsprodukte empfehlen. Die Hersteller\nder Strafprozessordnung genannten Personen übermit- betroffener Produkte sind rechtzeitig vor Veröffentli-\ntelt, auf die sich das Zeugnisverweigerungsrecht der chung von diese Produkte betreffenden Warnungen zu\ngenannten Personen erstreckt, ist die Verwertung die- informieren, sofern hierdurch die Erreichung des mit der\nser Daten zu Beweiszwecken in einem Strafverfahren Maßnahme verfolgten Zwecks nicht gefährdet wird.\nnur insoweit zulässig, als Gegenstand dieses Strafver- Soweit entdeckte Sicherheitslücken oder Schadpro-\nfahrens eine Straftat ist, die im Höchstmaß mit mindes- gramme nicht allgemein bekannt werden sollen, um\ntens fünf Jahren Freiheitsstrafe bedroht ist. eine Weiterverbreitung oder rechtswidrige Ausnutzung\n(8) Vor Aufnahme der Datenerhebung und -verwen- zu verhindern oder weil das Bundesamt gegenüber\ndung hat das Bundesamt ein Datenerhebungs- und Dritten zur Vertraulichkeit verpflichtet ist, kann es den\n-verwendungskonzept zu erstellen und für Kontrollen Kreis der zu warnenden Personen anhand sachlicher\ndurch den Bundesbeauftragten für den Datenschutz Kriterien einschränken; sachliche Kriterien können ins-\nund die Informationsfreiheit bereitzuhalten. Das Kon- besondere die besondere Gefährdung bestimmter Ein-\nzept hat dem besonderen Schutzbedürfnis der Regie- richtungen oder die besondere Zuverlässigkeit des\nrungskommunikation Rechnung zu tragen. Die für die Empfängers sein.","Bundesgesetzblatt Jahrgang 2009 Teil I Nr. 54, ausgegeben zu Bonn am 19. August 2009 2825\n(2) Zur Erfüllung seiner Aufgaben nach § 3 Absatz 1 §9\nSatz 2 Nummer 14 kann das Bundesamt die Öffentlich- Zertifizierung\nkeit unter Nennung der Bezeichnung und des Herstel-\nlers des betroffenen Produkts vor Sicherheitslücken in (1) Das Bundesamt ist nationale Zertifizierungsstelle\ninformationstechnischen Produkten und Diensten und der Bundesverwaltung für IT-Sicherheit.\nvor Schadprogrammen warnen oder Sicherheitsmaß- (2) Für bestimmte Produkte oder Leistungen kann\nnahmen sowie den Einsatz bestimmter Sicherheitspro- beim Bundesamt eine Sicherheits- oder Personenzerti-\ndukte empfehlen, wenn hinreichende Anhaltspunkte fizierung oder eine Zertifizierung als IT-Sicherheits-\ndafür vorliegen, dass Gefahren für die Sicherheit in dienstleister beantragt werden. Die Anträge werden in\nder Informationstechnik hiervon ausgehen. Stellen sich der zeitlichen Reihenfolge ihres Eingangs bearbeitet;\ndie an die Öffentlichkeit gegebenen Informationen im hiervon kann abgewichen werden, wenn das Bundes-\nNachhinein als falsch oder die zugrunde liegenden Um- amt wegen der Zahl und des Umfangs anhängiger\nstände als unzutreffend wiedergegeben heraus, ist dies Prüfungsverfahren eine Prüfung in angemessener Zeit\nunverzüglich öffentlich bekannt zu machen. nicht durchführen kann und an der Erteilung eines\nZertifikats ein öffentliches Interesse besteht. Der An-\ntragsteller hat dem Bundesamt die Unterlagen vorzule-\n§8\ngen und die Auskünfte zu erteilen, deren Kenntnis für\ndie Prüfung und Bewertung des Systems oder der\nVorgaben des Bundesamtes\nKomponente oder der Eignung der Person sowie für\ndie Erteilung des Zertifikats erforderlich ist.\n(1) Das Bundesamt kann Mindeststandards für die\nSicherung der Informationstechnik des Bundes fest- (3) Die Prüfung und Bewertung kann durch vom\nlegen. Das Bundesministerium des Innern kann nach Bundesamt anerkannte sachverständige Stellen erfol-\nZustimmung des Rats der IT-Beauftragten der Bundes- gen.\nregierung die nach Satz 1 festgelegten Anforderungen (4) Das Sicherheitszertifikat wird erteilt, wenn\nganz oder teilweise als allgemeine Verwaltungsvor-\nschriften für alle Stellen des Bundes erlassen. Soweit 1. informationstechnische Systeme, Komponenten,\nin einer allgemeinen Verwaltungsvorschrift Sicherheits- Produkte oder Schutzprofile den vom Bundesamt\nvorgaben des Bundesamtes für ressortübergreifende festgelegten Kriterien entsprechen und\nNetze sowie die für den Schutzbedarf des jeweiligen 2. das Bundesministerium des Innern festgestellt hat,\nNetzes notwendigen und von den Nutzern des Netzes dass überwiegende öffentliche Interessen, insbe-\numzusetzenden Sicherheitsanforderungen enthalten sondere sicherheitspolitische Belange der Bundes-\nsind, werden diese Inhalte im Benehmen mit dem Rat republik Deutschland, der Erteilung nicht entgegen-\nder IT-Beauftragten der Bundesregierung festgelegt. stehen.\nFür die in § 2 Absatz 3 Satz 2 genannten Gerichte und (5) Für die Zertifizierung von Personen und IT-Sicher-\nVerfassungsorgane haben die Vorschriften nach diesem heitsdienstleistern gilt Absatz 4 entsprechend.\nAbsatz empfehlenden Charakter.\n(6) Eine Anerkennung nach Absatz 3 wird erteilt,\n(2) Das Bundesamt stellt im Rahmen seiner Aufga- wenn\nben nach § 3 Absatz 1 Satz 2 Nummer 10 technische 1. die sachliche und personelle Ausstattung sowie die\nRichtlinien bereit, die von den Stellen des Bundes als fachliche Qualifikation und Zuverlässigkeit der\nRahmen für die Entwicklung sachgerechter Anforderun- Konformitätsbewertungsstelle den vom Bundesamt\ngen an Auftragnehmer (Eignung) und IT-Produkte (Spe- festgelegten Kriterien entspricht und\nzifikation) für die Durchführung von Vergabeverfahren\n2. das Bundesministerium des Innern festgestellt hat,\nberücksichtigt werden. Die Vorschriften des Vergabe-\ndass überwiegende öffentliche Interessen, insbe-\nrechts und des Geheimschutzes bleiben unberührt.\nsondere sicherheitspolitische Belange der Bundes-\nrepublik Deutschland, der Erteilung nicht entgegen-\n(3) Die Bereitstellung von IT-Sicherheitsprodukten\nstehen.\ndurch das Bundesamt nach § 3 Absatz 1 Satz 2 Num-\nmer 11 erfolgt durch Eigenentwicklung oder nach Das Bundesamt stellt durch die notwendigen Maßnah-\nDurchführung von Vergabeverfahren aufgrund einer men sicher, dass das Fortbestehen der Voraussetzun-\nentsprechenden Bedarfsfeststellung. IT-Sicherheitspro- gen nach Satz 1 regelmäßig überprüft wird.\ndukte können nur in begründeten Ausnahmefällen (7) Sicherheitszertifikate anderer anerkannter Zertifi-\ndurch eine Eigenentwicklung des Bundesamtes zur zierungsstellen aus dem Bereich der Europäischen\nVerfügung gestellt werden. Die Vorschriften des Verga- Union werden vom Bundesamt anerkannt, soweit sie\nberechts bleiben unberührt. Wenn das Bundesamt IT- eine den Sicherheitszertifikaten des Bundesamtes\nSicherheitsprodukte bereitstellt, können die Bundes- gleichwertige Sicherheit ausweisen und die Gleichwer-\nbehörden diese Produkte beim Bundesamt abrufen. tigkeit vom Bundesamt festgestellt worden ist.\nDurch Beschluss des Rats der IT-Beauftragten der Bun-\ndesregierung kann festgelegt werden, dass die Bun- § 10\ndesbehörden verpflichtet sind, diese Produkte beim\nBundesamt abzurufen. Eigenbeschaffungen anderer Ermächtigung\nBundesbehörden sind in diesem Fall nur zulässig, wenn zum Erlass von Rechtsverordnungen\ndas spezifische Anforderungsprofil den Einsatz abwei- (1) Das Bundesministerium des Innern bestimmt\nchender Produkte erfordert. Die Sätze 5 und 6 gelten nach Anhörung der betroffenen Wirtschaftsverbände\nnicht für die in § 2 Absatz 3 Satz 2 genannten Gerichte und im Einvernehmen mit dem Bundesministerium für\nund Verfassungsorgane. Wirtschaft und Technologie durch Rechtsverordnung","2826 Bundesgesetzblatt Jahrgang 2009 Teil I Nr. 54, ausgegeben zu Bonn am 19. August 2009\ndas Nähere über das Verfahren der Erteilung von Si- Gesetzes vom 14. August 2009 (BGBl. I S. 2814) geän-\ncherheitszertifikaten und Anerkennungen nach § 9 und dert worden ist, wird wie folgt geändert:\nderen Inhalt.\n1. Nach Absatz 2 Satz 2 werden die folgenden Sätze\n(2) Für Amtshandlungen nach diesem Gesetz und\neingefügt:\nnach den zur Durchführung dieses Gesetzes erlas-\nsenen Rechtsverordnungen werden Gebühren und „Die Bundesnetzagentur erstellt im Benehmen mit\nAuslagen erhoben. Die Höhe der Gebühren richtet sich dem Bundesamt für Sicherheit in der Informations-\nnach dem mit den Amtshandlungen verbundenen Ver- technik und dem Bundesbeauftragten für den Da-\nwaltungsaufwand. Das Bundesministerium des Innern tenschutz und die Informationsfreiheit einen Katalog\nbestimmt im Einvernehmen mit dem Bundesministe- von Sicherheitsanforderungen für das Betreiben von\nrium der Finanzen durch Rechtsverordnung die gebüh- Telekommunikations- und Datenverarbeitungssyste-\nrenpflichtigen Tatbestände, die Gebührensätze und die men. Sie gibt den Herstellern und Betreibern von\nAuslagen. Telekommunikationsanlagen Gelegenheit zur Stel-\nlungnahme. Der Katalog wird von der Bundesnetz-\n§ 11 agentur veröffentlicht.“\nEinschränkung von Grundrechten\nDas Fernmeldegeheimnis (Artikel 10 des Grundge- 2. Absatz 3 wird wie folgt geändert:\nsetzes) wird durch § 5 eingeschränkt.\na) Nach Satz 4 wird folgender Satz eingefügt:\n§ 12 „Die Bundesnetzagentur prüft in regelmäßigen\nRat der IT-Beauftragten der Bundesregierung Abständen unter Berücksichtigung der Bedeu-\nWird der Rat der IT-Beauftragten der Bundesregie- tung der Telekommunikationsanlage die Umset-\nrung aufgelöst, tritt an dessen Stelle die von der Bun- zung des Sicherheitskonzeptes bei dem nach\ndesregierung bestimmte Nachfolgeorganisation. Die Satz 1 Verpflichteten.“\nZustimmung des Rats der IT-Beauftragten kann durch\nb) Der bisherige Satz 6 wird aufgehoben.\nEinvernehmen aller Bundesministerien ersetzt werden.\nWird der Rat der IT-Beauftragten ersatzlos aufgelöst,\ntritt an Stelle seiner Zustimmung das Einvernehmen Artikel 3\naller Bundesministerien.\nInkrafttreten, Außerkrafttreten\nArtikel 2\nDieses Gesetz tritt am Tag nach der Verkündung in\nÄnderung des Kraft. Gleichzeitig tritt das BSI-Errichtungsgesetz vom\nTelekommunikationsgesetzes 17. Dezember 1990 (BGBl. I S. 2834), das zuletzt durch\n§ 109 des Telekommunikationsgesetzes vom 22. Juni Artikel 15 Absatz 11 des Gesetzes vom 5. Februar 2009\n2004 (BGBl. I S. 1190), das zuletzt durch Artikel 3 des (BGBl. I S. 160) geändert worden ist, außer Kraft.\nDie verfassungsmäßigen Rechte des Bundesrates\nsind gewahrt.\nDas vorstehende Gesetz wird hiermit ausgefertigt. Es\nist im Bundesgesetzblatt zu verkünden.\nBerlin, den 14. August 2009\nDer Bundespräsident\nHorst Köhler\nDie Bundeskanzlerin\nDr. A n g e l a M e r k e l\nDer Bundesminister des Innern\nSchäuble\nDer Bundesminister\nf ü r W i r t s c h a f t u n d Te c h n o l o g i e\nDr. K a r l - T h e o d o r z u G u t t e n b e r g"]}