Teil 2 - Das Bundesamt
Teil 3 - Sicherheit in der Informationstechnik von Einrichtungen

§15 BSIG – Detektion von Sicherheitsrisiken für die Netz- und IT-Sicherheit und von Angriffsmethoden

(1) Das Bundesamt kann im Rahmen seiner Aufgaben nach § 3 Absatz 1 Satz 2 Nummer 1, 2, 20 oder 24 zur Detektion von Schwachstellen und anderen Sicherheitsrisiken bei Einrichtungen der Bundesverwaltung, besonders wichtigen Einrichtungen oder wichtigen Einrichtungen Abfragen an den Schnittstellen öffentlich erreich- barer informationstechnischer Systeme zu öffentlichen Telekommunikationsnetzen durchführen, um festzustellen, ob diese Schnittstellen unzureichend geschützt und dadurch in ihrer Sicherheit oder Funktionsfähigkeit gefährdet sein können, oder wenn die entsprechenden Einrichtungen darum ersuchen.

Erlangt das Bundesamt dabei Informationen, die durch Artikel 10 des Grundgesetzes geschützt sind, darf es diese nur zum Zwecke der Übermittlung nach § 8 Absatz 6 und 7 verarbeiten.

Sofern die Voraussetzungen des § 8 Absatz 6 und 7 nicht vorliegen, sind Informationen, die nach Artikel 10 des Grundgesetzes geschützt sind, unverzüglich zu löschen.

Abfragen nach Satz 1 dürfen nur durch eine Bedienstete oder einen Bediensteten des Bundesamtes mit der Befähigung zum Richteramt angeordnet werden.

(2) Wird durch Abfragen gemäß Absatz 1 eine Schwachstelle oder ein anderes Sicherheitsrisiko eines informationstechnischen Systems erkannt, sind die für das informationstechnische System Verantwortlichen unverzüglich darüber zu informieren.

Das Bundesamt soll dabei auf bestehende Abhilfemöglichkeiten hinweisen.

Sind dem Bundesamt die Verantwortlichen nicht bekannt oder ist ihre Identifikation nur mit unverhältnismäßigem Aufwand oder über eine Bestandsdatenabfrage nach § 12 möglich, ist hilfsweise der betreibende Dienstleister des jeweiligen Netzes oder Systems unverzüglich zu benachrichtigen, wenn überwiegende Sicherheitsinteressen nicht entgegenstehen.

Das Bundesamt unterrichtet die Bundesbeauftragte oder den Bundesbeauftragten für den Datenschutz und die Informationsfreiheit jeweils bis zum 30. Juni des Folgejahres über die Anzahl der gemäß Absatz 1 ergriffenen Abfragen.

(3) Das Bundesamt darf zur Erfüllung seiner Aufgaben Systeme und Verfahren ein- setzen, welche einem Angreifer einen erfolgreichen Angriff vortäuschen, um den Einsatz von Schadprogrammen oder andere Angriffsmethoden zu erheben und auszuwerten. Das Bundesamt darf dabei die zur Auswertung der Funktionsweise der Schadprogramme und Angriffsmethoden erforderlichen Daten verarbeiten.

Stand: 22.12.2023

Holen Sie sich den NIS2-Umsetzungs-Fahrplan und unseren Newsletter!