SUCHE

IT-Sicherheitsgesetz
26.06.2015

Der Bundestag hat das IT-Sicherheitsgesetz verabschiedet. „Kritische Infrastrukturen“ sollen sicherheitsrelevante Vorfälle umgehend melden. Betroffen sind auch mittelständische Unternehmen. Was sollen sie melden und an wen müssen sie sich wenden?

Protokoll

Schutz ist für alle Unternehmen wichtig, doch das neue Gesetz soll vor allem die Computernetzwerke von Stromversorgern, Banken und Wasserwerken sicherer machen. (Foto: picture alliance / Bildagentur-online/Ohde)

In den vergangenen Jahren stieg die Zahl der Cyberattacken und sie wird weiter zunehmen. Die Kriminalität verlagert sich ins Netz. Sogar der Bundestag muss nach der aktuellen Attacke sein IT-Netzwerk erneuern, um sich ausreichend zu schützen. Um erhebliche Schäden und weitreichende Folgen zu vermeiden, ist nun das „Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme“ in Kraft getreten – das IT-Sicherheitsgesetz.

Nach dem Gesetz müssen Betreiber Kritischer Infrastrukturen einen Mindeststandard an IT-Sicherheit einhalten und erhebliche IT-Sicherheitsvorfälle an das Bundesamt für Sicherheit in der Informationstechnik (BSI) melden. Unter Kritischen Infrastrukturen versteht das BSI „Organisationen und Einrichtungen mit wichtiger Bedeutung für das staatliche Gemeinwesen, bei deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen eintreten würden.“

Das IT-Sicherheitsgesetz betrifft viele Branchen

Unter das Gesetz fallen Unternehmer aus den Branchen Energie, Informationstechnik und Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung sowie Finanz- und Versicherungswesen. Um die IT-Sicherheit an der „Quelle“ zu steigern, stellt das Gesetz besondere Anforderungen an die Anbieter von Telekommunikations- und Telemediendiensten. „Mit der zunehmenden digitalen Durchdringung unseres Lebens wird Cybersicherheit immer mehr zu einem zentralen Baustein der inneren Sicherheit in unserem Land. Unser Ziel ist es daher, dass die IT-Systeme und digitalen Infrastrukturen Deutschlands zu den sichersten weltweit gehören“, sagt Bundesinnenminister Dr. Thomas de Maizière. Durch das neue Gesetz werden die Kompetenzen des BSI, der Bundesnetzagentur und des Bundeskriminalamts im Bereich der Cyberkriminalität ausgebaut. Doch welche Konsequenzen hat das für die Unternehmen?

Die Kritischen Infrastrukturen müssen ihre Sicherheitsmaßnahmen alle zwei Jahre prüfen und zertifizieren lassen. Die Abnahme erfolgt durch die Bundesnetzagentur, das Bundesamt für Finanzaufsicht oder das BSI. Dazu müssen die Unternehmen eine Reihe von Informationssicherheitsnormen der ISO-27000-Familie oder den BSI-Grundschutz umsetzen: Das bedeutet, Verantwortlichkeiten und Notfallpläne müssen klar strukturiert sein. Es besteht auch die Möglichkeit, eigene Standards zu definieren und durch das BSI genehmigen zu lassen.

Kritik: Meldepflicht präzisieren

Experten halten das geplante IT-Sicherheitsgesetz für unzureichend. „Das ist alles viel zu ungenau formuliert“, bemängelt Ivan Miklecic, Sicherheitsexperte der Beratungsfirma Softscheck. Weder sei genau formuliert, was Mindeststandards in der IT, noch was erhebliche – und damit meldepflichtige – Sicherheitsvorfälle seien. Der Bundesverband der Deutschen Industrie und der Deutsche Industrie- und Handelskammertag beklagen, im Gesetzentwurf sei nicht direkt geregelt, welche Unternehmen der Meldepflicht unterlägen. Sachverständige gehen davon aus, dass zwischen 2.000 und 5.000 Unternehmen meldepflichtig sind. Das breite Spektrum zeigt: Hier besteht noch erheblicher Klärungsbedarf. Die Auswahl der Unternehmen soll demnächst stattfinden, Kriterien sollen die Unternehmensgröße und die erwarteten Auswirkungen auf das Gemeinwohl bei einer Cyberattacke sein.

Die Unternehmensberatung Deloitte rät Unternehmen, die Risiken durch Cyberangriffe auf alle Fälle zu analysieren – auch wenn das Unternehmen nicht zu den vom IT-Sicherheitsgesetz direkt Betroffenen zählt. Die Unternehmensführung sollte prüfen lassen, ob ...

  • ... das Unternehmen vom Gesetz betroffen ist.
  • ... die bereits eingeführten Sicherheitsmaßnahmen dem Standard der Branche entsprechen.
  • ... das Unternehmen Sicherheitsvorfälle entdecken, einordnen und rechtzeitig melden kann.
  • ... die Technik auf dem aktuellen Stand ist.

So sei ein Mindestmaß an Schutz bei Cyberangriffen gewährleistet und bei Vorfällen sei das Unternehmen in der Lage, Kunden und Partner rechtzeitig zu warnen. Das dürfe für das zukünftige Vertrauen in die Geschäftsbeziehungen unerlässlich sein.

Sicherheitslücken füllen

Sachverständige bemängeln, das IT-Sicherheitsgesetz greife an der falschen Stelle. „Statt einer Meldepflicht für Sicherheitsvorfälle brauchen wir eine Meldepflicht für Sicherheitslücken“, fordert Hartmut Pohl, Professor im Fachbereich Informatik der Hochschule Bonn-Rhein-Sieg. Die Lücken seien die Folge von Programmierfehlern oder bewusst in die Software eingebauten Hintertüren. Manchmal entstünden sie auch durch Anwender, die Dinge machten, an die der Programmierer schlicht nicht gedacht habe. Sollte dieser Vorschlag Gehör finden, müsste die Politik dringend entsprechende Anreize setzen, damit der Aufwand nicht einseitig zulasten der betroffenen Unternehmen geht. Die Lücken zu schließen erfordert Investitionen, die sich nicht direkt auf die Effizienz und die Produktivität auswirken.

So melden Unternehmen einen Cyberangriff

Wenn eine Cyberattacke nicht gemeldet wird, drohen bislang keine Sanktionen – außer durch die Öffentlichkeit, wenn sie publik wird. Unternehmen, die Kritische Infrastrukturen betreiben, melden Cyberangriffe und andere sicherheitsrelevante IT-Vorfälle an das BSI, das dem Bundesministerium des Innern unterstellt ist. Beim BSI ist auch das Nationale Cyber-Abwehrzentrum angesiedelt.

Nach oben