Neues IT-Sicherheitsgesetz: Unternehmen sind nahezu unvorbereitet

illu aa (c) dellAm 12. Juni beschloss der Bundestag ein neues IT-Sicherheitsgesetz zum Schutz kritischer Infrastrukturen vor Cyberangriffen. Ein Kommentar [1].

»Das neue Gesetz betrifft circa 2.000 Unternehmen, die zum größten Teil einen enormen Nachholbedarf an IT-Sicherheit haben und heute nahezu unvorbereitet mit der neuen Gesetzgebung konfrontiert werden. Erfahrungsgemäß sind beispielsweise Stadtwerke oder Krankenhäuser in ihren IT-Abteilungen personell eher dünn aufgestellt. Ein für die IT-Sicherheit eigentlich dringend erforderliches Information Security Management System (ISMS) ist dort meistens eine unbekannte Größe.

Leitstellen und technische Gewerke sind IT-Systeme

Zudem legen davon betroffene Unternehmen das Gesetz unterschiedlich aus – sogar betriebsintern. Einige tendieren zu der Grundhaltung, nur technische Gewerke abseits der IT zu verpflichten. So ist bei manchem Stadtwerk nach dieser Auffassung nur die Leitwarte als kritische Infrastruktur betroffen. Die IT mit den typischen EDV-Services der Office-Bereitstellung, ERP-Systemen etc. klammern Entscheider gerne aus, um Ausgaben für IT-Sicherheit zu vermeiden. Faktisch ist allerdings die Verzahnung von IT und den Leitstellennetzen bereits sehr hoch und muss zwingend ganzheitlich betrachtet werden. Leitstellen und technische Gewerke sind längst IT-Systeme. Moderne Leitstände oder auch profane Gebäudetechnik »sprechen heute IT« und sind ohne zentrale IT-Services aus dem Rechenzentrum heraus bald nicht mehr zu betreiben.

Meldepflicht und Bußgelder

Häufiger Kritikpunkt des Gesetzes ist die Meldepflicht für erfolgte Attacken auf kritische Infrastrukturen. Betroffene Unternehmen empfinden diese als Zumutung, da der Mehrwert zunächst nicht transparent ist. Das BSI hat den Auftrag, aus den anonymisierten Meldungen Gefährdungspotenziale für andere Unternehmen abzuleiten und diese frühzeitig zu warnen. Wie effizient das Vorgehen letztendlich ist, bleibt zunächst offen. Wenn die Meldepflicht effektiv umgesetzt wird und das Gesetz nicht nur zu einem höheren Grad an IT-Sicherheit, sondern auch zu mehr Verständnis für dessen Notwendigkeit führt, ist das Gesetz sinnvoll. Ob die Chance genutzt wird, hängt auch vom Geschick der CIOs ab. Einen besonderen Anreiz fügte die Bundesregierung noch kurz vor Beschluss des Gesetzes ein: Bußgelder von einer Höhe bis zu 100.000 Euro.«

Seit dem ersten Entwurf des IT-Sicherheitsgesetzes im Jahr 2014 stehen die darin enthaltenen Richtlinien in der Diskussion. Jetzt hat der Bundestag das Gesetz offiziell beschlossen. Es ist ein wichtiger Baustein der Initiative zum Schutz kritischer Infrastrukturen (KRITIS) des Bundesamtes für Sicherheit in der Informationstechnik (BSI) sowie des Bundesamtes für Bevölkerungsschutz und Katastrophenhilfe (BBK). Zu KRITIS gehören unter anderem die Branchen Energie, Verkehr, Finanzen und Telekommunikation.

[1] Sven Steinert, Berater für Informationssicherheit und Datenschutz bei AirITSystems, über das umstrittene Gesetz


BITKOM sieht Strafen im IT-Sicherheitsgesetz kritisch

■       Zahlreiche Unklarheiten führen zu Unsicherheit bei den Unternehmen

■       Gesetz nimmt Betreiber kritischer Infrastrukturen in die Pflicht

Der Digitalverband BITKOM sieht die geplanten Sanktionen im IT-Sicherheitsgesetz kritisch. Nach dem jüngsten Entwurf sollen Betreiber kritischer Infrastrukturen wie Energie- und Wasserversorger, wichtige Verkehrsunternehmen oder Teile der Ernährungswirtschaft bis zu 100.000 Euro Strafe zahlen, wenn sie schwerwiegende IT-Sicherheitsvorfälle nicht den Behörden melden oder die geplanten Mindeststandards bei der IT-Sicherheit unterlaufen. »Die Androhung von Strafen macht keinen Sinn, wenn nicht klar ist, wer von dem Gesetz überhaupt betroffen ist, welche Vorfälle gemeldet und welche Sicherheitsstandards eingehalten werden müssen«, sagte BITKOM-Sicherheitsexperte Marc Bachmann anlässlich der Beratungen im Bundestag. »Das geplante IT-Sicherheitsgesetz ist in diesen Punkten zu unbestimmt.« Die entsprechenden Regelungen sollen erst im Rahmen einer Rechtsverordnung getroffen werden, was der BITKOM wiederholt kritisiert hat. »Die Unternehmen brauchen Planungssicherheit, um die Vorgaben erfüllen zu können«, betonte Bachmann. Die Bundesregierung gebe mit der Androhung von Strafen zudem ihre kooperative Haltung auf und setze die Unternehmen unnötig unter Druck.

Positiv wertet der BITKOM hingegen, dass nach dem jüngsten Entwurf künftig auch die Bundesverwaltung unter den Geltungsbereich des Gesetzes fallen soll. Einrichtungen der Regierung und der Verwaltung gehören per Definition zu den kritischen Infrastrukturen. Dass im öffentlichen Sektor höhere Sicherheitsstandards bei der IT-Sicherheit notwendig sind, zeigt aktuell der Hacker-Angriff auf den Bundestag. Unter dem Strich überwiegen für den BITKOM die Vorteile des Gesetzes. Bachmann: »Die Betreiber kritischer Infrastrukturen werden in die Pflicht genommen, den Schutz vor Cyberangriffen zu erhöhen und ihre IT-Sicherheitsmaßnahmen auf dem neuesten Stand zu halten.« Das könne mittelfristig das Schutzniveau in der Wirtschaft insgesamt erhöhen.

Die Bitkom Akademie bietet Unternehmen kostenlose Schulungen zu den Auswirkungen des IT-Sicherheitsgesetzes an. Mehr Informationen unter www.bitkom-akademie.de.