IT-Sicherheit

IT-Sicherheitsgesetz muss mehr als Sicherheit versprechen

19.10.2015 von Stefan Pechardscheck und Caroline Neufert

Über IT-Sicherheit wird viel geredet. Betreiber von "kritischen Infrastrukturen" müssen sich spätestens jetzt um IT-Sicherheit kümmern. Aber wird das Gesetz halten, was es verspricht?

Mit der digitalen Durchdringung der Gesellschaft entstehen in nahezu allen Lebensbereichen neue Potenziale. Gleichzeitig erhöhen sich aber auch die Abhängigkeiten von der IT und damit die Bedeutung der Sicherheit der IT. Ereignisse, wie der Sicherheitsangriff auf den Deutschen Bundestag zeigen, dass die IT-Sicherheitslage in Deutschland angespannt ist. "Unser Ziel ist es daher, dass die IT-Systeme und digitalen Infrastrukturen Deutschlands zu den sichersten weltweit gehören. Mit dem vom Deutschen Bundestag verabschiedeten IT-Sicherheitsgesetz kommen wir bei der Stärkung unserer IT-Systeme einen wichtigen Schritt voran. Heute ist ein guter Tag für mehr Sicherheit und Vertrauen im Internet", so Innenminister de Maizière in seiner Erklärung vor dem Deutschen Bundestag.

Ob das vom Bunderstag auf den Weg gebrachte IT-Sicherheitsgesetz hält, was es verspricht, wird davon abhängen, wie ernst es von allen Beteiligten genommen wird.
Foto: Henning Schacht

Für wen gilt das Gesetz?

Nun kommt auf die Betreiber kritischer Infrastrukturen ein Stück Arbeit zu. Wer genau zu diesem Kreis kritischer Infrastrukturen gehört, wessen Leistungen und Produkte bei Verlust einen Versorgungsengpasses beziehungsweise eine Gefahr für die Bevölkerung in welchem Ausmaß entstehen lassen, wird in einer noch zu erstellenden Rechtsverordnung bestimmt, wobei die meisten Betreiber schon ahnen, dass sie dazugehören. So sind betroffene Branchen:

Energie
Wasser
Ernährung
ITK
Transport und Verkehr
Finanz- und Versicherungswesen
Medien und Kultur
Gesundheit und die
Öffentliche Verwaltung.

Was ist zu tun?

Von den betroffenen Branchen wird gefordert:

Verbindliche Mindeststandards zur IT-Sicherheit. Jede einzelne Branche kann aber eigene, für sie relevante Mindeststandards wählen. Eine Orientierung bieten sowohl die BSI 100x-Standards als auch die ISO 2700x-Reihe. Innerhalb von zwei Jahren nach Erlass der Rechtsverordnung müssen Mindestmaßnahmen realisiert sein, wie:
Regelmäßige Awareness-Schulung
Schutz der kritischen Geschäftsprozesse
Organisatorische Verankerung der Informationssicherheit
Die Maßnahmen müssen dem aktuellen Stand der Technik genügen und durch Audits oder Zertifizierungen alle zwei Jahre nachgewiesen werden.
Es besteht eine Meldepflicht an das BSI bei vermuteten und tatsächlichen Angriffen auf die IT-Infrastruktur und zwar unverzüglich. Mittels standardisierter Formulare zur Störung und zu den technischen Rahmenbedingungen wird das BSI über den Vorfall informiert. Eine Pseudonymisierung ist möglich.
Die Kommunikation mit dem BSI muss 24/7 gewährleistet sein.

Bei nicht ordnungsgemäßer Meldung von Sicherheitsvorfällen droht ein Bußgeld von bis zu 50.000 Euro. Bei fehlender Umsetzung angemessener technischer und organisatorischer Maßnahmen, das heißt bei Verstößen gegen diese Vorgaben erhöhen sich die Buße auf bis zu 100.000 Euro.

Technische Sicherheitsmaßnahmen in deutschen Unternehmen

Die Hälfte der deutschen Unternehmen verschlüsselt keine Datenträger.

Nur 23 Prozent der deutschen Unternehmen setzen IT zur Angriffserkennung ein.

Verfahren zur Benutzeridentifikation wie beispielsweise eine Zwei-Faktor-Authentifizierung setzen nur ein Viertel der Unternehmen ein.

Den Bundesbehörden, die nun aufgrund eines Änderungsantrags ebenfalls als kritische Infrastruktur vom Gesetz erfasst werden, drohen zwar keine Geldbußen, aber zumindest die bindende Wirkung der Mindeststandards zur IT-Sicherheit durch Aufnahme in jede relevante Verwaltungsvorschrift - wenn BMI und IT-Rat sich einigen.

Ein ambitioniertes Gesetz

Mit der Begründung für das IT-Sicherheitsgesetz wird oftmals auf die analoge Welt verwiesen, zum einen damit, dass das Internet kein rechtsfreier Raum sei, zum anderen, dass auch hier der Staat eine gewisse Fürsorgepflicht und Schutzfunktion gegenüber der Gesellschaft habe. Dieser Argumentation kann man sich nicht verwehren. Aber folgt ihr dieses Gesetz? Bis es in seiner aktuellen Form verabschiedet wurde, durchlief es mehrere Iterationen, um alle Interessensgruppen zu befrieden. Und auch jetzt wird es noch von vielen Seiten diskutiert. Die drei häufigsten Kritikpunkte sind:

Der Stand der Technik sei ein sehr vager Ausdruck und weit auslegbar, was nicht unbedingt der Erhöhung der IT-Sicherheit dient.
Die Meldepflicht bleibt ein Stein des Anstoßes: Erstens ist noch nicht klar, ab wann ein Vorfall der Meldepflicht unterliegt. Das heißt was für den Infrastrukturbetreiber harmlos aussieht, könnte für die Gesellschaft schwerwiegende Folgen haben. Auch sind die Betreiber, da es nicht zu ihrer jeweiligen Kernkompetenz gehört und auch nicht gehören muss, oftmals nicht in der Lage, den Vorfall zu analysieren und zeitnah zu beheben. Zwar sieht das Gesetz nun vor, auch Hersteller und Zulieferer in die Pflicht zu nehmen, die Betreiber enthebt es dessen jedoch nicht.
Die Erweiterung der IT-Sicherheitsanforderungen auf Diensteanbieter, die nach dem Telemediengesetz geschäftsmäßig Telemedien betreiben. Diese müssen sich gemäß § 13 Abs. 7 TMG angemessen vor Angriffen schützen, den Datenschutz wahren und Angriffe parieren. So wird indirekt der Adressatenkreis, der von dem Gesetz "Betroffenen" vervielfacht.

Fazit

Das IT-Sicherheitsgesetz ist meiner Meinung nach der richtige Schritt auf dem Weg zu mehr IT-Sicherheit in Deutschland. Mit seiner Hilfe werden die Gesellschaft und insbesondere die kritischen Infrastrukturbetreiber und Hersteller von IT-Sicherheitslösungen zu mehr Verantwortung gezwungen. Dazu muss es jedoch ernst genommen werden und nicht, wie von vielen befürchtet, nur scheinbar ein Mehr an Sicherheit versprechen.