Cyber Security

Was aus dem IT-Sicherheitsgesetz geworden ist

03.11.2017
Von  und Caroline Neufert  


Stefan Pechardscheck schreibt als Experte zum Thema IT Strategy & Governance. Als IT-Experte berät er seit 20 Jahren Unternehmen und Organisationen in Fragen der strategischen Ausrichtung. Er ist Partner bei der Management- und Technologieberatung BearingPoint und verantwortet dort das Thema IT Strategy.
Caroline Neufert ist Senior Manager bei Bearingpoint.
Das Gesetz passierte 2015 den Bundesrat. Wir analysieren, was seither geschah.
  • Im Mai 2017 brachte der Gesetzgeber die Verordnung zum Gesetz heraus, die im Juni im Bundesgesetzblatt verkündet wurde.
  • Im Juli 2017 beschloss das Kabinett Änderung der Außenwirtschaftsverordnung, die auf bessere Regeln insbesondere für Betreiber kritischer Infrastruktur setzt.
  • Ein Ad-hoc-Aktionismus ist zwar sicher nicht sinnvoll, aber eine zügigere oder gestaffelte Umsetzung würde Unternehmen und dem Wirtschaftsstandort Deutschland helfen.
  • Viele Punkte wie der "Stand der Technik" und wann ein Meldepflichtfall vorliegt, sind noch ungeklärt.
IT-Sicherheitsgesetz: Es ist einiges passiert, aber noch nicht genug.
IT-Sicherheitsgesetz: Es ist einiges passiert, aber noch nicht genug.
Foto: fotogestoeber - shutterstock.com

Vor zwei Jahren veröffentlichen wir hier an dieser Stelle einen Beitragzum IT-Sicherheitsgesetz, in dem wir Inhalte und Anforderungen kurz vorstellten. Nun wollen wir sehen, ob das Gesetz Wirkung gezeigt hat. Sind wir, ist Deutschlands Industrie undGovernmentGovernmentsicherer geworden? Wenn man an Angriffe wie WannaCry und Petya im Mai und Juni dieses Jahres denkt, drängt sich dieser Eindruck nicht auf. Alles zu Government auf CIO.de

Neue Verordnung zum IT-Sicherheitsgesetz

Was ist seit 2015 geschehen? Viel, wen es nach dem derzeitigen Bundesinnenminister Thomas de Maizière ginge. Er zeigt sich zufrieden: "Es gab noch keine Legislaturperiode, in der so viel Rechtssetzung und Maßnahmen zur Verbesserung der IT- und Cybersicherheit angestoßen wurden, wie in dieser." So brachte der Gesetzgeber im Mai dieses Jahr endlich die Verordnung zum Gesetz heraus, die offiziell am 29. Juni 2017 im Bundesgesetzblatt verkündet wurde. Die Rechtsverordnung legt qualitative und quantitative Kriterien fest, beispielsweise die Anzahl der versorgten Personen mit einer bestimmten Dienstleistung.

Die Verordnung umfasst die KRITIS-Sektoren Energie, Informationstechnik und Telekommunikation, Ernährung und Wasser sowie Gesundheit, Finanz- und Versicherungswesen, Transport und Verkehr. Damit ist immerhin definiert, für wen das Gesetz überhaupt gilt, d.h. welche Unternehmen und Institutionen eine kritische Infrastruktur betreiben.

Änderung der Außenwirtschaftsverordnung beschlossen

Die noch amtierende Bundeswirtschaftsministerin Brigitte Zypries nahm dies zum Anlass, am 12. Juli 2017 vom Kabinett die 9. Verordnung zur Änderung der Außenwirtschaftsverordnung beschließen zu lassen. Sie setzt damit auf bessere Regeln, insbesondere für Betreiber kritischer Infrastruktur, u.a. für die Prüfung von Firmenübernahmen durch Investoren aus Staaten außerhalb der Europäischen Union.

Dazu Zypries: "In den letzten Jahren haben Unternehmenserwerbe in Zahl und Komplexität deutlich zugenommen. Unser vorhandenes Prüfinstrumentarium muss darauf reagieren. Deshalb haben wir den Umfang der sektorspezifischen Prüfung erweitert und bestimmte kritische Infrastrukturen aufgenommen."

Mehr Tempo bei der Umsetzung wäre hilfreich für Unternehmen

Nun haben Unternehmen zwei Jahre Zeit, den gesetzlichen Anforderungen gerecht zu werden. Das ist zum einen fair, da in den Unternehmen Prozesse angepasst, neue Lösungen eingeführt und auch das Bewusstsein geschult werden müssen. Andererseits: Würde man, wenn beim Nachbar eingebrochen wurde, noch zwei Jahre warten, ehe man einen "Grundschutz" fürs eigene Haus realisiert? Wir sind nicht für Ad-hoc-Aktionismus, aber eine zügigere oder gestaffelte Umsetzung würde den Unternehmen und dem Wirtschaftsstandort Deutschland helfen.

Was ist aus den damaligen Kritikpunkten geworden?

  1. Der damals vielfach bemühte "Stand der Technik" ist bis heute nicht definiert bzw. immer noch zu vage umschrieben. Dass damit dieser notwendige Standard weit auslegbar ist, führt nicht zu einer Erhöhung derIT-SicherheitIT-Sicherheit. Alles zu Security auf CIO.de

  1. Die Meldepflicht ist da. Glücklich ist darüber kaum ein Unternehmen, da immer noch nicht klar ist, ab wann ein Vorfall der Meldepflicht unterliegt. Dadurch kann die Situation entstehen, dass ein Vorkommnis für einen Infrastrukturbetreiber harmlos erscheint, für die Gesellschaft jedoch schwerwiegende Folgen haben kann. Auch sind Betreiber häufig nicht in der Lage, einen Zwischenfall zu prüfen und zeitnah zu beheben – eine Fähigkeit, die nicht zu ihrer jeweiligen Kernkompetenz gehört und auch nicht gehören muss. Erschwerend kommt hinzu, dass das Bundesamt für Sicherheit in der Informationstechnik nun zwar vorsieht, die eingehenden Meldungen automatisiert zu analysieren – daraus aber Sofort-Maßnahmen für die Unternehmen abzuleiten, dazu sieht sich das Amt in seiner Funktion und auch personell gegenwärtig nicht in der Lage.

Fazit

So kann man konstatieren: Es ist einiges passiert, aber nicht genügend! Um die IT-Sicherheit bzw. Cyber-Security zu erhöhen, reichten zwei Jahre wohl nicht aus. Es bleibt zu hoffen, dass die neue Regierungskoalition dem Thema IT-Sicherheit und insbesondere deren nachhaltiger Umsetzung einen großen Stellenwert einräumt, damit Deutschland auch gegen die Gefahren der Digitalisierung gewappnet ist.

Links zum Artikel

Themen: Government und Security

Kommentare zum Artikel

plrost

Zum Stand der Technik gibt es seit 2016 eine Handreichung des Bundesverbandes IT-Sicherheit TeleTrusT e.V. aus Herstellersicht. Sie ist gegenwärtig in Überarbeitung und soll Ende 2017 aktualisiert vorliegen. Sie adressiert sowohl IT-Sicherheitsverantwortliche sowie weniger technikaffine Personen, die mit der Beurteilung, ob eine IT-Landschaft und ansatzweise auch ihre Prozesse dem Stand der Technik entspriechen, befasst sind. Als Einstieg in die Thematik zu empfehlen. Mehr unter teletrust.de/it-sicherheits..., dort unten die Handreichung herunterladen.

Torsten

"Es gab noch keine Legislaturperiode, in der so viel Rechtssetzung und Maßnahmen zur Verbesserung der IT- und Cybersicherheit angestoßen wurden, wie in dieser."

Kann sein, aber: Quantität schlägt eben nicht Qualität. Egal ob's um Socken oder Gesetze geht. Das Gesetz ist nichts als eine bloße Hülle, damit man, getreu dem Aktionismus, sagen kann, man hätte doch was gemacht. Dass das weder Hand noch Fuß hat steht eben auf einem anderen Blatt - Hauptsache mehr gefühlte Sicherheit.

Letzteres ergibt sich schon aus der Meldepflicht Ich wette locker, dass es jeweils einen Faktor 1.000 zwischen der Zahl der gemeldeten Vorfälle im Vergleich zu den dokumentierten im Vergleich zu den tatsächlich erfolgten geben wird. Die meisten (betroffenen) Unternehmen dürften keine Ahnung haben WAS sie überhaupt melden sollen - geschweige denn wie sie es erfassen können. Das ist selbst in IT Unternehmen heute noch mehr Regel als Ausnahme.

comments powered by Disqus
Zur Startseite