Alle Angriffe abwehren

Das IT-Sicherheitsgesetz unter die Lupe genommen

Die Sicherheit von Unternehmen sowie der Schutz der Bürger im Internet sollen verbessert werden – so sieht es das jüngst verabschiedete IT-Sicherheitsgesetz vor. Ziel ist es, die digitalen Infrastrukturen Deutschlands zu den sichersten der Welt zu machen.

Basketball

Viele Angriffe bleiben unentdeckt und können daher nicht gemeldet werden.

Viren, Trojaner und andere Schadsoftware machen weder vor staatlichen noch vor privatwirtschaftlichen IT-Infrastrukturen halt und infiltrieren, manipulieren und spähen diese Systeme aus, um an personenbezogene und unternehmenskritische Daten zu gelangen. Cyberangriffe können auf diese Weise nicht nur Produktionsbetriebe, sondern insbesondere Einrichtungen, die für das Funktionieren des Gemeinwesens von zentraler Bedeutung sind – sogenannte kritische Infrastrukturen (Kritis) –, empfindlich beeinträchtigen. Um den Schutz dieser kritischen Infrastrukturen zu verbessern, hat der Deutsche Bundestag im vergangenen Juni das „Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme“ – kurz IT-Sicherheitsgesetz –, das im Rahmen der Digitalen Agenda aufgesetzt wurde, verabschiedet.

Bundesinnenminister Thomas de ­Maizière sieht in der Verabschiedung einen wichtigen Schritt und betont: „Mit der zunehmenden digitalen Durchdringung unseres Lebens wird Cybersicherheit immer mehr zu einem zentralen Baustein der Inneren Sicherheit in unserem Land. Unser Ziel ist es daher, dass die IT-Systeme und digitalen Infrastrukturen Deutschlands zu den sichersten weltweit gehören“. Das Gesetz verpflichtet Betreiber kritischer Infrastrukturen, Angriffe auf ihre IT-Systeme umgehend an das Bundesamt für Sicherheit (BSI) zu melden sowie die Einführung von technischen und organisatorischen Mindestmaßnahmen zur Erhaltung der IT-Sicherheit. Welche konkreten sicherheitsrelevanten Vorkehrungen ergriffen werden sollen, legt der Gesetzgeber zunächst nicht fest. Im Wortlaut heißt es, dass jene Betreiber Vorbereitungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse zu treffen haben, die für die Funktionsfähigkeit der von ihnen betriebenen kritischen Infrastrukturen verantwortlich sind.

„Das Vorhaben der Bundesregierung an sich ist zu begrüßen. Der Erfolg des Gesetzes hängt jedoch von den noch zu definierenden weiteren Vorgaben und deren Kontrollen ab. Durch den gesetzlichen Rahmen schaffen wir eine Erhöhung der Sicherheit in der Breite. Das hilft, die aktuell sehr heterogene Sicherheitslandschaft in den einzelnen Kritis-Sektoren zu homogenisieren“, bewertet Markus Linnemann, Leiter Division Kritische Infrastrukturen bei der Secunet Security Networks AG, das Streben der Bundesregierung.

Schätzungen der Bundesregierung zufolge werden von den Vorgaben des IT-Sicherheitsgesetzes rund 2.000 Kritis aus den Bereichen Energie, Informationstechnik, Transport und Verkehr, Gesundheit, Wasser, Ernährung sowie Finanz- und Versicherungswesen betroffen sein. Eine zusätzliche Rechtsverordnung, in der die Einzelheiten für die jeweiligen Branchen geregelt sind, soll bis Ende des Jahres folgen. Die neu initiierte Meldepflicht wurde lange von Verbänden und Unternehmen gefürchtet, zu sehr sorgen sich diese darum, öffentlich angeprangert zu werden sowie um möglichen Reputationsverlust.

Laut einer amerikanischen Studie halten Unternehmen den möglichen PR-Schaden nach einem Angriff für gravierender als den tatsächlichen Schaden, der z.B. durch den Verlust von Kundendaten entsteht. „Im Interesse der betroffenen Unternehmen dürfen unbedingt nur anonymisierte Informationen an die Öffentlichkeit gelangen. Sonst wird die ohnehin schwierige Akzeptanz für die Meldepflicht weiter sinken“, gibt Ralf Koenzen, Gründungsgesellschafter von Lancom Systems, zu bedenken. Dabei wäre mehr Transparenz für die Bevölkerung in Sachen Sicherheitsvorfälle wünschenswert und im Sinne der freien Marktwirtschaft ein Wettbewerbskriterium. „Einem erfolgreichen Angriff auf IT-Systeme folgt in der Regel ein Diebstahl von digitalen Assets. Betroffene Personen haben den Anspruch und das Recht, darüber informiert zu werden“, bemängelt Dietmar Kenzle, Area Vice President bei Imperva, zudem die Anonymität. Im Vorfeld des Gesetzentwurfes gab es daher Diskussionen darum, ob entsprechende Meldungen anonym zulässig sein sollen, oder ob der Betreiber namentlich genannt werden muss. Herausgekommen ist ein Kompromiss: Grundsätzlich genügt eine anonyme Meldung, eine Nennung des Betreibers wird aber erforderlich, wenn die Störung der IT tatsächlich zu Auswirkungen auf die kritische Infrastruktur geführt hat und potentiell für die ganze Branche gefährlich ist. „Im Notfall ist es wünschenswert, das meldende Unternehmen ansprechen zu können, um weitere Informationen zur Problemlösung zu erfragen. Aber zu Wahrung von anderen Unternehmen und zur statistischen Aufbereitung sind anonyme Informationen bereits eine enorme Hilfe“, bekräftigt Markus Linnemann die Entscheidung.

Zentrale für IT-Sicherheit

Als einheitliche Ansprechstelle für Betriebe, deren IT-Sicherheit betroffen ist, wird das Bundesamt für Sicherheit in der Informationstechnik (BSI) ausgebaut werden. Hauptaufgabe wird es sein, die Meldungen der Betreiber kritischer Infrastrukturen auszuwerten und darauf basierend Verbesserungsvorschläge zu verfassen. Ziel ist es, ein umfassendes Lagebild zu erstellen. „Ob dies eine staatliche Stelle wie das BSI leisten kann, ist fraglich – auch vor dem Hintergrund der personellen und finanziellen Ausstattung. Eine von staatlichen Aufgaben unabhängige Einrichtung wäre dafür besser geeignet“, ist sich Dr. Stefan Krempl, Vorstand der Süd IT AG, sicher. Innerhalb der ersten zwei Jahre nach Erlass der Rechtsverordnung, sieht das Gesetz eine Zusammenfassung von konkreten Sicherheitsstandards der meldepflichtigen Branchen vor. Diese vorzuweisenden Schutzmaßnahmen werden daraufhin vom BSI auf ihre Gewährleistung hin überprüft und müssen im weiteren Zwei-Jahres-Rhythmus in Form von Sicherheitsaudits, Prüfungen oder Zertifizierungen nachgewiesen werden.

Werden entgegen der Vorgaben keine angemessenen technischen und organisatorischen Maßnahmen zur Vermeidung von Störungen implementiert, kann ein Bußgeld von bis zu 100.000 Euro verhängt werden. Ebenfalls bußgeldpflichtig ist der Fall von nicht ordnungsgemäß gemeldeten Sicherheitspannen in Höhe von bis zu 50.000 Euro. „Vor allem bei den Vorfällen der jüngsten Vergangenheit muss man fragen, was eine Strafe von 100.000 Euro im Vergleich zu dem tatsächlichen Schaden ist, der durch Attacken entstehen kann. Werden solche Strafen Unternehmen wirklich motivieren anders vorzugehen? Ich bin skeptisch“, beurteilt Gérard Bauer, Vice President EMEA bei Vectra Networks, die Bußgeldverordnung.

Weil politische Verantwortliche und ihre IT-Infrastrukturen in jüngster Vergangenheit ein beliebtes Ziel von professionellen Hackerangriffen gewesen sind – etwa in Form des Abhörskandals um das Smartphone der Bundeskanzlerin oder die Angriffe auf das Kanzleramt sowie den Bundestag – müssen zumindest Bundesbehörden künftig die Mindestsicherheitsanforderungen an die Computersysteme erfüllen – der Bundestag jedoch nicht. Beanstandet wurde zudem die Entscheidung, die Meldepflicht lediglich für die Wirtschaft und nicht für betroffene Behörden einzuführen.

Zu den weiteren Aufgaben des BSI soll es künftig gehören, gegenüber Produkt- und Systemherstellern anordnen zu können, in zumutbarem Umfang, etwa mit Sicherheitsupdates, dabei zu helfen, Lücken abzudichten oder Störungen zu beseitigen. Darüber ist auch Ralf Koenzen positiv überrascht: „Die im Gesetz vorgesehenen Sicherheitsprüfungen von IT-Produkten waren rechtlich in Deutschland bisher nicht möglich und haben das Potential, das IT-Sicherheitsniveau nachhaltig zu verbessern.“ Unterstützung in seiner neuen Tätigkeit findet das BSI beim Bundeskriminalamt (BKA), dessen Zuständigkeiten auf bestimmte Cyberdelikte, für die bislang noch die Länder verantwortlich sind, ausgeweitet werden sollen und so eine schnelle Reaktion im Ernstfall möglich sein soll. Zudem wird das Bundesamt für Verfassungsschutz dem BSI bei der Analyse potentieller Auswirkungen von Cyberangriffen auf die Verfügbarkeit kritischer Infrastrukturen helfen.

Keine Präventionsmaßnahmen

Das Gesetz stützt sich primär auf die Meldungen im Schadensfall – inklusive Sanktionen bei Vergehen. Doch ist das ausreichend? „Das Gesetz ist gut gemeint – aber nicht unbedingt gut gemacht: Methodisch wäre ein anderer Ansatz sinnvoller gewesen. Das Gesetz rückt die Sicherheitsmaßnahmen nach dem Stand der Technik in den Vordergrund. Basis jeder Sicherheit ist aber ein individuelles Risikomanagement. Dieses würde es für Betreiber kritischer Infrastrukturen leichter machen, die Forderung des Gesetzes nach angemessenen Sicherheitsmaßnahmen zu erfüllen – und gleichzeitig ein optimales Sicherheitsniveau mit vertretbaren Kosten zu erreichen“, beurteilt Dr. Stefan Krempl den Gesetzerlass.

Vorzuziehen wären z.B. Gesetzesinitiativen, die Präventionsmaßnahmen in den Vordergrund rückten. Anstatt sich also auf einen aktuellen Lagebericht zu konzentrieren, sollten Sicherheitsstandards verbessert und erhöht werden. Dies zieht nicht zuletzt die Sensibilisierung der Bevölkerung nach sich. „Die Anbieter sind in der Lage, sehr gute technische Lösungen zur Verfügung zu stellen. Oft vergessen wird aber den Mensch hinter dem Endgerät. Digitalisierung betrifft uns alle. Öffentliche und private Einrichtungen müssen das Thema Cybersicherheit verstärkt auf die Agenda setzen. Das fängt in der Schule an und geht am Arbeitsplatz weiter“, empfiehlt Dirk Arendt, Leitender Beauftragter Public Affairs & New Technologies bei Check Point.

Mit dem aktuellen Stand schafft das Gesetz zunächst einmal Unsicherheit und Verwirrung unter den Betroffenen. Neben unpräzisen Ausformulierungen stehen lange Übergangszeiten ohne Konkretisierungen in der Kritik. „Das Gesetz hat einen ersten Definitionsbereich vorgegeben, allerdings bis dato nur die Branchen genannt. Ich kann sehr gut nachvollziehen, dass Unternehmen momentan unsicher sind. Andererseits arbeiten das BSI und andere Behörden schon an entsprechenden Rechtsnormen, die mehr Klarheit schaffen wird“, resümiert Dirk Arendt.

Bleibt abzuwarten, ob es sich beim IT-Sicherheits­gesetz um eine Schnellschussreaktion der Bundesregierung handelt, oder ob es Potential hat, das gewünschte Ziel der weltweit sichersten Infrastrukturen zu erfüllen.

Bildquelle: Thinkstock/Purestock

©2019Alle Rechte bei MEDIENHAUS Verlag GmbH

Unsere Website verwendet Cookies, um Ihnen den bestmöglichen Service zu bieten. Durch die weitere Nutzung der Seite stimmen Sie der Verwendung zu. Weitere Infos finden Sie in unserer Datenschutzerklärung.

ok