Am 12.06.2015 fanden im Bundestag die zweite und dritte Lesung sowie die finale Abstimmung zur Verabschiedung des Gesetzentwurfs zur Erhöhung der Sicherheit informationstechnischer Systeme (kurz IT-Sicherheitsgesetz) statt. Das Gesetz wurde mit der Mehrheit der großen Koalition angenommen.
Cyber-Attacke auf den Bundestag
Selten hatte eine Abstimmung einen solch aktuellen Bezug. Denn während im Plenarsaal über die Verabschiedung debattiert wurde, kämpften die IT-Sicherheitsabteilung des Bundestags und das Bundesamt für Sicherheit in der Informationstechnik (BSI) nach einem Cyber-Angriff um die Kontrolle und Integrität der internen Netzwerke des Bundestags.
Die Bundestags-IT zeigt damit auch, dass die Gefahr durch Cyber-Attacken aus dem Internet kein abstraktes Risikoszenario ist, sondern eine reale Bedrohung. Dem Bundestag ist damit genau das passiert, wovor das verabschiedete Gesetz die kritischen Infrastrukturen in Deutschland schützen soll, dem Kontrollverlust über die sie beherrschenden IT-Systeme.
Wer ist betroffen
Mit dem Begriff der kritischen Infrastrukturen sind all jene Unternehmen und Services gemeint, die für ein funktionierendes Gemeinwesen unerlässlich sind. Das verabschiedete IT-Sicherheitsgesetz sieht vor, dass eine ergänzende Rechtsverordnung erstellt wird, um entsprechende qualitative und quantitative Kriterien festzulegen, nach denen ein Unternehmen den kritischen Infrastrukturen zugeordnet werden kann.
Im Fokus stehen dabei Unternehmen aus den Sektoren Energie (Elektrizität, Gas, Mineralöl), Informationstechnik und Telekommunikation, Transport und Verkehr (Luftfahrt, Schifffahrt, Logistik), Gesundheit (Krankenhäuser, Pharmahersteller, Labore), Wasserversorgung und Abwasserentsorgung, Ernährung sowie das Finanz- und Versicherungswesen.
Experten und Bundesregierung gehen derzeit davon aus, dass wahrscheinlich 2.000 Unternehmen vom IT-Sicherheitsgesetz betroffen sein werden. Für Einrichtungen des Staates und der Verwaltung und den Sektor Medien und Kultur (Rundfunk, Presse und Kulturgüter) gilt als "Spezialregelung" nur ein Teil der Paragraphen des IT-Sicherheitsgesetzes.
Handlungsbedarfe für die betroffenen Unternehmen
Für die Betreiber der kritischen Infrastrukturen gilt es nun innerhalb der nächsten zwei Jahre Informations- und IT-Sicherheit nach dem Stand der Technik herzustellen. Sowohl der Bundesrat, die Opposition als auch Experten bemängeln, dass der Begriff "Stand der Technik" keiner verbindlichen Definition folgt. Vielmehr sollen innerhalb von Branchenverbänden Standards formuliert werden.
Die im Gesetz definierten Anforderungen könnten durch die Implementierung eines Informationssicherheits-Managementsystem (ISMS) erreicht werden, das sich an der ISO 27001 orientiert. Die Relevanz dieses internationalen Standards zeigt sich auch daran, dass der vom BSI aufgestellte IT-Grundschutz-Katalog auf diesem aufbaut.
Meldepflichten
Neben der Schaffung von Informationssicherheit durch den Betrieb eines ISMS sind die betroffenen Unternehmen nun auch verpflichtet, Strukturen aufzubauen, um ihren im Gesetz verankerten Meldepflichten nachzukommen. Bereits die Möglichkeit zu einer Beeinträchtigung reicht dabei aus, um die Meldepflicht auszulösen. Damit soll erreicht werden, dass gegebenenfalls auch von demselben Problem betroffene Unternehmen rechtzeitig informiert werden können. In diesen Fällen genügt eine pseudonyme beziehungsweise anonyme Meldung. Diese ist allerdings nicht mehr vorgesehen, wenn es sich um erhebliche Sicherheitsvorfälle handelt; solche sind namentlich zu melden.
Das BSI als Kontrollinstanz
Mit Inkrafttreten des Gesetzes übernimmt das BSI die "Verantwortung für die IT-Sicherheit auf nationaler Ebene". Das heißt, es ist verantwortlich für die Überprüfung der branchenspezifisch ausgearbeiteten Standards sowie für deren fristgerechte Umsetzung in den kritischen Infrastrukturen. Außerdem soll die Bundesbehörde zunehmend für Bürger, Unternehmen, Verwaltungen und die Politik als Ansprechpartner für Fragen der IT-Sicherheit dienen. Dafür soll sie auch personell und finanziell aufgestockt werden.
Bußgelder
Nachdem Experten und Opposition bemängelt haben, dass aufgrund von fehlenden Sanktionsmaßnahmen kaum Anreize für die betroffenen Unternehmen bestehen, die Anforderungen des Gesetzes umzusetzen, wurde der letzte Entwurf um die Möglichkeit, Bußgelder auszusprechen, erweitert. IT-Sicherheitsvorfälle, die sich durch Versäumnisse bei der Umsetzung der IT-Sicherheitsmaßnahmen begründen lassen, können nun mit bis zu 100.000 Euro bestraft werden. Mit - allerdings geringeren - Bußgeldern können auch Versäumnisse in Bezug auf die Meldepflichten sanktioniert werden.
Handlungsempfehlungen für betroffene Unternehmen
Der auf zwei Jahre angesetzte Zeitraum bis zur Umsetzung der Anforderungen ist erfahrungsgemäß knapp bemessen. Den voraussichtlich betroffenen Unternehmen ist daher zu empfehlen, so früh wie möglich damit zu beginnen, den eigenen Reifegrad bezüglich Umsetzung von Gesetzesanforderungen zu evaluieren und damit zu beginnen, eventuell vorliegende Defizite abzustellen.
Fazit und Ausblick
Ob durch das verabschiedete Gesetz die IT-Sicherheit der kritischen Infrastrukturen nachhaltig verbessert werden kann, muss sich noch zeigen. Dazu soll es nach vier Jahren erstmals evaluiert werden. Der Aufbau eines ISMS und der Meldestrukturen wird einige der betroffenen Unternehmen vor erhebliche finanzielle und personelle Herausforderungen stellen.
Wirtschaftsverbände fürchten daher insbesondere für international agierende Unternehmen Wettbewerbsnachteile. Andererseits kann die ausweisbare Informationssicherheit selbst wiederum einen erheblichen Wettbewerbsvorteil darstellen. (bw)