zum Hauptinhalt
Hilft nicht. Mit herkömmlicher Sicherheitstechnik ist im digitalen Zeitalter wenig anzufangen. Vor allem kritische Infrastruktur braucht einen besonderen Schutz.
© IMAGO
Update

IT-Sicherheitsgesetz: BSI, wir haben ein Problem

Das Bundeskabinett beschließt das IT-Sicherheitsgesetz. Die Regierung will damit die kritischen Infrastrukturen besser schützen. Wie viele Unternehmen künftig Cyberangriffe melden müssen, bleibt aber offen.

Zunächst verschicken die Cyberangreifer E-Mails an ausgewählte Mitarbeiter des Stahlwerks. Über eine gefälschte Webseite erschleichen sie sich deren Zugangsdaten. Am Ende gelingt es ihnen, zu verhindern, dass ein Hochofen heruntergefahren werden kann. Die Anlage wird beschädigt. Was sich liest wie eine Szene aus einem Kinofilm, ist ein realer Fall aus dem Lagebericht des Bundesamts für Sicherheit in der Informationstechnik (BSI) für das Jahr 2014, den Innenminister Thomas de Maizière (CDU) am Mittwoch in Berlin vorstellte.

Wie lässt sich verhindern, dass ein solcher Fall in einer Welt mit vernetzten Industrieanlagen zum Massenphänomen wird? Wie lassen sich die kritischen IT-Strukturen von Energieunternehmen, Telefonie- und Internetanbietern, dem öffentlichen Nah- und Fernverkehr, dem Gesundheitswesen, Wasserwerken, Nahrungsmittelherstellern, Finanzdienstleistern schützen? „Eine erste Antwort auf all diese Fragen ist das IT-Sicherheitsgesetz“, sagte de Maizière, nachdem das Bundeskabinett seinen Entwurf dazu ebenfalls am Mittwoch abgesegnet hatte.

Namentliche Meldung nur bei schweren Angriffen

Das Gesetz soll Unternehmen, die „von hoher Bedeutung für das Funktionieren des Gemeinwesens sind“, verpflichten, Cyberangriffe und sonstige IT-bedingte Störfälle an das BSI zu melden. So heißt es im Gesetzentwurf. Die Unternehmen müssen außerdem Mindeststandards bei der IT-Sicherheit einhalten und sich regelmäßig prüfen lassen. „Positiv bewertet die IT-Branche, dass Meldungen schwerwiegender Sicherheitsvorfälle weitgehend in anonymisierter Form übermittelt werden“, kommentierte Dieter Kempf, Präsident des IT-Branchenverbands Bitkom, den Entwurf. Damit werde vermieden, dass Angriffe dem Ruf eines Unternehmens schadeten. Gleichzeitig seien Firmen so eher bereit, Angriffe beim BSI zu melden.

Die namentliche Meldung war einer der strittigen Punkte bei der Erarbeitung des Entwurfs. Nun muss das Unternehmen seinen Namen nur dann nennen, wenn es tatsächlich zu einem Ausfall gekommen ist, der Betrieb des Unternehmens und damit sogar der gesamten Branche gefährdet ist. Ansonsten erfolgt die Meldung anonym, es müssen nur technische Angaben zum Störfall und zur Branche gemacht werden. Telekommunikationsunternehmen werden darüber hinaus verpflichtet, betroffene Nutzer über Störfälle wie etwa Datenverluste zu informieren.

Bitkom: Unternehmen brauchen Planungssicherheit

Eine der spannendsten Fragen für die Wirtschaft beantwortet der Entwurf aber noch nicht. Wer genau als „kritische Infrastruktur“ eingestuft wird und damit die Auflagen erfüllen muss, soll erst durch eine Verordnung konkretisiert werden. Zuvor wird es ein Konsultationsverfahren mit den betroffenen Branchen und den übrigen verantwortlichen Behörden und Ministerien geben. „Die Unternehmen brauchen möglichst schnell Planungs- und Rechtssicherheit“, betonte Kempf. Das Bundesinnenministerium schätzt, dass etwa 2000 Unternehmen betroffen sein werden.

Zu den Kosten für die Unternehmen hält man sich im Ministerium vornehm zurück. „IT-Sicherheit kostet Geld“, sagte de Maizière. Das gelte für Verbraucher und Verwaltung ebenso wie für die Wirtschaft. Angesichts der Gefahren werde ein Verzicht auf diese Investitionen für Unternehmen ungleich teurer. Eine Schätzung von Bitkom und dem Industrieverband BDI hatte Ausgaben von bis zu 1,1 Milliarden Euro jährlich ergeben.

Keine Vorratsdatenspeicherung

Durch das IT-Sicherheitsgesetz wird nicht nur das BSI, sondern auch das Bundeskriminalamt gestärkt. Nachdem das BSI schon seit einigen Jahren mit dem „Cyberabwehrzentrum“ eine Zentralstelle ist, soll es bis zu 216 neue Stellen bekommen, um das Gesetz umzusetzen. Das BKA bis zu 78.

Ein aus datenschutzrechtlicher Sicht kritischer Punkt ist aus dem Gesetzentwurf gestrichen: Internetanbietern sollte erlaubt werden, Nutzungsdaten ihrer Kunden bis zu sechs Monate lang zu speichern – eine Vorratsdatenspeicherung also. Der Entwurf muss noch Bundestag und Bundesrat passieren.

Simon Frost, Anna Sauerbrey

Zur Startseite