Compliance Lässt sich IT-Sicherheit per Gesetz vorschreiben?

Autor / Redakteur: Lutz Kolmey* / Stephan Augsten

Das IT-Sicherheitsgesetz kommt. Zwei Jahre nach dem ersten Entwurf des Bundesinnenministeriums wurde das „Gesetz zur Erhöhung der Sicherheit informationstechnischer Dienste“ durch die große Koalition verabschiedet. Vor allem auf Betreiber sogenannter Kritischer Infrastrukturen kommen nun einige Pflichten zu.

Firma zum Thema

Zwei Jahre lang haben Unternehmen wie beispielsweise Telekommunikationsanbieter Zeit, ihre IT-Sicherheit an bestehenden Standards auszurichten.
Zwei Jahre lang haben Unternehmen wie beispielsweise Telekommunikationsanbieter Zeit, ihre IT-Sicherheit an bestehenden Standards auszurichten.
(Bild: Archiv)

Lutz Kolmey: „Krisenpläne, Krisenstäbe, Eskalationsprozesse und ähnliches funktionieren nur, wenn sie vor der Krise in Ruhe durchdacht, abgestimmt und fixiert werden.“
Lutz Kolmey: „Krisenpläne, Krisenstäbe, Eskalationsprozesse und ähnliches funktionieren nur, wenn sie vor der Krise in Ruhe durchdacht, abgestimmt und fixiert werden.“
(Bild: mod IT Services)
Die IT-Sicherheitslage in Deutschland sei weiterhin angespannt, heißt es im Gesetzentwurf (Drucksache 18/4096, IT-Sicherheitsgesetz). Dieser beruft sich dabei auf Angaben des Bundesamtes für Sicherheit in der Informationstechnik (BSI). Die Cyber-Angriffe würden in hoher Zahl stattfinden, wären zunehmend zielgerichtet, technologisch ausgereifter und komplexer.

Das Gesetz soll die IT-Sicherheit in Deutschland verbessern und erntete in der Vergangenheit trotz dieses hehren Zieles viel Kritik. Fünf Jahre zu spät und nicht weitreichend genug, beanstandete die Opposition, konnte den Beschluss aber nicht mehr verhindern.

Das Ziel des IT-Sicherheitsgesetzes klingt weitreichend: Es soll die IT-Sicherheit in Unternehmen, den Schutz der Bürgerinnen und Bürger im Internet und das BSI sowie das Bundeskriminalamt (BKA) stärken. Dennoch konzentrieren sich die Regelungen auf die Betreiber Kritischer Infrastrukturen (Kritis) wie z. B. Energieversorger und Telekommunikationsanbieter.

Was steckt im IT-Sicherheitsgesetz? Und was nicht?

Kurzum: Vor allem Betreiber von Infrastrukturen, von denen das Funktionieren unserer Gesellschaft in besonderem Maße abhängt, müssen ab sofort mehr für ihre IT-Sicherheit tun. Das IT-Sicherheitsgesetz verpflichtet sie dazu, „ein Mindestniveau an IT-Sicherheit einzuhalten und dem BSI IT-Sicherheitsvorfälle zu melden“.

Zwei Jahre bleiben den Betreibern kritischer Infrastrukturen nun noch Zeit, organisatorische und technische Vorkehrungen zu treffen, um Störungen zu vermeiden. Mit Störungen meint der Gesetzgeber jeden negativen Einfluss auf die Verfügbarkeit, die Integrität, die Authentizität und die Vertraulichkeit der IT-Systeme und Daten.

In regelmäßigen Sicherheitsaudits muss das IT-Sicherheitsniveau nachgewiesen werden. Darüber hinaus sind die Unternehmen nun verpflichtet, Störfälle an das BSI zu melden und eine sogenannte Kontaktstelle einzurichten. Die Informationen laufen schließlich beim BSI zusammen, werden dort ausgewertet und den Betreibern wieder zur Verfügung gestellt.

Dass für die Einrichtung neuer Prozesse, für neue Technik und einen Mitarbeiter als Ansprechpartner Kosten entstehen, wird in der Erläuterung zum Gesetzentwurf lapidar so angekündigt: „Die Verpflichtung zur Einhaltung eines Mindestniveaus an IT-Sicherheit wird dort zu Mehrkosten führen, wo kein hinreichendes IT-Sicherheitsniveau vorhanden ist.“ Der anfallende Aufwand könne im Vorfeld jedoch nicht quantifiziert werden.

Die Rolle der Telko-Anbieter und Behörden

Das IT-Sicherheitsgesetz geht auch auf die Rolle der Telekommunikationsanbieter ein, sie seien in besonderem Maße für die Sicherheit im Cyberraum verantwortlich. Um die Bürgerinnen und Bürger besser zu schützen, verlangt das Gesetz IT-Sicherheit „nach dem Stand der Technik“.

Ziel ist es, dass das Fernmeldegeheimnis gewahrt bleibt, personenbezogene Daten sicher sind und die Systeme zuverlässig zur Verfügung stehen. Die Anbieter müssen zudem ihre Kunden warnen, wenn ihnen Angriffe auf die Anschlüsse der Nutzer auffallen. Natürlich sind sie auch verpflichtet, dies der Bundesnetzagentur und dem BSI zu melden.

Kritikern genügt das nicht

Vor allem der Opposition im Deutschen Bundestag und Datenschutzrechtlern geht das neue IT-Sicherheitsgesetz nicht weit genug. Angesichts der massiven Sicherheitslücken im IT-Bereich kritisierte die Fraktion Bündnis 90/Die Grünen, dass der Entwurf nicht bereits viel früher vorgelegt worden sei und dass das Gesetz sich nun weitestgehend auf die Betreiber Kritischer Infrastrukturen beschränke, die nicht einmal klar benannt seien.

Die Meldepflichten der öffentlichen Behörden empfinden die Oppositionspolitiker als unzureichend geregelt. Darüber hinaus stellen die Grünen die künftige Rolle des BSI in Frage. Das Ministerium soll künftig zur internationalen Zentralstelle für IT-Sicherheit ausgebaut werden und enger mit dem Bundeskriminalamt zusammenarbeiten.

Für beide Behörden sind zusätzliche Stellen geplant. Allerdings vertraue die Industrie dem BSI nicht im notwendigen Maße, sondern betrachte es mehr als Anhängsel des Bundesinnenministeriums, sagen die Oppositionspolitiker. Sie plädieren für eine unabhängige Behörde.

Und dann wäre da noch das Problem der Vorratsdatenspeicherung: Damit die Telekommunikationsanbieter ihrer Pflicht nachkommen können, die Nutzer über etwaige Angriffe zu informieren, speichern sie Daten auf Vorrat für die Dauer von wenigen Tagen bis zu sechs Monaten. Das IT-Sicherheitsgesetz weitet damit sogar das gültige Telekommunikationsgesetz (TKG) aus, welches bereits eine begrenzte Befugnis zur Vorratsdatenspeicherung zur Störungsabwehr enthält.

Nun sollen auch Angriffe über Botnetze und Spam besser abgewehrt werden können. Diese „freiwillige Vorratsdatenspeicherung“ hatten sowohl Bürgerrechtler als auch der Bundesrat im Vorfeld kritisiert, trotzdem wurde hier nicht nachgebessert.

Was Unternehmen jetzt konkret tun müssen

Da das IT-Sicherheitsgesetz für das geforderte „Mindestmaß an IT-Sicherheit“ nur den Rahmen definiert, müssen nun die betroffenen Firmen gemeinsam mit dem BSI und den verschiedenen Verbänden die Details aushandeln. Zwei Jahre bleiben insgesamt Zeit, bis die entsprechenden Maßnahmen umgesetzt sein sollen.

Im Kern geht es für Unternehmen darum, ihre IT-Sicherheit auf den neuesten Stand zu bringen und Prozesse rund um Sicherheitsaudit, Meldepflichten und Ansprechpartner zu etablieren. Dafür sind einige Analysen und organisatorische Maßnahmen notwendig, die Unternehmen zeitnah einplanen sollten: Eine umfassende Risikoanalyse klärt, welche Bereiche im Unternehmen als kritisch gelten.

Dabei geht es sowohl um die Sicherheit der eigenen Infrastruktur als auch um die Aufrechterhaltung der Dienste mit besonderem Wert für die Gesellschaft. Es gilt zu klären, was eigentlich genau bei Ausfällen passiert und welche Auswirkungen zu erwarten sind. Die besten Risiken sind die, die gar nicht entstehen.

Vorbeugenden Maßnahmen und Strategien kommt hier eine besondere Bedeutung zu: Wie lassen sich Risiken vermeiden oder wenigstens mindern? Und wie lässt sich dies im Rahmen von Sicherheitsaudits regelmäßig überprüfen? Schließlich sollten Unternehmen ihr bestehendes Krisenmanagement prüfen oder ein neues aufbauen. Krisenpläne, Krisenstäbe, Eskalationsprozesse und ähnliches funktionieren nur, wenn sie vor der Krise in Ruhe durchdacht, abgestimmt und fixiert werden.

Wie es weiter geht

In vier Jahren soll das IT-Sicherheitsgesetz evaluiert werden. Da auch auf europäischer Ebene an einer Richtlinie zur IT-Sicherheit (NIS) gearbeitet wird, könnte es schon vor Ablauf dieser Frist notwendig werden, das IT-Sicherheitsgesetz nachzubessern.

Die Sprecher der Koalition werteten den Gesetzesbeschluss als wichtigen Schritt zur Stärkung der IT-Systeme in Deutschland. Und wie wichtig die Debatte um die IT-Sicherheit auf hoher Ebene ist, zeigen nicht zuletzt die jüngsten Hackerangriffe auf den Bundestag.

* Lutz Kolmey ist Senior IT-Managementberater bei mod IT Services.

(ID:43472199)