T. de Maizière: Ein brüllender Löwe wird zum Papiertiger Was bringt das IT-Sicherheitsgesetz?
Die Bundesregierung will die Bürger durch ein neues IT-Sicherheitsgesetz schützen. Insbesondere richtet sich dies an Betreiber kritischer Infrastrukturen. Wichtige Fragen, beispielsweise welche Unternehmen gemeint sind und warum das Gesetz nicht für Behörden gilt, bleiben allerdings offen.
Anbieter zum Thema

Innenminister Thomas de Maiziere beschreibt die Idee des IT-Sicherheitsgesetzes folgendermaßen: „Wer durch den Einsatz von IT Risiken für andere schafft, hat auch die Verantwortung für den Schutz vor diesen Risiken.“ Des Ministers Ziel: „Die IT-Systeme und digitalen Infrastrukturen Deutschlands sollen die sichersten weltweit werden“.
Welche Unternehmen jedoch genau zu diesen kritischen Infrastrukturen zu zählen sind, ist unklar – und soll erst noch per Verordnung bestimmt werden. Laut dem Gesetzesentwurf müssen Unternehmen der folgenden Branchen damit rechnen, zu den Verpflichteten zu gehören: Energie, Informationstechnik und Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung sowie Finanz- und Versicherungswesen.
Die öffentliche Verwaltung allerdings darf im weltweiten Vergleich zweitklassig bleiben – zu den „Begriffsbestimmungen“ heißt es im Entwurf: „Die Kommunikationstechnik von Regierung, Parlament und öffentlicher Bundesverwaltung ist [...] von den kritischen Infrastrukturen [...] ausgenommen […] Die Verwaltungen der Länder und Kommunen sowie der Sektor Kultur und Medien sind ebenfalls ausgenommen, da der Bund für sie keine Gesetzgebungskompetenz besitzt.“
Daran übt Stefan Mair, Mitglied der BDI-Hauptgeschäftsführung, harsche Kritik: „Der Staat ist der größte Betreiber kritischer Infrastrukturen. Die entsprechenden Meldepflichten und Sicherheitsstandards sollten deshalb auch für staatliche Stellen gelten“. Auch der Auswahl der Wirtschaftsbereiche, die unter das Gesetz fallen sollen, scheint es an einer durchgängigen Systematik zu mangeln.
Verpflichtet werden sollen beispielsweise im Sektor Finanz- und Versicherungswesen der „Wertpapier- und Derivatshandel (Branche: Börsen)“. Um die Wertpapiere scheint sich der Sozialwissenschaftler Klaus-Peter Saalbach von der Universität Oldenburg weniger den Kopf zu zerbrechen – stattdessen nennt er in einer Untersuchung über „Cyberwar Grundlagen-Methoden-Beispiele“ „Technologien, die die Angriffsfläche für Angriffe erheblich vergrößern“:
- „Das Next oder New Generation Network NGN, bei dem Fernsehen, Internet und Telefon über das Internetprotokoll (Triple-Play) mit paketweiser Verschickung von Daten arbeiten
- Das Internet of Things IoT, bei dem Gegenstände Internetadressen erhalten, was in Zukunft ihrer Nachverfolgung, Lokalisation und der Übermittlung von Zustandsmeldungen dienen kann bzw. soll. Im IoT kommunizieren Maschinen und mit Radiofrequency Identification Chips (RFID) versehene Gegenstände mit Computern und auch miteinander. Eine erhebliche geplante Erweiterung ist auch die Vernetzung von Kraftfahrzeugen zur Car-to-Car-communication.
- Die Fernwartung und –steuerung von Industriemaschinen über speicherprogrammierbare Steuerungen, auch als Industrial Control Systems ICS bzw. Supervisory Control and Data Acquisition SCADA bezeichnet. SCADA-Systeme ermöglichen die Kommunikation mit Maschinen über das Internet.
- Die Vernetzung von Waffen und Geräten in der vernetzten Kriegführung schafft bis dahin unbekannte Probleme, z.B. die Absicherung und Stabilisierung fliegender Computernetzwerke in der Luftwaffe
- Weitere geplante Erweiterungen des Netzes sind intelligente Haushaltsgeräte und Stromzähler (Smart Grid) und die Nutzung externer Rechenzentren über das Internet anstelle der Vorhaltung eigener Kapazitäten (Cloud Computing)
- Die Einführung internetfähiger Mobiltelefone (Smartphones), die nun auch die Funktionen von Navigationsgeräten (GPS-Standortangaben, Global Positioning System) integrieren.“
Die Schlussfolgerung des Professors: „Die Kombination aus machine-to-machine communication, Internet of Things und SCADA-Systemen ist ein zentrales Element cyber-physischer Systeme CPS, in denen Produktionsprozesse zunehmend durch Netzwerke von Maschinen, Produkten und Materialien gemanagt und ggf. auch modifiziert werden.“
(ID:43024142)