Vor zwei Jahren veröffentlichen wir hier an dieser Stelle einen Beitragzum IT-Sicherheitsgesetz, in dem wir Inhalte und Anforderungen kurz vorstellten. Nun wollen wir sehen, ob das Gesetz Wirkung gezeigt hat. Sind wir, ist Deutschlands Industrie undGovernmentsicherer geworden? Wenn man an Angriffe wie WannaCry und Petya im Mai und Juni dieses Jahres denkt, drängt sich dieser Eindruck nicht auf.
Neue Verordnung zum IT-Sicherheitsgesetz
Was ist seit 2015 geschehen? Viel, wen es nach dem derzeitigen Bundesinnenminister Thomas de Maizière ginge. Er zeigt sich zufrieden: "Es gab noch keine Legislaturperiode, in der so viel Rechtssetzung und Maßnahmen zur Verbesserung der IT- und Cybersicherheit angestoßen wurden, wie in dieser." So brachte der Gesetzgeber im Mai dieses Jahr endlich die Verordnung zum Gesetz heraus, die offiziell am 29. Juni 2017 im Bundesgesetzblatt verkündet wurde. Die Rechtsverordnung legt qualitative und quantitative Kriterien fest, beispielsweise die Anzahl der versorgten Personen mit einer bestimmten Dienstleistung.
Die Verordnung umfasst die KRITIS-Sektoren Energie, Informationstechnik und Telekommunikation, Ernährung und Wasser sowie Gesundheit, Finanz- und Versicherungswesen, Transport und Verkehr. Damit ist immerhin definiert, für wen das Gesetz überhaupt gilt, d.h. welche Unternehmen und Institutionen eine kritische Infrastruktur betreiben.
Änderung der Außenwirtschaftsverordnung beschlossen
Die noch amtierende Bundeswirtschaftsministerin Brigitte Zypries nahm dies zum Anlass, am 12. Juli 2017 vom Kabinett die 9. Verordnung zur Änderung der Außenwirtschaftsverordnung beschließen zu lassen. Sie setzt damit auf bessere Regeln, insbesondere für Betreiber kritischer Infrastruktur, u.a. für die Prüfung von Firmenübernahmen durch Investoren aus Staaten außerhalb der Europäischen Union.
Dazu Zypries: "In den letzten Jahren haben Unternehmenserwerbe in Zahl und Komplexität deutlich zugenommen. Unser vorhandenes Prüfinstrumentarium muss darauf reagieren. Deshalb haben wir den Umfang der sektorspezifischen Prüfung erweitert und bestimmte kritische Infrastrukturen aufgenommen."
Mehr Tempo bei der Umsetzung wäre hilfreich für Unternehmen
Nun haben Unternehmen zwei Jahre Zeit, den gesetzlichen Anforderungen gerecht zu werden. Das ist zum einen fair, da in den Unternehmen Prozesse angepasst, neue Lösungen eingeführt und auch das Bewusstsein geschult werden müssen. Andererseits: Würde man, wenn beim Nachbar eingebrochen wurde, noch zwei Jahre warten, ehe man einen "Grundschutz" fürs eigene Haus realisiert? Wir sind nicht für Ad-hoc-Aktionismus, aber eine zügigere oder gestaffelte Umsetzung würde den Unternehmen und dem Wirtschaftsstandort Deutschland helfen.
Was ist aus den damaligen Kritikpunkten geworden?
Der damals vielfach bemühte "Stand der Technik" ist bis heute nicht definiert bzw. immer noch zu vage umschrieben. Dass damit dieser notwendige Standard weit auslegbar ist, führt nicht zu einer Erhöhung derIT-Sicherheit.
Die Meldepflicht ist da. Glücklich ist darüber kaum ein Unternehmen, da immer noch nicht klar ist, ab wann ein Vorfall der Meldepflicht unterliegt. Dadurch kann die Situation entstehen, dass ein Vorkommnis für einen Infrastrukturbetreiber harmlos erscheint, für die Gesellschaft jedoch schwerwiegende Folgen haben kann. Auch sind Betreiber häufig nicht in der Lage, einen Zwischenfall zu prüfen und zeitnah zu beheben – eine Fähigkeit, die nicht zu ihrer jeweiligen Kernkompetenz gehört und auch nicht gehören muss. Erschwerend kommt hinzu, dass das Bundesamt für Sicherheit in der Informationstechnik nun zwar vorsieht, die eingehenden Meldungen automatisiert zu analysieren – daraus aber Sofort-Maßnahmen für die Unternehmen abzuleiten, dazu sieht sich das Amt in seiner Funktion und auch personell gegenwärtig nicht in der Lage.
Fazit
So kann man konstatieren: Es ist einiges passiert, aber nicht genügend! Um die IT-Sicherheit bzw. Cyber-Security zu erhöhen, reichten zwei Jahre wohl nicht aus. Es bleibt zu hoffen, dass die neue Regierungskoalition dem Thema IT-Sicherheit und insbesondere deren nachhaltiger Umsetzung einen großen Stellenwert einräumt, damit Deutschland auch gegen die Gefahren der Digitalisierung gewappnet ist.