Cyber Security

Was aus dem IT-Sicherheitsgesetz geworden ist

03.11.2017 von Stefan Pechardscheck und Caroline Neufert  
Das Gesetz passierte 2015 den Bundesrat. Wir analysieren, was seither geschah.
  • Im Mai 2017 brachte der Gesetzgeber die Verordnung zum Gesetz heraus, die im Juni im Bundesgesetzblatt verkündet wurde.
  • Im Juli 2017 beschloss das Kabinett Änderung der Außenwirtschaftsverordnung, die auf bessere Regeln insbesondere für Betreiber kritischer Infrastruktur setzt.
  • Ein Ad-hoc-Aktionismus ist zwar sicher nicht sinnvoll, aber eine zügigere oder gestaffelte Umsetzung würde Unternehmen und dem Wirtschaftsstandort Deutschland helfen.
  • Viele Punkte wie der "Stand der Technik" und wann ein Meldepflichtfall vorliegt, sind noch ungeklärt.
IT-Sicherheitsgesetz: Es ist einiges passiert, aber noch nicht genug.
Foto: fotogestoeber - shutterstock.com

Vor zwei Jahren veröffentlichen wir hier an dieser Stelle einen Beitragzum IT-Sicherheitsgesetz, in dem wir Inhalte und Anforderungen kurz vorstellten. Nun wollen wir sehen, ob das Gesetz Wirkung gezeigt hat. Sind wir, ist Deutschlands Industrie undGovernmentsicherer geworden? Wenn man an Angriffe wie WannaCry und Petya im Mai und Juni dieses Jahres denkt, drängt sich dieser Eindruck nicht auf.

Neue Verordnung zum IT-Sicherheitsgesetz

Was ist seit 2015 geschehen? Viel, wen es nach dem derzeitigen Bundesinnenminister Thomas de Maizière ginge. Er zeigt sich zufrieden: "Es gab noch keine Legislaturperiode, in der so viel Rechtssetzung und Maßnahmen zur Verbesserung der IT- und Cybersicherheit angestoßen wurden, wie in dieser." So brachte der Gesetzgeber im Mai dieses Jahr endlich die Verordnung zum Gesetz heraus, die offiziell am 29. Juni 2017 im Bundesgesetzblatt verkündet wurde. Die Rechtsverordnung legt qualitative und quantitative Kriterien fest, beispielsweise die Anzahl der versorgten Personen mit einer bestimmten Dienstleistung.

Die Verordnung umfasst die KRITIS-Sektoren Energie, Informationstechnik und Telekommunikation, Ernährung und Wasser sowie Gesundheit, Finanz- und Versicherungswesen, Transport und Verkehr. Damit ist immerhin definiert, für wen das Gesetz überhaupt gilt, d.h. welche Unternehmen und Institutionen eine kritische Infrastruktur betreiben.

Änderung der Außenwirtschaftsverordnung beschlossen

Die noch amtierende Bundeswirtschaftsministerin Brigitte Zypries nahm dies zum Anlass, am 12. Juli 2017 vom Kabinett die 9. Verordnung zur Änderung der Außenwirtschaftsverordnung beschließen zu lassen. Sie setzt damit auf bessere Regeln, insbesondere für Betreiber kritischer Infrastruktur, u.a. für die Prüfung von Firmenübernahmen durch Investoren aus Staaten außerhalb der Europäischen Union.

Dazu Zypries: "In den letzten Jahren haben Unternehmenserwerbe in Zahl und Komplexität deutlich zugenommen. Unser vorhandenes Prüfinstrumentarium muss darauf reagieren. Deshalb haben wir den Umfang der sektorspezifischen Prüfung erweitert und bestimmte kritische Infrastrukturen aufgenommen."

Mehr Tempo bei der Umsetzung wäre hilfreich für Unternehmen

Nun haben Unternehmen zwei Jahre Zeit, den gesetzlichen Anforderungen gerecht zu werden. Das ist zum einen fair, da in den Unternehmen Prozesse angepasst, neue Lösungen eingeführt und auch das Bewusstsein geschult werden müssen. Andererseits: Würde man, wenn beim Nachbar eingebrochen wurde, noch zwei Jahre warten, ehe man einen "Grundschutz" fürs eigene Haus realisiert? Wir sind nicht für Ad-hoc-Aktionismus, aber eine zügigere oder gestaffelte Umsetzung würde den Unternehmen und dem Wirtschaftsstandort Deutschland helfen.

Was ist aus den damaligen Kritikpunkten geworden?

  1. Der damals vielfach bemühte "Stand der Technik" ist bis heute nicht definiert bzw. immer noch zu vage umschrieben. Dass damit dieser notwendige Standard weit auslegbar ist, führt nicht zu einer Erhöhung derIT-Sicherheit.

  1. Die Meldepflicht ist da. Glücklich ist darüber kaum ein Unternehmen, da immer noch nicht klar ist, ab wann ein Vorfall der Meldepflicht unterliegt. Dadurch kann die Situation entstehen, dass ein Vorkommnis für einen Infrastrukturbetreiber harmlos erscheint, für die Gesellschaft jedoch schwerwiegende Folgen haben kann. Auch sind Betreiber häufig nicht in der Lage, einen Zwischenfall zu prüfen und zeitnah zu beheben – eine Fähigkeit, die nicht zu ihrer jeweiligen Kernkompetenz gehört und auch nicht gehören muss. Erschwerend kommt hinzu, dass das Bundesamt für Sicherheit in der Informationstechnik nun zwar vorsieht, die eingehenden Meldungen automatisiert zu analysieren – daraus aber Sofort-Maßnahmen für die Unternehmen abzuleiten, dazu sieht sich das Amt in seiner Funktion und auch personell gegenwärtig nicht in der Lage.

Fazit

So kann man konstatieren: Es ist einiges passiert, aber nicht genügend! Um die IT-Sicherheit bzw. Cyber-Security zu erhöhen, reichten zwei Jahre wohl nicht aus. Es bleibt zu hoffen, dass die neue Regierungskoalition dem Thema IT-Sicherheit und insbesondere deren nachhaltiger Umsetzung einen großen Stellenwert einräumt, damit Deutschland auch gegen die Gefahren der Digitalisierung gewappnet ist.