Viele Zweifel ausgeräumt
IT-Sicherheitsgesetz wird ein Jahr alt
von
dpa
Susanne
Gillner - 25.07.2016
Foto: MaximP / Shutterstock.com
Vor gut einem Jahr trat das IT-Sicherheitsgesetz in Kraft. Seitdem sind sieben Meldungen wegen Cyberattacken beim Bundesamt für Sicherheit eingegangen.
Sicherheit per Gesetz: Ein potenzieller Cyberangriff auf die Wasserversorgung, das Stromnetz oder die Kommunikationsnetze kann eine Gesellschaft empfindlich treffen. Als einen Baustein für den Schutz dagegen hat die Bundesregierung vor einem Jahr das IT-Sicherheitsgesetz auf den Weg gebracht. Nach anfänglicher Skepsis stößt es in der Wirtschaft inzwischen auf positive Resonanz. Viele Zweifel zur Machbarkeit sind ausgeräumt. Und: Bislang sind sieben Meldungen wegen Cyberattacken eingegangen. Details zu den Angriffen veröffentlicht das Bundesamt für Sicherheit nicht.
Das seit dem 25. Juli 2015 geltende Gesetz verpflichtet Betreiber kritischer Infrastrukturen wie Energie-Lieferanten, Telekom-Unternehmen oder Wasserbetriebe, ihre IT-Systeme angemessen zu sichern. Außerdem sieht es eine Meldepflicht bei schwereren Vorkommnissen vor. Die Realisierung komme erst langsam ins Rollen, sagte Stephan Kohzer vom Bundesamt für Sicherheit in der Informationstechnik (BSI), der zentralen Anlaufstelle bei solchen Vorfällen.
Das seit dem 25. Juli 2015 geltende Gesetz verpflichtet Betreiber kritischer Infrastrukturen wie Energie-Lieferanten, Telekom-Unternehmen oder Wasserbetriebe, ihre IT-Systeme angemessen zu sichern. Außerdem sieht es eine Meldepflicht bei schwereren Vorkommnissen vor. Die Realisierung komme erst langsam ins Rollen, sagte Stephan Kohzer vom Bundesamt für Sicherheit in der Informationstechnik (BSI), der zentralen Anlaufstelle bei solchen Vorfällen.
Bauchschmerzen bei den ersten Entwürfen
Die ersten Entwürfe hätten damals noch für viel Bauchschmerzen gesorgt, erinnert sich Felix Esser vom Bundesverband der Deutschen Industrie. Die jetzige Ausgestaltung des Gesetzes sei aber begrüßenswert. "Wir sind überwiegend zufrieden." Das Innenministerium sei auf die Bedürfnisse der Unternehmen eingegangen.
Auf Kritik war etwa gestoßen, dass nach Inkrafttreten des Gesetzes über Monate hinweg unklar war, wer überhaupt zu den Betreibern von kritischen Infrastrukturen (Kritis) zählt und welche Kosten auf die Unternehmen zukommen. Eine am 3. Mai in Kraft getretene Verordnung konkretisiert nun die Vorgaben für die Sektoren Energie, Wasser, Informationstechnik und Telekommunikation sowie Ernährung.
Auf Kritik war etwa gestoßen, dass nach Inkrafttreten des Gesetzes über Monate hinweg unklar war, wer überhaupt zu den Betreibern von kritischen Infrastrukturen (Kritis) zählt und welche Kosten auf die Unternehmen zukommen. Eine am 3. Mai in Kraft getretene Verordnung konkretisiert nun die Vorgaben für die Sektoren Energie, Wasser, Informationstechnik und Telekommunikation sowie Ernährung.
2.000 betroffene Anlagen
War zuvor noch von 18.000 Kritis-Unternehmen die Rede, geht das Innenministerium inzwischen von 2.000 betroffenen Anlagen aus, die Zahl der Betreiber dürfte deutlich darunter liegen. "Es hat einen guten und konstruktiven Dialog zwischen Staat und Wirtschaft gegeben", lobt Marc Fliehe vom Digitalverband Bitkom. Die Expertisen der Unternehmen seien in die Ausgestaltung des Gesetzes eingeflossen.
Im Dialog werden branchenspezifisch die Vorgaben erarbeitet, wie ein wirksamer Schutz der Anlagen aussehen muss. "Die Technologie ändert sich ja ständig", sagt Fliehe. Was heute Standard ist, könne morgen bereits veraltet sein. Die Vorgaben müssten deshalb sowohl abstrakt als auch praxistauglich sein.
Auch die Meldepflicht bei kritischen Vorkommnissen war anfangs bei den Unternehmen auf Skepsis gestoßen, Kritikern wie den Netzaktivisten von Netzpolitik.org ging sie dagegen nicht weit genug. Die Meldepflicht soll sicherstellen, dass ein schnelles Eingreifen bei schweren Angriffen möglich ist und vor allem auch die Informationen über aktuelle Attacken schnell ausgetauscht und gemeinsam analysiert werden können.
Im Dialog werden branchenspezifisch die Vorgaben erarbeitet, wie ein wirksamer Schutz der Anlagen aussehen muss. "Die Technologie ändert sich ja ständig", sagt Fliehe. Was heute Standard ist, könne morgen bereits veraltet sein. Die Vorgaben müssten deshalb sowohl abstrakt als auch praxistauglich sein.
Auch die Meldepflicht bei kritischen Vorkommnissen war anfangs bei den Unternehmen auf Skepsis gestoßen, Kritikern wie den Netzaktivisten von Netzpolitik.org ging sie dagegen nicht weit genug. Die Meldepflicht soll sicherstellen, dass ein schnelles Eingreifen bei schweren Angriffen möglich ist und vor allem auch die Informationen über aktuelle Attacken schnell ausgetauscht und gemeinsam analysiert werden können.
Kritiker bemängelten unklare Vorgaben, was ein erheblicher IT-Sicherheitsvorfall denn überhaupt sei. Inzwischen hat das BSI die Kriterien genauer spezifiziert. So fallen etwa Angriffe darunter, die bisher noch nicht veröffentlichte Sicherheitslücken ausnutzen oder die nur mit erheblichem Aufwand abgewehrt werden können.
