Greifen Hacker Energieunternehmen an, um Stromnetze zu steuern, droht eine Katastrophe. Der am Mittwoch vorgestellte Regierungsentwurf eines IT-Sicherheitsgesetzes soll solche Szenarien verhindern. Die geplanten Regelungen sind elementar, um Gesellschaft und Wirtschaft vor Gefahren aus dem Cyberraum zu schützen, meint Philipp Roos.
In der ersten Jahreshälfte 2014 wurden millionenfache Passwortdiebstähle von Privaten aufgedeckt. Daraufhin konnten Internetnutzer ihre E-Mail-Adressen beim Bundesamt für Sicherheit in der Informationstechnik (BSI) auf eine etwaige Betroffenheit prüfen lassen. Nach dem jüngsten Hackerangriff auf Sony Pictures kursieren mittlerweile vertrauliche E-Mails, Verträge mit bekannten Schauspielern und ganze Drehbücher im Netz. Aber auch staatliche Einrichtungen und kleinere Unternehmen sind täglich von Cyberattacken betroffen. Das verdeutlicht, welch hohen Stellenwert die Sicherheit informationstechnischer Anwendungen für jeden privaten oder staatlichen Internetnutzer hat.
Vor dem Hintergrund dieses Bedrohungspotenzials setzen es sich die Parlamente und Regierungen nun zum Ziel, durch gesetzgeberische Maßnahmen ein höheres Schutzniveau vor den Gefahren aus dem Netz für alle Beteiligten zu generieren.
Einen wesentlichen Fortschritt für das Sicherheitsniveau in Deutschland soll die das geplante Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz) bedeuten. Bei dem Regierungsentwurf, den Bundesinnenminister de Mazière am Mittwoch vorstellte, handelt es sich um ein Paket von Erweiterungen und Änderungen bereits bestehender Gesetze. Im Fokus stehen das Gesetz über das Bundesamt in der Informationstechnik (BSI-Gesetz), das Telemediengesetz (TMG) und das Telekommunikationsgesetz (TKG).
"Kritische Infrastrukturen"
Im Besonderen adressiert der von de Maizière vorgestellte Kabinettsbeschluss die Betreiber sogenannter kritischer Infrastrukturen. Zu solchen Infrastrukturen zählen Einrichtungen und Anlagen aus den Bereichen Energie, Informationstechnik und Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung sowie dem Finanz- und Versicherungswesen.
Als "kritisch" gelten sie dann, wenn ihr Ausfall oder ihre Beeinträchtigung erhebliche Versorgungsengpässe befürchten ließe oder die öffentliche Sicherheit gefährden könnte. Kurzum: Immer wenn eine Katastrophe naheliegend ist, handelt es sich um eine kritische Infrastruktur. Hierzu zählen also mit Sicherheit Krankenhäuser, Banken und Energieversorger. Denn würden sich Hacker der Steuerung von Strom- und Wassernetzen bemächtigen käme es zu einer gesellschaftlichen Katastrophe.
Welche Unternehmen konkret zu diesem Kreis gehören, soll jedoch erst in einer separaten Rechtsverordnung festgelegt werden, § 2 Abs. 10 Satz 2 Entwurf BSI-Gesetz. Indem das Gesetz die Präzisierung an die Exekutive delegiert, verlagert sich die Diskussion über einen wesentlichen Teil des Gesetzes, den genauen Adressatenkreis, somit auf einen späteren Zeitpunkt. Die Verfasser des Regierungsentwurfs gehen davon aus, dass rund 2000 Unternehmen erfasst sind.
Mindeststandards an technischer Sicherheit
Als einen der zentralen Pfeiler verpflichtet das geplante IT-Sicherheitsgesetz die Betreiber dieser kritischen Infrastrukturen, bestimmte organisatorische und technische Mindeststandards einzuhalten, § 8a Abs. 1 Entwurf BSI-Gesetz.
Die entsprechenden Vorkehrungen müssen dem Stand der Technik entsprechen, also fortlaufend beobachtet und geprüft werden. Den Unternehmen verbleibt ein Zeitraum von zwei Jahren ab dem Zeitpunkt ihrer Bestimmung als kritische Infrastruktur, um gegebenenfalls ihre Systeme und Organisationsstrukturen anzupassen.
Das unmittelbar dem Bundesministerium des Innern unterstehende BSI wird das Recht haben, die Einhaltung dieser Standards zu überprüfen und sie festzulegen. In einem zweijährigen Turnus müssen die betroffenen Unternehmen entsprechende Nachweise, sogenannte Sicherheitsaudits, erbringen.
Unternehmen müssen Hackerangriffe melden
Sie sollen außerdem verpflichtet werden, Störungen an ihren Systemen wie Schadprogramme und Hackerattacken gegenüber dem BSI als staatliche Stelle zu melden, § 8b Abs. 4 Entwurf BSI-Gesetz. Auch technische Defekte können die Meldepflicht auslösen.
Dem BSI kommt damit die Aufgabe der "zentralen Meldestelle" zu. Alle sicherheitsrelevanten Vorgänge werden von der in Bonn ansässigen Behörde gesammelt, analysiert und in einem Lagebild zusammengefasst, § 8b Abs. 2 Entwurf BSI-Gesetz.
Daraufhin erhalten die Betreiber der Infrastrukturen, aber auch sonstige Anwender, vom BSI ausgegebene Warnungen vor möglichen Gefahren. Ob diese jedoch tatsächlich zu dem Mehrwert an Informationen und Know-How führen werden, den sich die Regierung erhofft, muss die Zukunft zeigen. Das Potenzial hierfür ist jedoch nicht von der Hand zu weisen.
Im Vorfeld hatten einzelne Unternehmen allerdings Bedenken gegen die Meldepflicht geäußert, sie befürchteten Reputationsverluste, sollten solche Vorfälle öffentlich bekannt werden. Um dem gerecht zu werden, verständigte man sich auf die Möglichkeit einer anonymen Meldung. Erst wenn tatsächliche Schäden eingetreten sind, muss das Unternehmen gegenüber dem BSI namentlich in Erscheinung treten.
Philipp Roos, Regierungsentwurf für IT-Sicherheitsgesetz: . In: Legal Tribune Online, 17.12.2014 , https://www.lto.de/persistent/a_id/14141 (abgerufen am: 05.11.2024 )
Infos zum Zitiervorschlag