Categories: Sicherheit

Ein Jahr IT-Sicherheitsgesetz: Vieles ist noch offen

Das „Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme“, kurz IT-Sicherheitsgesetz, ist seit dem 25. Juli 2015 in Kraft. Das IT-Sicherheitsgesetz ist ein Baustein der Digitalen Agenda der deutschen Bundesregierung und hat ein klares Ziel: die Verbesserung der IT-Sicherheit durch den Ausbau von Partnerschaften mit Betreibern kritischer Infrastrukturen und durch gesetzliche Vorgaben zu Mindestsicherheitsstandards und eine Meldepflicht für erhebliche IT-Sicherheitsvorfälle.

Der Weg zu diesem Ziel und damit das IT-Sicherheitsgesetz selbst wurden von Beginn an kritisch diskutiert. „Ja zum Gesetzeszweck – Kritik an der Umsetzung“ (TeleTrust), „Strafen im IT-Sicherheitsgesetz kritisch“ (Bitkom) oder „Sonderweg bei IT-Sicherheit schadet dem Mittelstand“ (Bundesverband IT-Mittelstand e.V., BITMi) sind Beispiele für die kritischen Anmerkungen im Sommer 2015. Es stellt sich die Frage, wie dies ein Jahr danach aussieht. Konnten Gesetzgeber und das zuständige Bundesamt für Sicherheit in der Informationstechnik (BSI) zum Beispiel für die notwendige Aufklärung sorgen, wer genau unter das IT-Sicherheitsgesetz fällt? Hilft die Verordnung zur Bestimmung kritischer Infrastrukturen (BSI-KRITIS-Verordnung)?

Verordnung soll für mehr Klarheit sorgen

Am 3. Mai 2016 ist die erste BSI-KRITIS-Verordnung in Kraft getreten. Diese Verordnung soll konkretisieren, welche Anlagen aus den Bereichen Informationstechnik und Telekommunikation, Wasser und Ernährung sowie Energie unter den Regelungsbereich des IT-Sicherheitsgesetzes fallen. Eine Änderungsverordnung, die die Sektoren Finanzen, Transport und Verkehr sowie Gesundheit regeln soll, soll Anfang 2017 in Kraft treten.

Durch die Verordnung sollen die Betreiber von Kritischen Infrastrukturen in die Lage versetzt werden, anhand messbarer und nachvollziehbarer Kriterien zu prüfen, ob sie unter den Regelungsbereich des IT-Sicherheitsgesetzes fallen. Zentrale Bedeutung bei der Erarbeitung der Kriterien zur Bestimmung der Betreiber in den jeweiligen Sektoren hat UP KRITIS, eine öffentlich-private Kooperation zwischen Betreibern Kritischer Infrastrukturen, deren Verbänden und den zuständigen staatlichen Stellen.

Doch Betreiber haben Umsetzungsprobleme

Alleine die Verordnung aber kann es nicht richten. Das IT-Sicherheitsgesetz bereitet Umsetzungs-Probleme, so eine Meldung bei CeBIT.de. Hundert Tage nach Inkrafttreten des IT-Sicherheitsgesetzes forderte laut Sopra Steria Consulting jedes dritte Unternehmen Nachbesserung. In neueren Umfragen sieht es nicht besser aus: Mehr als zwei Drittel (67 Prozent) der von NIFIS (Nationale Initiative für Informations- und Internet-Sicherheit e.V.) befragten Unternehmen stufen das IT-Sicherheitsgesetz nur als „ersten Anfang“ ein, 47 Prozent mahnen Modifizierungen an. Für ein knappes Drittel (31 Prozent) der Firmen ist es zu bürokratisch, mehr als ein Viertel (27 Prozent) sieht sich vom Gesetzgeber vor teilweise unlösbare Aufgaben gestellt. Tatsächlich blühen die Angebote an Beratung und Seminaren, die Betreibern Unterstützung dabei anbieten, zuerst einmal festzustellen, ob man denn vom IT-Sicherheitsgesetz überhaupt betroffen ist, und dann im zweiten Schritt die konkrete Umsetzung anzugehen.

Unklarheit herrscht bei den Betreibern unter anderem darüber, wie genau die Meldepflicht nach IT-Sicherheitsgesetz umgesetzt werden soll. Ein weiterer, wichtiger Punkt, der für die Umsetzung geklärt sein muss, ist die Frage nach dem Stand der Technik, denn betroffene Betreiber sind verpflichtet, spätestens zwei Jahre nach Inkrafttreten der Rechtsverordnung „angemessene Vorkehrungen zur Vermeidung von Störungen (…) ihrer informationstechnischen Systeme“ nach dem „Stand der Technik“ zu treffen und dies gegenüber dem BSI nachzuweisen.

HIGHLIGHT

Mehr Sicherheit im smarten Zuhause

Wie Sie Ihr persönliches Internet der Dinge vor versteckten Gefahren schützen

Branchenstandards und Diskussionspapiere sind noch in Arbeit oder Abstimmung

Wie TeleTrust betonte, lässt das Gesetz offen, nach welchen Maßstäben Telemediendiensteanbieter technische und organisatorische Vorkehrungen zu treffen haben und in welchem Verhältnis diese zum hergebrachten technischen Datenschutz stehen. Zur Klärung der Frage nach dem Stand der Technik in diesem Fall hat das BSI das Diskussionspapier „Telemediendienste – Absicherung nach Stand der Technik“ am 5. Juli 2016 veröffentlicht. Das BSI ruft Anbieter von Telemediendiensten auf, den Entwurf bis 15. August 2016 zu kommentieren. Von einer abschließenden Klärung kann hier also noch nicht die Rede sein. TeleTrusT hat zudem eine eigene Handreichung veröffentlicht, die den Unternehmen als Handlungsempfehlung und Orientierung zur Ermittlung des Standes der Technik in der IT-Sicherheit dienen soll.

Für die Entwicklung branchenspezifischer Sicherheitsstandards hat das BSI eine Orientierungshilfe zu Inhalten und Anforderungen zur Verfügung gestellt. Auch hier gibt es in der Umsetzung noch einiges zu tun. Es gibt aber noch weitere Bereiche, die zur Klärung und Umsetzung anstehen, damit das IT-Sicherheitsgesetz sein erklärtes Ziel erreichen kann. Dazu gehört die Anpassung an die EU-Richtlinie zur Erhöhung der Cybersicherheit (NIS-Richtlinie).

Ressourcen müssen stimmen

Zudem muss die Frage nach den Ressourcen des BSI für die neuen Aufgaben geklärt werden. „In einer Zeit, in der die Anzahl und Komplexität von Cyber-Angriffen von Tag zu Tag steigt, muss sichergestellt werden, dass das BSI finanziell wie personell in der Lage ist, den Betreibern bei Sicherheitsvorfällen die erforderliche Expertise und Beratung zu liefern. In diesem Punkt herrscht noch Ungewissheit“, so der Cyber-Sicherheitsrat Deutschland e.V. Zweifellos müssen auch die Betreiber und andere betroffene Unternehmen ihre internen Strukturen, Abläufe und Organisationen noch weiter anpassen und Ressourcen aufstocken.

Die Zwischenbilanz nach einem Jahr IT-Sicherheitsgesetz kann also nur lauten: Die ergriffenen Schritte gehen in die richtige Richtung, am Ende des Weges ist man jedoch noch lange nicht. Viele entscheidende Schritte wie die weitere Arbeit an branchenspezifischen Sicherheitsstandards und der Aufbau einer passenden internen Organisation müssen erst noch gegangen werden. Nur dann kann die IT-Sicherheit im digitalen Zeitalter wirklich besser werden, wie dies die Digitale Agenda plant.

Kai Schmerer

Kai ist seit 2000 Mitglied der ZDNet-Redaktion, wo er zunächst den Bereich TechExpert leitete und 2005 zum Stellvertretenden Chefredakteur befördert wurde. Als Chefredakteur von ZDNet.de ist er seit 2008 tätig.

Recent Posts

Apple meldet Rekordumsatz im vierten Fiskalquartal

Die Einnahmen klettern auf fast 95 Milliarden Dollar. Allerdings belastet der Steuerstreit mit der EU…

2 Tagen ago

Microsoft steigert Umsatz und Gewinn im ersten Fiskalquartal

Das stärkste Wachstum verbucht die Cloud-Sparte. Microsoft verpasst bei der Umsatzprognose für das laufende Quartal…

2 Tagen ago

Bezahlkarten: Infineon verspricht weniger Plastikmüll

Ein Coil-on-Module-Package integriert Chip und Antenne, was den Kartenkörper fast vollständig recycelbar machen soll.

3 Tagen ago

Firefox 132 schließt elf Sicherheitslücken

Mindestens eine Anfälligkeit erlaubt das Einschleusen von Schadcode. Außerdem erweitern die Entwickler den Support für…

3 Tagen ago

Telekom nennt Termin für 2G-Ende

Zum 30. Juni 2028 soll das 2G-Netz komplett abgeschaltet werden und den Weg für schnellere…

3 Tagen ago

Alphabet übertrifft die Erwartungen im dritten Quartal

Gewinn und Umsatz legen deutlich zu. Zum Wachstum tragen auch die Sparten Cloud und Abonnements…

3 Tagen ago