Digitale Agenda

Über die Tücken des IT-Sicherheitsgesetzes

Von Thiemo Heeg
20.08.2014
, 17:13
An funktionierenden Computersystemen hat die Wirtschaft großes Interesse. Doch noch sind viele Unternehmen sehr schlecht ausgerüstet - auch wenn es Ausnahmen gibt.

Beinahe wären in der 40.000-Einwohner-Stadt Ettlingen, südlich von Karlsruhe gelegen, die Lichter ausgegangen. Der IT-Profi Felix Lindner hatte sich im Frühjahr in das Computernetz der Stadtwerke eingehackt, mit Billigung des Chefs. Eberhard Oehler wollte wissen, wie sicher die Infrastruktur seines Versorgungsunternehmens wirklich ist. Das Befund: nicht wirklich sicher. Bei seinem virtuellen Einbruch hätte Lindner ganz real 110-Kilovolt-Transformatoren beeinflussen und den Strom im baden-württembergischen Mittelzentrum abschalten können. Aus dem Beinahe-Debakel hat Oehler Konsequenzen gezogen. IT ist nun Chefsache, das Fachpersonal soll aufgestockt, die IT zentraler gestaltet und Passwortvergaben streng geregelt werden.

Wären alle Unternehmen in Deutschland sicherheitstechnisch so weit, hätte es wohl des IT-Sicherheitsgesetzes nicht bedurft, das die Bundesregierung jetzt im Rahmen ihrer Digitalen Agenda vorgelegt hat. Es sieht unter anderem eine Meldepflicht für gravierende Cyberangriffe auf Unternehmen vor. Die Firmen sollen zudem innerhalb von zwei Jahren „angemessene“ Vorkehrungen und Maßnahmen zum Schutz ihrer Computersysteme treffen. In einem Essay für diese Zeitung hatte Bundesinnenminister Thomas de Maizière das Vorhaben begründet (F.A.Z. vom 18. August). „Früher haben wir die Pflicht zum Anschnallen beim Autofahren geregelt. Heute brauchen wir Sicherheitsgurte für die IT der kritischen Infrastrukturen“, schrieb der Ressortchef.
Die Betroffenen reagieren verhalten. Der Hightech-Verband Bitkom, der mehr als 1000 Unternehmen vertritt, gibt zu Protokoll, den überarbeiteten Entwurf „im Grundsatz“ zu begrüßen. Zugleich wird beklagt, dass das Sicherheitsgesetz erst einmal Unsicherheit mit sich bringt. „Noch ist unklar, wer von dem Gesetz tatsächlich betroffen ist“, sagt Verbandspräsident Dieter Kempf. Hierzu benötigten die Unternehmen baldige Planungssicherheit.

Und daran hapert es noch: Eine entsprechende Regelung soll erst im Rahmen einer Verordnung getroffen werden.
Thomas de Maizière nannte in dieser Zeitung eine lange Reihe von „Adressaten“: Unternehmen aus den Bereichen Energie, Informationstechnik und Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung sowie aus dem Finanz- und Versicherungswesen. „Das IT-Sicherheitsniveau ist hier noch sehr unterschiedlich“, bilanzierte der Innenminister. In der Wirtschaft selbst sieht man das durchaus ähnlich. Viele Unternehmen erfüllten schon heute die Vorstellungen des Gesetzgebers, glaubt der Europadirektor des Netzwerkspezialisten Novell, Michael Kleist. Auf der anderen Seite müssten viele Firmen jedoch noch eingehende Überlegungen darüber anstellen, wie ihre eigene Computer-Infrastruktur in der Zukunft aussehen solle.

Mit Überlegungen zur IT-Sicherheit beschäftigt sich die Industrie schon seit geraumer Zeit. In der Vergangenheit waren es freiwillige Initiativen und Angebote wie die „Allianz für Cyber-Sicherheit“, die das Bundesamt für Sicherheit in der Informationstechnik (BSI) und der Bitkom vor etwa zwei Jahren ins Leben riefen und der sich rund 800 Institutionen angeschlossen haben. Darauf scheint der Innenminister auch nach dem Sicherheitsgesetz weiter aufbauen zu wollen. Der Kooperationsgedanke spiele eine bedeutende Rolle, stellte de Maizière klar. Mit Unterstützung des BSI soll die Wirtschaft selbst branchenweite und maßgeschneiderte Standards erarbeiten, die dann verbindlich werden könnten oder müssten.

Das finden auch die Branchenlobbyisten gut. „Ausdrücklich positiv bewerten wir, dass die Wirtschaft in die konkrete Ausgestaltung des Gesetzes einbezogen werden soll“, sagt Bitkom-Chef Kempf. Die Festlegung von IT-Sicherheitsstandards für einzelne Branchen könne nur unter Beteiligung von Unternehmen und Verbänden sinnvoll ausgearbeitet werden können. Auch der Bundesverband der Deutschen Industrie (BDI) „begrüßt“ die Möglichkeiten zur Mitgestaltung, die der neue Referentenentwurf des Gesetzes im Vergleich zur Vorlage aus dem vergangenen Jahr biete. Damals hatte der BDI noch scharfe Worte gegen das Gesetz gefunden: Ob Stärkung der IT-Sicherheit, Ausbau eines staatlichen IT-Lagebildes oder einen verbesserten Informationsaustausch – das Gesetz werde „keines dieser Ziele erreichen“, hieß es noch im Februar in einem internen Positionspapier.

Natürlich hat die Wirtschaft ein hohes Eigeninteresse an einer reibungslos funktionierenden IT-Infrastruktur. Vertreter räumen sogar ein, dass durchaus nicht alle Unternehmen ihrer Verantwortung für sicheren Datenverkehr nachkämen. Dabei ist allzu häufig der einzelne Mitarbeiter die Schwachstelle im System. Es sind Beschäftigte, die unbedarft Virenmails öffnen und damit ihr System infizieren. Es sind Mitarbeiter, die Clouddienste wie Dropbox unbefugt nutzen und sich über Vorgaben der IT-Abteilung hinwegsetzen. Ob ein neues IT-Sicherheitsgesetz diese Schwachstellen beheben kann, ist ungewiss. Eher sind es Ereignisse wie in Ettlingen, die die Augen öffnen. Nur merken es viele Unternehmen oft zu spät, wenn sie Cyber-Opfer geworden sind.

Berlin
Bundesregierung verabschiedet die „Digitale Agenda“
© dpa, reuters
Quelle: F.A.Z.
Thiemo Heeg - Portraitaufnahme für das Blaue Buch "Die Redaktion stellt sich vor" der Frankfurter Allgemeinen Zeitung
Thiemo Heeg
Redakteur in der Wirtschaft.
Twitter
  Zur Startseite
Verlagsangebot
Verlagsangebot