Ein Jahr IT-Sicherheitsgesetz: Sieben schwere Attacken
Seit einem Jahr gilt die gesetzliche Meldepflicht für Hacker-Attacken auf kritische Infrastrukturen
Bild: dpa
Ein potenzieller Cyberangriff auf die
Wasserversorgung, das Stromnetz oder die Kommunikationsnetze kann
eine Gesellschaft empfindlich treffen. Als einen Baustein für den
Schutz dagegen hat die Bundesregierung vor einem Jahr das
IT-Sicherheitsgesetz auf den Weg gebracht. Nach anfänglicher Skepsis
stößt es in der Wirtschaft inzwischen auf positive Resonanz. Viele
Zweifel zur Machbarkeit sind ausgeräumt.
Das seit dem 25. Juli 2015 geltende Gesetz verpflichtet Betreiber kritischer Infrastrukturen wie Energie-Lieferanten, Telekom-Unternehmen oder Wasserbetriebe, ihre IT-Systeme angemessen zu sichern. Außerdem sieht es eine Meldepflicht bei schwereren Vorkommnissen vor. Die Realisierung komme erst langsam ins Rollen, sagte Stephan Kohzer vom Bundesamt für Sicherheit in der Informationstechnik (BSI), der zentralen Anlaufstelle bei solchen Vorfällen.
Wie die Behörde mitteilte, sind bislang sieben Meldungen wegen Cyberattacken eingegangen. Details zu den Angriffen veröffentlicht das BSI nicht - die gemeldeten Vorfälle werden wegen der erhöhten Schutzbedürftigkeit vertraulich behandelt. Der Branchenverband Bitkom geht allerdings von einer gewissen Dunkelziffer aus, weil die Regeln für die Meldung noch nicht in allen Unternehmen bekannt seien.
Anfangs noch Bauchschmerzen
Seit einem Jahr gilt die gesetzliche Meldepflicht für Hacker-Attacken auf kritische Infrastrukturen
Bild: dpa
Die ersten Entwürfe hätten damals noch für viel Bauchschmerzen
gesorgt, erinnert sich Felix Esser vom Bundesverband der Deutschen
Industrie. Die jetzige Ausgestaltung des Gesetzes sei aber
begrüßenswert. "Wir sind überwiegend zufrieden." Das Innenministerium
sei auf die Bedürfnisse der Unternehmen eingegangen.
Auf Kritik war etwa gestoßen, dass nach Inkrafttreten des Gesetzes über Monate hinweg unklar war, wer überhaupt zu den Betreibern von kritischen Infrastrukturen (Kritis) zählt und welche Kosten auf die Unternehmen zukommen. Eine am 3. Mai in Kraft getretene Verordnung konkretisiert nun die Vorgaben für die Sektoren Energie, Wasser, Informationstechnik und Telekommunikation sowie Ernährung.
Schnelles Eingreifen sicherstellen
War zuvor noch von 18 000 Kritis-Unternehmen die Rede, geht das Innenministerium inzwischen von 2000 betroffenen Anlagen aus, die Zahl der Betreiber dürfte deutlich darunter liegen. "Es hat einen guten und konstruktiven Dialog zwischen Staat und Wirtschaft gegeben", lobt Marc Fliehe vom Digitalverband Bitkom. Die Expertisen der Unternehmen seien in die Ausgestaltung des Gesetzes eingeflossen.
Im Dialog werden branchenspezifisch die Vorgaben erarbeitet, wie ein wirksamer Schutz der Anlagen aussehen muss. "Die Technologie ändert sich ja ständig", sagt Fliehe. Was heute Standard ist, könne morgen bereits veraltet sein. Die Vorgaben müssten deshalb sowohl abstrakt als auch praxistauglich sein.
Auch die Meldepflicht bei kritischen Vorkommnissen war anfangs bei den Unternehmen auf Skepsis gestoßen, Kritikern wie den Netzaktivisten von Netzpolitik.org ging sie dagegen nicht weit genug. Die Meldepflicht soll sicherstellen, dass ein schnelles Eingreifen bei schweren Angriffen möglich ist und vor allem auch die Informationen über aktuelle Attacken schnell ausgetauscht und gemeinsam analysiert werden können.
Kritiker bemängeln unklare Vorgaben
Kritiker bemängelten unklare Vorgaben, was ein erheblicher IT-Sicherheitsvorfall denn überhaupt sei. Inzwischen hat das BSI die Kriterien genauer spezifiziert. So fallen etwa Angriffe darunter, die bisher noch nicht veröffentlichte Sicherheitslücken ausnutzen oder die nur mit erheblichem Aufwand abgewehrt werden können.
Viele Unternehmen befürchteten eigenen wirtschaftlichen Schaden oder Imageverlust, wenn sie einen Vorfall öffentlich melden müssen. Die Behörden seien auf die Ängste eingegangen, sagte Fliehe. Inzwischen hätten das BSI und das Innenministerium konkrete Wege erarbeitet, über welche Kanäle kommuniziert werden muss. Große Vorbehalte gebe es heute nicht mehr - auch weil das BSI die Möglichkeit vorhalte, Vorfälle unter bestimmten Umständen anonym zu melden.
Doppelregelungen vermeiden
Auch wenn die Realisierung bis heute erfolgreich verlief, blieben jedoch Fragen offen, sagte Esser. Im zweiten Korb kommen im ersten Quartal 2017 die Sektoren Finanz- und Versicherungswesen, Transport und Verkehr sowie Gesundheit hinzu. Hier müsse darauf geachtet werden, dass man Doppelregelungen vermeidet. So dürfe es nicht sein, dass ein Sicherheitsvorfall bei einem Transport von Medikamenten etwa mit der Bahn an mehrere Behörden gemeldet werden müsse, weil er unter die Sektoren Logistik und Gesundheit falle.
Eine weitere Herausforderung liege in der Harmonisierung mit dem neuen Cybersicherheitsgesetz auf EU-Ebene (NIS), das seit rund einem halben Jahr gilt, sagte Esser. Unterschiedliche nationale Umsetzungen könnten verschiedene Sicherheitsanforderungen hervorbringen. "Hier müssten Doppelbelastungen für Unternehmen vermieden werden."