Fazit nach einem Jahr IT-Sicherheitsgesetz

Das seit dem 25. Juli 2015 geltende Gesetz verpflichtet Betreiber kritischer Infrastrukturen wie Energie-Lieferanten, Telekom-Unternehmen oder Wasserbetriebe, ihre IT-Systeme angemessen zu sichern. Außerdem sieht es eine Meldepflicht bei schwereren Vorkommnissen vor. Die Realisierung komme erst langsam ins Rollen, sagte Stephan Kohzer vom Bundesamt für Sicherheit in der Informationstechnik (BSI), der zentralen Anlaufstelle bei solchen Vorfällen.

Zu Beginn wurde das IT-Gesetz kritisiert

Die ersten Entwürfe hätten damals noch für viel Bauchschmerzen gesorgt, erinnert sich Felix Esser vom Bundesverband der Deutschen Industrie. Die jetzige Ausgestaltung des Gesetzes sei aber begrüßenswert. "Wir sind überwiegend zufrieden." Das Innenministerium sei auf die Bedürfnisse der Unternehmen eingegangen. Auf Kritik war etwa gestoßen, dass nach Inkrafttreten des Gesetzes über Monate hinweg unklar war, wer überhaupt zu den Betreibern von kritischen Infrastrukturen (Kritis) zählt und welche Kosten auf die Unternehmen zukommen. Eine am 3. Mai in Kraft getretene Verordnung konkretisiert nun die Vorgaben für die Sektoren Energie, Wasser, Informationstechnik und Telekommunikation sowie Ernährung.

War zuvor noch von 18 000 Kritis-Unternehmen die Rede, geht das Innenministerium inzwischen von 2000 betroffenen Anlagen aus, die Zahl der Betreiber dürfte deutlich darunter liegen. "Es hat einen guten und konstruktiven Dialog zwischen Staat und Wirtschaft gegeben", lobt Marc Fliehe vom Digitalverband Bitkom. Die Expertisen der Unternehmen seien in die Ausgestaltung des Gesetzes eingeflossen. Im Dialog werden branchenspezifisch die Vorgaben erarbeitet, wie ein wirksamer Schutz der Anlagen aussehen muss. "Die Technologie ändert sich ja ständig", sagt Fliehe. Was heute Standard ist, könne morgen bereits veraltet sein. Die Vorgaben müssten deshalb sowohl abstrakt als auch praxistauglich sein.

Kritik wurde leiser

Auch die Meldepflicht bei kritischen Vorkommnissen war anfangs bei den Unternehmen auf Skepsis gestoßen, Kritikern wie den Netzaktivisten von Netzpolitik.org ging sie dagegen nicht weit genug. Die Meldepflicht soll sicherstellen, dass ein schnelles Eingreifen bei schweren Angriffen möglich ist und vor allem auch die Informationen über aktuelle Attacken schnell ausgetauscht und gemeinsam analysiert werden können. Kritiker bemängelten unklare Vorgaben, was ein erheblicher IT-Sicherheitsvorfall denn überhaupt sei. Inzwischen hat das BSI die Kriterien genauer spezifiziert. So fallen etwa Angriffe darunter, die bisher noch nicht veröffentlichte Sicherheitslücken ausnutzen oder die nur mit erheblichem Aufwand abgewehrt werden können.

Viele Unternehmen befürchteten eigenen wirtschaftlichen Schaden oder Imageverlust, wenn sie einen Vorfall öffentlich melden müssen. Die Behörden seien auf die Ängste eingegangen, sagte Fliehe. Inzwischen hätten das BSI und das Innenministerium konkrete Wege erarbeitet, über welche Kanäle kommuniziert werden muss. Große Vorbehalte gebe es heute nicht mehr - auch weil das BSI die Möglichkeit vorhalte, Vorfälle unter bestimmten Umständen anonym zu melden. Auch wenn die Realisierung bis heute erfolgreich verlief, blieben jedoch Fragen offen, sagte Esser. Im zweiten Korb kommen im ersten Quartal 2017 die Sektoren Finanz- und Versicherungswesen, Transport und Verkehr sowie Gesundheit hinzu. Hier müsse darauf geachtet werden, dass man Doppelregelungen vermeidet. So dürfe es nicht sein, dass ein Sicherheitsvorfall bei einem Transport von Medikamenten etwa mit der Bahn an mehrere Behörden gemeldet werden müsse, weil er unter die Sektoren Logistik und Gesundheit falle.

Eine weitere Herausforderung liege in der Harmonisierung mit dem neuen Cybersicherheitsgesetz auf EU-Ebene (NIS), das seit rund einem halben Jahr gilt, sagte Esser. Unterschiedliche nationale Umsetzungen könnten verschiedene Sicherheitsanforderungen hervorbringen. "Hier müssten Doppelbelastungen für Unternehmen vermieden werden."