IT-Sicherheitsgesetz als Chance: Ohne Engagement keine Cyber-Sicherheit

Ein Kommentar von Winfried Holz, CEO Atos Deutschland

Das Buch "Blackout" hat wohl vielen Menschen außerhalb der Fachwelt die Augen geöffnet: Zwar ist die Geschichte fiktiv, doch beschreibt der Autor Marc Elsberg eindrucksvoll, wie abhängig unser ziviles Leben von kritischen Bereichen wie der Strom- und Wasserversorgung mittlerweile ist. Dass die Bedrohungen bereits real sind, zeigt ein Beispiel, das im Sommer 2014 publik wurde: Eine Gruppe von Cyberkriminellen namens Dragonfly führte erfolgreich Angriffe auf industrielle Steuerungssysteme von mehr als 1.000 westlichen Energieunternehmen durch - Ziel war insbesondere der Energiesektor in Europa und Nordamerika. Bei dieser Attacke - so die Vermutung von Sicherheitsexperten - ging es nicht um Spionage, sondern um gezielte Sabotage von Windkraftanlagen und Biogas-Kraftwerken. Vor diesem Hintergrund wird das IT-Sicherheitsgesetz immer wichtiger: Wie im Koalitionsvertrag vorgesehen hat das Bundesinnenministerium dem Kabinett nun seinen überarbeiteten Entwurf vorgelegt. Das Gesetz regelt unter anderem die Mindestanforderungen an die IT-Sicherheit von Betreibern kritischer Infrastrukturen, also jener Unternehmen, deren Leistungen von entscheidender Bedeutung für das Funktionieren des Gemeinwesens in Deutschland sind.

Allerdings bleibt auch der überarbeitete Gesetzentwurf an zentralen Stellen unscharf. Die Frage zum Beispiel, wer denn genau in die Gruppe der Betreiber kritischer Infrastrukturen fällt, wird auf eine spätere Verordnung ausgelagert. Klar ist nur, dass es Unternehmen aus folgenden sieben, definierten Sektoren sein werden, deren Ausfall das Leben in diesem Land massiv beeinträchtigen würde: Telekommunikation, Energie, Wasser, Verkehr, Finanzwesen, Ernährung und IT. Die genauen Sicherheits-Mindestanforderungen an die IT-Systeme dieser Unternehmen wurden ebenfalls noch nicht festgelegt. Fest steht allerdings bereits, dass die Unternehmen innerhalb von zwei Jahren nach Inkrafttreten des Gesetzes angemessene Sicherheitsmaßnahmen entsprechend des aktuellen Standes der Technik vorweisen müssen. Höchste Zeit also für die Unternehmen und ihre Branchenvertreter, aktiv zu werden und den Gestaltungsspielraum zu nutzen: Indem sie ihre Erfahrungen und die Besonderheiten ihrer Branchen einbauen, können sie andernfalls staatlich aufgestülpte, realitätsferne Regelungen und unpassende Sicherheitssysteme verhindern.

Ausschlaggebend für die Schlagkraft des IT-Sicherheitsgesetzes ist die inhaltliche Weichenstellung - also branchenspezifische Sicherheitsanforderungen zu definieren und praxisgerecht auszugestalten. Hierin liegt die eigentliche Chance! Um sie zu nutzen, sind jetzt die Branchenverbände gefordert: Nicht alle Sicherheitsanforderungen passen auf alle Marktgegebenheiten. Die Anforderungen von Telekommunikationsunternehmen beispielsweise unterscheiden sich klar von denen von Wasserversorgern. Auch spielen Besonderheiten wie die internationale Aufstellung der Unternehmen sowie Zuliefernetzwerke eine Rolle. Die Chance müssen die Verbände und die Betreiber kritischer Infrastrukturen nun ergreifen, um nicht zu riskieren, aufgrund mangelnder Kooperation doch noch mit staatlich festgelegten Einheitsvorgaben konfrontiert zu werden, an denen dann nicht mehr zu rütteln ist.

Das IT-Sicherheitsgesetz ist ein wichtiger Schritt für die deutsche Wirtschaft auf dem langen Weg zum umfassenden Schutz vor Cyberangriffen - doch nur wenn wir bereit sind, es aktiv mitzugestalten. Natürlich bieten Mindeststandards keinen Komplettschutz und die betroffenen Anbieter müssen mit zusätzlichen Kosten rechnen. Dennoch, das Gesetz - praxisnah ausgestaltet - wird sich langfristig für unsere gesamte Gesellschaft auszahlen.

Mehr Info