26. Juli 2016 - Kritische Infrastrukturen

Ein Jahr IT-Sicherheitsgesetz

Seit mittlerweile einem Jahr ist das IT-Sicherheitsgesetz in Kraft. Es soll den Schutz Kritischer Infrastrukturen verbessern. Die Meinungen über seine Wirksamkeit und Anwendbarkeit gehen allerdings auseinander.

IT-Sicherheitsgesetz: Fazit nach einem Jahr Das IT-Sicherheitsgesetz nimmt Betreiber Kritischer Infrastrukturen in die Pflicht. Viele Fragen sind aber noch offen. (Bild: gyn9038 / iStock / Thinkstock)

Auf dem richtigen Weg sieht sich das federführende Bundesamt für Sicherheit in der Informationstechnik mit dem „Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme“ (IT-Sicherheitsgesetz). Es wurde im Juli 2015 verabschiedet und ist für Betreiber Kritischer Infrastrukturen relevant.

Positive Zwischenbilanz des BSI

Das BSI zieht „eine positive Zwischenbilanz“ und sieht „gute Fortschritte“ dabei, die IT-Sicherheit bei Kritischen Infrastrukturen zu steigern. Die Teilnehmerzahl des UP KRITIS – einer öffentlich-privaten Kooperation zwischen Betreibern Kritischer Infrastrukturen (KRITIS), deren Verbänden und den zuständigen staatlichen Stellen – habe sich binnen eines Jahres verdoppelt. Sie sei seit Inkrafttreten des IT-Sicherheitsgesetzes auf rund 380 Organisationen gestiegen.

Verordnung soll für mehr Klarheit sorgen

Vor Kurzem ist die „Verordnung zur Bestimmung Kritischer Infrastrukturen nach dem BSI-Gesetz“ (BSI-Kritis) in Kraft getreten. Sie soll klar regeln soll, welche Systeme der Unternehmen das IT-Sicherheitsgesetz erfasst aus den Bereichen

  • Informationstechnik und
  • Telekommunikation sowie
  • Wasser,
  • Ernährung und
  • Energie

Geplant ist eine entsprechende Regelung Anfang 2017 auch für die Bereiche Finanzen, Transport und Verkehr sowie Gesundheit.

Mit dieser Verordnung will das BSI den Betreibern Kritischer Infrastrukturen klare Kriterien an die Hand geben, anhand derer sie überprüfen können, ob sie unter den Regelungsbereich des IT-Sicherheitsgesetzes fallen.

Kritik von Wirtschaft und Verbänden

Diese Verordnung könnte einen der Hauptkritikpunkte am IT-Sicherheitsgesetz entschärfen: die Unklarheit für viele Unternehmen und Organisationen, ob für sie das IT-Sicherheitsgesetz greift und ob sie der Meldepflicht unterliegen.

„Die Unternehmen brauchen Planungssicherheit, um die Vorgaben erfüllen zu können“, so Marc Bachmann, Sicherheitsexperte des Branchenverbandes Bitkom. „Die Androhung von Strafen macht keinen Sinn, wenn nicht klar ist, wer von dem Gesetz überhaupt betroffen ist, welche Vorfälle gemeldet und welche Sicherheitsstandards eingehalten werden müssen.“

Auch für die Nationale Initiative für Informations- und Internet-Sicherheit (NIFIS) ist das IT-Sicherheitsgesetz „nicht mehr als ein erster Anfang“:

  • Zwar bewerte die Mehrheit (51 Prozent) der Firmen das Gesetz als positiv,
  • aber mehr als zwei Drittel (67 Prozent) stuften es nur als „ersten Anfang“ ein,
  • 47 Prozent mahnten bereits jetzt Modifizierungen an.
  • Für ein knappes Drittel (31 Prozent) der Firmen sei es zu bürokratisch,
  • mehr als ein Viertel (27 Prozent) sehe sich vom Gesetzgeber vor teilweise unlösbare Aufgaben gestellt.

Forderung: mehr Beratung durch BSI

Ein Plus an „privilegierter Beratung und Information“ für die Betreiber Kritischer Infrastrukturen fordert der Cyber-Sicherheitsrat Deutschland. Man sehe allerdings vonseiten des BSI kaum die Voraussetzungen, diese Forderung mit den derzeit zur Verfügung stehenden Ressourcen zu erfüllen.

„In einer Zeit, in der die Anzahl und Komplexität von Cyber-Angriffen von Tag zu Tag steigt, muss sichergestellt werden, dass das BSI finanziell wie personell in der Lage ist, den Betreibern bei Sicherheitsvorfällen die erforderliche Expertise und Beratung zu liefern. In diesem Punkt herrscht noch Ungewissheit“, so dessen Präsident Philipp v. Saldern.

fgo

Sie glauben, Sie hätten noch so viel Zeit? Falsch! Es gibt mehr zu tun, als Sie vielleicht denken! ▶ Zeit zu handeln