Zurück zur Übersicht

Sie haben KRITIS! Zum Entwurf eines neuen IT-Sicherheitsgesetzes

Kritische Infrastrukturen sind Organisationen und Einrichtungen mit hoher Bedeutung für das staatliche Gemeinwesen, bei deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen eintreten würden. Das Finanz-, Geld- und Versicherungswesen mit Versicherungen, Finanzdienstleistern und Börsen gehört natürlich dazu.

Damit ist einerseits der im Februar 2014 neu gefasste Umsetzungsplan „UP KRITIS: Öffentlich-Private Partnerschaft zum Schutz Kritischer Infrastrukturen – Grundlagen und Ziele -“ relevant [1]. Ebenso wie der im Rahmen der Digitalen Agenda der Bundesregierung [2] zu sehende Entwurf eines IT-Sicherheitsgesetzes vom August 2014. Dieser gilt als in seiner Wirkung umstrittene Regelung [3] mit neuen Meldepflichten und Aufsichtselementen [4].

Wesentliche Eckpunkte des IT-Sicherheitsgesetzes

  • Das Gesetz betrifft alle „Betreiber kritischer Infrastrukturen“. Welche dies sind, soll, nach § 10 Abs. 1 des Gesetzes, das Bundesministerium des Innern in einer Rechtsverordnung bestimmen. Hierzu hat es unter anderem zuvor Vertreter betroffener Wirtschaftsverbände anzuhören.
  • Der Entwurf sieht eine Meldepflicht der Unternehmen im Falle eines Angriffs auf ihre digitalen Systeme vor. Die Meldungen sollen direkt an das Bundesamt für Sicherheit in der Informationstechnik (BSI) erfolgen, wobei eine pseudonyme Meldung grundsätzlich ausreicht. Eine namentliche Nennung soll allerdings erforderlich sein, wenn die sogenannte „Kritische Infrastruktur“ ausfällt oder gestört wird.
  • Weiterhin sollen Unternehmen innerhalb eines Zeitraums von zwei Jahren Sicherheitsstandards für ihre jeweilige Branche festlegen. Konkret sind hier die Branchen Energie, Informationstechnik und Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung sowie Finanzen und Versicherungen in der Diskussion.
  • Vorgesehen ist auch eine Informationspflicht bei Systemstörungen für bestimmte Unternehmen und Institutionen, bei denen ein Ausfall nicht nur für den Datenschutz weitreichende Folgen haben könnte. Neben Banken, Energienetzen und Krankenhäusern werden hier voraussichtlich auch Verwaltungsbehörden und Telekommunikationsnetze betroffen sein.
  • Schließlich soll die Zuständigkeit des Bundeskriminalamts (BKA) auf zahlreiche Cyberdelikte ausgeweitet werden, für die bislang die Länder zuständig waren [5].

BSI als neue Aufsicht

  • Mehrfach wird im Entwurf dem Ziel, die Bedeutung und Kompetenzen des BSI zu stärken, Rechnung getragen. Eine Säule dieses Konzepts stellt die Etablierung des BSI als Aufsichtsbehörde für die oben genannten Maßnahmen der Unternehmen dar.
  • Der Entwurf sieht in diesem Zusammenhang weiter eine Verpflichtung der Unternehmen vor, dem BSI mindestens alle zwei Jahre eine Aufstellung aller Sicherheitsaudits, Prüfungen und Zertifizierungen einschließlich der dabei aufgedeckten Sicherheitsmängel zu übermitteln. Daneben soll das BSI im Falle von Sicherheitsmängeln auch deren unverzügliche Beseitigung verlangen können [5].

Das Thema Sicherheit ist eine zentrale Herausforderung unserer Zeit. Wie dieses neue Gesetz in die Praxis umgesetzt wird und ob es die Sicherheitslücken schließen kann, wird sich in den nächsten Jahren zeigen.

1 Bundesamt für Sicherheit in der Informationstechnik, Bundesamt für Bevölkerungsschutz und Katastrophenhilfe. Internetplattform zum Schutz Kritischer Infrastrukturen. URL: www.kritis.bund.de/SubSites/Kritis/DE/Home/home_node.html
2 Bundesministerium für Wirtschaft und Energie, Bundesministerium des Innern, Bundesministerium für Verkehr und digitale Infrastruktur (2014). Digitale Agenda 2014 – 2017. URL: http://www.bmwi.de/BMWi/Redaktion/PDF/Publikationen/digitale-agenda-2014-2017
3 Bundesverband der Deutschen Industrie e.V. (2014). Positionspapier: Erwartungen der deutschen Industrie an ein IT-Sicherheitsgesetz. URL: www.bdi.eu/download_content/SicherheitUndVerteidigung/Positionspapier_Sicherheitsgesetz
4 Bundesverband IT-Mittelstand e.V. (2014). BITMi Stellungnahme zum Referentenentwurf des Bundesministeriums des Innern zum „Entwurf eines Gesetzes zur Erhöhung der Sicherheit Informationstechnischer Systeme (IT-Sicherheitsgesetz)“. URL: www.bitmi.de/custom/download/bitmi_140903_stellungnahme_it_sicherheitsgesetz
5 Bräutigam, P. & Wilmer, S. (19.08.2014). Neuer Entwurf eines IT-Sicherheitsgesetzes. URL: http://www.noerr.com/de/presse-publikationen/News/neuer-entwurf-eines-it-sicherheitsgesetzes.aspx

 

Bildquelle: @Brian Jackson / Fotolia.com

 

Dr. Lars Rüsberg

Autor:

Dr. Lars Rüsberg

für afb Application Services AG

Durch die weitere Nutzung der Seite stimmen Sie der Verwendung von Cookies zu. Weitere Informationen

Die Cookie-Einstellungen auf dieser Website sind auf "Cookies zulassen" eingestellt, um Ihnen das beste Surferlebnis zu ermöglichen. Wenn Sie diese Website ohne Änderung Ihrer Cookie-Einstellungen verwenden oder auf "Akzeptieren" klicken, erklären Sie sich damit einverstanden.

Schließen