Bundestag mit Sicherheitsproblem verabschiedet IT-Sicherheitsgesetz

[image]

Es ist schon erstaunlich: Ausgerechnet mitten während des schwersten Angriffs auf seine eigenen Computersysteme verabschiedete der Bundestag nun das IT-Sicherheitsgesetz. Das verpflichtet Unternehmen insbesondere dazu, Angriffe auf ihre IT-Systeme mitzuteilen und Schutzmaßnahmen zu ergreifen. Eine wichtige Rolle nimmt dabei das Bundesamt für Sicherheit in der Informationstechnik (BSI) ein.

Sicherheitsmängel im Bundestag

Dabei hätte es gerade der Bundestag nötig, Maßnahmen für mehr IT-Sicherheit zu ergreifen. Wie die FAZ berichtet, ließen sich die Computer im Bundestag leicht angreifen. Abgeordnete hatten durchgesetzt, relativ uneingeschränkt eigene Hard- und Software mit ihren Rechnern verwenden zu können. Damit das funktioniert, bedarf es erweiterter Benutzerrechte. Rechte, die es Angreifern wiederum erleichtern, tief in Computernetze einzudringen und es Angegriffenen erschwert, die Systemsicherheit wiederherzustellen. Ob ein solcher Angriff über einen mit Schadsoftware versehenen USB-Stick – deren Kontrolle durch IT-Kräfte die Abgeordneten übrigens ebenfalls abschafften – oder, wie beim aktuellen Bundestagsangriff nun vermutet wird, über das Anklicken eines Links in einer E-Mail, der die Software über eine Webseite herunterlud, geschah, spielt da keine Rolle mehr.

Mit Blick auf die nun von Unternehmen aufgrund des neuen Gesetzes verlangten Mitteilungen über IT-Angriffe sieht es bei der eigenen Informationspolitik des Bundestags nicht besser aus. Offenbar ist dem Parlament noch nicht einmal klar, wer hinter dem Angriff steht und wohin welche Daten fließen. Die Bundestagsverwaltung, die für die Systemsicherheit zuständig ist, scheint nicht Herr der Lage zu sein. Der Angriff hat zumindest kurz vor seiner Verabschiedung zu einer Ausweitung seiner Regeln auf Bundesbehörden geführt, für die es anfangs nicht gelten sollte.

IT-Sicherheit immer lebenswichtiger

Dabei wissen die Abgeordneten offensichtlich um die Gefahrenlage durch zunehmende Vernetzung. Das hat die Debatte gezeigt. Droht bereits erheblicher Schaden durch Datenklau, ist er bei einem Versagen der IT-Infrastruktur nicht mehr auszurechnen. In dieser Hinsicht betrifft IT-Sicherheit längst jedoch nicht mehr nur kritische Bereiche wie die Energieversorgung. Ohne vernetzte Computer sind arbeitsteilige Wirtschaft wie staatliche Verwaltung bereits jetzt nicht mehr funktionsfähig. Die viel beschworene Industrie 4.0 ist ohne IT-Sicherheit überhaupt nicht denkbar. Dasselbe gilt für Smart Home und vernetzte Fahrzeuge, wenn wir künftig daheim wie unterwegs keinen Kontrollverlust riskieren wollen. Je mehr das Internet dabei zum festen Bestandteil unseres Lebens wird – und es mit dem Internet der Dinge durchdringt –, ist IT-Sicherheit ein essenzieller Mitgedanke bei den Regeln unseres Zusammenlebens. Insofern beinhaltet das Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme maximal einen ersten Ansatz.

An wen richtet sich das Gesetz?

Das geht aus dem Gesetz selbst gar nicht klar hervor. Adressaten sind Betreiber kritischer Infrastrukturen. Das ist der Fall, wenn sie Einrichtungen, Anlagen oder Teile davon in den Sektoren Energie, Informationstechnik und Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung sowie Finanz- und Versicherungswesen unterhalten. Allerdings muss deren Beeinträchtigung die Versorgung der Gesellschaft oder öffentliche Sicherheit gefährden.

Die unklare Definition sorgt für Unsicherheit und brachte der Bundesregierung Kritik ein. Diese begründet den Verzicht auf eine starre Definition damit, dass das Gesetz auf die Dynamik in diesem Bereich reagieren können müsse. Gleichzeitig verunsichert sie damit gerade die betroffenen Unternehmen. Erfülle ich mit meiner Tätigkeit bereits eine derart entscheidende Aufgabe, wie sie das Gesetz verlangt? Das BSI schätzt, dass 2000 Unternehmen dem Gesetz unterfallen. Gewissheit bringt erst eine noch zu erlassende Rechtsverordnung.

Was will das IT-Sicherheitsgesetz erreichen?

Bezwecken soll das IT-Sicherheitsgesetz ein Mindestsicherheitsniveau der IT in den kritischen Bereichen. Außerdem führt es eine Meldepflicht für dortige IT-Sicherheitsvorfälle ein. Als Kooperationspartner aber auch als Kontrollstelle soll das BSI dienen. Das spielte allerdings auch eine Rolle als Mitentwickler des Bundestrojaners, was nicht gerade eine gute Voraussetzung für eine vertrauensvolle Zusammenarbeit sein dürfte.

Betreiber Kritischer Infrastrukturen sollen angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse, die für die Funktionsfähigkeit der von ihnen betriebenen Kritischen Infrastrukturen maßgeblich sind, treffen. Hierzu verpflichtet das Gesetz die von ihm betroffenen Branchen zur Erarbeitung gemeinsamer IT-Sicherheitsstandards und anschließender Umsetzung. Andernfalls drohen Bußgelder von bis zu 100.000 Euro. Bis dahin gibt das Gesetz den betroffenen Bereichen noch zwei Jahre Zeit nach Inkrafttreten einer noch zu erlassenden Rechtsverordnung, welche unter anderem die Standards konkretisieren soll.

Betroffene Unternehmen sind zudem verpflichtet, dem BSI IT-Sicherheitsvorfälle anonym zu nennen.  In schwerwiegenden Fällen ist dem BSI auch eine Veröffentlichung erlaubt. Wer eine Cyberattacke nicht meldet, dem drohen ebenfalls Bußgelder – allerdings in geringerem Umfang. Inwiefern diese Meldepflicht entscheidend zu mehr IT-Sicherheit beiträgt, ist fraglich. Der Gesetzgeber erhofft sich durch die anschließende Analyse des BSI mögliche Warnungen an andere Unternehmen. Das hilft jedoch wenig, wenn sich Angriffe geballt gegen mehrere Unternehmen richten. Zudem konzentriert sich hier ein wesentlicher Gedanke des Gesetzes auf eine Situation, in denen Sicherheitsmaßnahmen bereits versagt haben.

Kritik erfahren hat auch eine im Gesetzentwurf bis zuletzt enthaltene erweiterte Vorratsdatenspeicherung. Telekommunikationsdiensteanbieter sollten Bestands- und Verkehrsdaten ihrer Teilnehmer und Nutzer nun auch dazu erheben und verwenden dürfen, um Störungen zu erkennen, einzugrenzen oder zu beseitigen, die möglicherweise zu einem unerlaubten Zugriff führen können. Diese Idee wurde fallen gelassen. Angesichts der restriktiven Vorgaben der Gerichte zur Vorratsdatenspeicherung dürfte das keine schlechte Idee gewesen sein. Das Gesetz tritt voraussichtlich noch im Sommer 2015 in Kraft. Fest steht bereits jetzt, dass es in Zukunft noch wesentlich mehr Anstrengungen in puncto IT-Sicherheit bedarf.

(GUE)