Dienstag, 19. März 2024

Archiv

IT-Sicherheitsgesetz
Weiterhin Angst vor Aufwand und Reputationsschäden

Im Juli 2015 ist das IT-Sicherheitsgesetz in Kraft getreten. Es sieht vor, das IT-Sicherheitsvorfälle gemeldet werden müssen. Doch Banken und andere Unternehmen fürchten den Aufwand und Reputationsschäden. Durch ihre Lobbyarbeit wurde das Gesetz zum Papiertiger.

Peter Welchering im Gespräch mit Manfred Kloiber | 30.07.2016
    Thomas de Maizière verteidigt im Bundestag das IT-Sicherheitsgesetz.
    Thomas de Maizière verteidigt am 12. Juni 2015 im Bundestag das IT-Sicherheitsgesetz. (picture alliance/dpa/Wolfgang Kumm)
    Manfred Kloiber: Vor einem Jahr ist das sogenannte IT-Sicherheitsgesetz in Kraft getreten. Und noch immer ist der Gesetzgebungsprozess hier nicht ganz abgeschlossen. Warum kann das IT-Sicherheitsgesetz noch nicht so richtig umgesetzt werden?
    Peter Welchering: Weil Verordnungen fehlen. Als das IT-Sicherheitsgesetz vor einem Jahr in Kraft getreten ist, war es ein reiner Papiertiger, weil gar nicht klar war, wer davon betroffen ist.
    Die entsprechende Verordnung zur Bestimmung kritischer Infrastrukturen ist in einem ersten Teil erst in diesem Jahr, nämlich am 3. Mai in Kraft getreten. Und der zweite Teil der Verordnung steht noch aus.
    Da geht es dann um kritische Infrastrukturen in den Bereichen Finanzen, Transport, Verkehr und Gesundheit. Also man kann zu recht sagen, das IT-Sicherheitsgesetz gilt erst zur Hälfte.
    Kloiber: Buchstäblich bis zum Beschluss des Gesetzes durch die Abgeordneten des Deutschen Bundestages ist ja heftig um das IT-Sicherheitsgesetz gerungen worden. Wie sark war der Einfluss der Lobbyverbände auf dieses Gesetz?
    "Zu viele Lobbyköche haben diesen Gesetzesbrei mitgekocht"
    Welchering: Der war enorm. Und der Einfluss so vieler Lobbyisten hat auch dazu geführt, dass das Gesetz ziemlich verwässert wurde. Es ist zudem ein handwerklich schlecht gemachtes Gesetz. So wurde nachgeschoben, dass IT-Sicherheitsvorfälle auch anonym gemeldet werden können. Drauf haben große Unternehmen gedrängt, die Reputationsschäden durch das Melden von IT-Sicherheitsvorfällen befürchteten.
    Und noch immer ist nicht so ganz klar, wer von diesem Gesetz betroffen ist. Denn eine wirklich brauchbare Definition, was eine kritische Infrastruktur ist, die sich auf alle Bereiches der Wirtschaft und des öffentlichen Leben bezieht, die steht immer noch aus. Das haben die Lobbyverbände bisher wirkungsvoll verhindert.
    Also bei diesem Gesetz findet sich keiner so richtig zurecht, weil zuviele Lobbyköche diesen Gesetzesbrei mitgekocht haben. Lustige Anekdote am Rande: Es gab ja in dieser Woche auch einige Verwirrung um das Inkrafttreten des Gesetzes. Da wurden ja ganz unterschiedliche Termine gehandelt.
    Kloiber: Wann ist es denn genau in Kraft getreten?
    Welchering: Also verkündet im Bundesgesetzblatt wurde es am 24. Juli 2015. Deshalb sprechen einige davon, dass es dann am Tag drauf, nämlich am 25. Juli in Kraft gewesen sei. Da der 25. Juli 2015 aber ein Samstag ist, gibt es auch die Meinung, das IT-Sicherheitsgesetz sei am darauffolgenden Montag, das wäre dann der 27. Juli, in Kraft getreten.
    Und dann wird auch noch der 31. Juli 2015 gehandelt, Denn das war der Freitag der Woche, in dem das gedruckte Bundesgesetzblatt auch bei allen ausgeliefert war. Denn die amtliche Fassung ist eben das gedruckte Bundesgesetzblatt. Also, auch hier ein bisschen Verwirrung.
    Kaum Cyberattacken gemeldet
    Kloiber: Wie viele Cyberattacken sind denn in diesem Jahr, in dem das IT-Sicherheitsgesetz nun gilt, gemeldet worden?
    Welchering: Sieben, eine erstaunliche Zahl. Denn die Hochrechnungen gingen vom Lagebericht 2014 des BSI aus. Und da sahen die Zahlen so aus: eine Millionen Infektionen mit Computerviren im Monat in Deutschland, eine Millionen Rechner sind Opfer von Botnetzen, 32.000 Überlastangriffe in Deutschland in 2014.
    Und das Bundeslagebild Cybercrime geht von 64.000 Fällen schwerer Computerkriminalität in 2013 aus. Kommt noch eine von allen Experten als recht hoch angesehene Dunkelziffer hinzu. Deshalb ist die Zahl der meldepflichtigen Vorfälle für das Jahr eins des IT-Sicherheitsgesetzes auf mindestens 2000 hochgerechnet worden.
    Kloiber: Das ist ja eine ziemliche Diskrepanz, woran liegt die?
    Welchering: Der IT-Branchenverband Bitkom meint, es gebe eben eine sehr hohe Dunkelziffer. Und für diese Dunkelziffer ist nach dem Dafürhalten der meisten Experten das Gesetz selbst verantwortlich. Denn es ist eben noch immer nicht klar definiert, welche Vorfälle gemeldet werden müssen.
    "Der dringendste Nachbesserungsbedarf besteht bei den Sicherheitslücken"
    Kloiber: Das Gesetz soll evaluiert und auch nachgebessert werden. Wo liegt denn der dringendste Nachbessrungsbedarf?
    Welchering: Bei den Sicherheitslücken. Deshalb haben Experten für das IT-Sicherheitsgesetz immer wieder gefordert, es müsse eine Meldepflicht für Sicherheitslücken geben und nicht nur für Sicherheitsvorfälle. Das ist im Wesentlichen von den Lobbyisten der Softwareindustrie und vor allen Dingen von den Sicherheitsbehörden verhindert worden.
    Einerseits gilt: Erst wenn die Sicherheitslücken systematisch geschlossen werden, können auch Cyberangriffe wirkungsvoll verhindert werden. Andererseits sind aber davon auch die Sicherheitslücken betroffen, die Nachrichtendienste für ihre Spionagetätigkeit brauchen, die die Cybermilitärs für ihre digitalen Waffen brauchen.
    Kloiber: Welche Änderungen am IT-Sicherheitsgesetz werden denn gerade diskutiert?
    Welchering: Diskutiert wird vor allen Dingen der zweite Teil der Verordnung zur Bestimmung kritischer Infrastrukturen. Da soll ja geregelt werden, was denn eine kritische Infrastruktur in den Bereichen Finanzen, Transport, Verkehr und Gesundheit ist.
    Beispielsweise bei den Banken wird die Bargeldversorgung diskutiert. Wird die zur kritischen Infrastruktur erklärt, müssten alle Fälle von Cyberphishing an Geldautomaten gemeldet werden. Ein riesiger Aufwand, den die Banken nicht mitmachen wollen. Und so wird über weitere Verwässerungen in den Verordnungen das IT-Sicherheitsgesetz zu einem unverbindlichen Hinweis, bei Cyberattacken doch mal drüber nachzudenken, woher die kommen könnten.