Der Rückschlageffekt des IT-Sicherheitsgesetzes

Das IT-Sicherheitsgesetz soll die Welt – na ja zumindest die kritischen Infrastrukturen in Deutschland – sicherer machen. Mit großer Spannung wurde auf die Rechtsverordnungen gewartet, denn diese entscheiden, welche Unternehmen, und präziser welche Unternehmensteile, zu den kritischen Infrastrukturen gehören und die Anforderungen des Gesetzes zu erfüllen hat.

Die Bestimmung der kritischen Anlagen erfolgt in drei Schritten, so der Entwurf der Rechtsverordnung vom 13.01.2016:

“In einem ersten Schritt wird für die Sektoren Energie, Wasser, Informationstechnik und Telekommunikation sowie Ernährung bestimmt, welche Dienstleistungen wegen ihrer Bedeutung als kritisch anzusehen sind. Hierbei orientiert sich die Festlegung der kritischen Dienstleistungen an den in der Gesetzesbegründung benannten Dienstleistungen sowie an den Ergebnissen von Studien, die das BSI beauftragt hatte, um eine umfassende Analyse der KRITIS-Sektoren und der darin erbrachten kritischen Dienstleistungen in Deutschland zu erlangen.

In einem zweiten Schritt werden diejenigen Kategorien von Anlagen identifiziert, die für die Erbringung der kritischen Dienstleistungen erforderlich sind. Die Festlegung der Anlagenkategorien beruht gleichfalls auf den Studien des BSI sowie Erörterungen mit Experten und Vertretern der betroffenen Ressorts sowie der einzelnen Branchen.

In einem dritten Schritt lassen sich ausgehend von den identifizierten Anlagenkategorien konkrete Anlagen oder Teile davon (nachfolgend: Anlagen) bestimmen, die einen aus gesamtgesellschaftlicher Sicht bedeutenden Versorgungsgrad aufweisen.”

Bei der Stromversorgung wurden im Entwurf der Rechtsverordnung 120 Anlagen identifiziert, bei der Datenspeicherung und -verarbeitung 30 Anlagen. Insgesamt wurden in den betrachteten Branchen insgesamt ca. 680 kritische Anlagen identifiziert.”

Zudem lässt sich von der Anzahl der ca. 680 als Kritische Infrastruktur geltenden Anlagen nicht unmittelbar auf die Anzahl der von dieser Verordnung erfassten Betreiber schließen, deren Anzahl deutlich geringer sein dürfte.”

Damit ist eine überschaubare Anzahl an Betreibern kritischer Infrastrukturen identifiziert, die festgelegte Schwellwerte an versorgten Haushalten oder Leistungswerte an Wärme bzw. Datenübertragungskapazitäten überschreiten.

Mit diesem Vorgehen bekommt man sicherlich die großen Anlagen und Betreiber kritischer Infrastrukturen identifiziert. Doch was passiert mit den kleineren Betreibern und Anlagen kritischer Infrastrukturen? Sie werden jetzt wahrscheinlich tief durchatmen und sich freuen, dass der “Kelch an ihnen vorüber gegangen ist”.

KPMG hat in seiner Studie zum IT-Sicherheitsgesetz 18.466 Großunternehmen in den Kritis-Sektoren ermittelt:

  • Energie: 13.811
  • Gesundheit: 1.108
  • Wasser: 44
  • Ernährung: 448
  • Transport und Verkehr: 1.359
  • Finanz- und Versicherungswesen: 780
  • Informationstechnik und Telekommunikation: 916.

Die ist doch ein gewaltiger Unterschied zu den deutlich weniger als 650 identifizierten Betreibern kritischer Infrastrukturen im Entwurf der Rechtsverordnung, insbesondere in der Energiebranche.

Ob dieser Großteil der Unternehmen, die jetzt nicht unter das IT-Sicherheitsgesetz fallen, ohne diese gesetzliche Verpflichtung in die Sicherheit investieren, ist mehr als fraglich – denn sie sind ja jetzt nicht “kritisch” für das Gemeinwohl. Die Ballungsräume werden durch das IT-Sicherheitsgesetz gut abgesichert werden. Wer in Ballungsräumen sein Unternehmen betreibt, wird sich über eine sicherere Infrastruktur freuen können. Doch ist die deutsche Wirtschaft sehr stark mittelständisch geprägt und die mittelständischen Unternehmen sitzen oftmals eben gerade nicht in den Ballungsräumen sondern im “Hinterland”. Sie sind, genau so wie die Bevölkerung und die Landwirtschaft, darauf angewiesen, dass die Versorgungsketten auch über nachrangige Betreiber für kritische Infrastrukturen funktionieren. Hinzu kommt, dass die Risiken für Stromausfälle in der Fläche durch die zunehmende Anzahl an starken Stürmen in Deutschland  besonders hoch ist.

Ich hätte mir aus dieser Betrachtung heraus einen Basisschutz und eine Meldepflicht für alle Betreiber kritischer Infrastrukturen und einen erweiterten Schutz für die im IT-Sicherheitsgesetz identifizierten besonders kritischen Betreiber gewünscht.

Der Angriff auf eine kleinere Anlagen kritischer Infrastrukturen kann ja der Probelauf für den späteren Großangriff sein. Die Täter versuchen sich erst einmal an kleinen Anlagen. Mangels Meldepflicht bleibt dies erst einmal außerhalb des Betreibers unbemerkt. Ist ein Vorgehen erfolgreich verprobt, kann es dann auf viele kleinere Betreiber oder auf die kritischen Betreiber angewandt werden. Also zunächst einmal einfach unter dem Radar des IT-Sicherheitsgesetzes bleiben.

Meinen zweiten Kritikpunkt am IT-Sicherheitsgesetz möchte ich hier auch noch einmal formulieren. Es sind durch das Gesetz Mindeststandards und Meldepflichten festgelegt worden. Von brancheninternen und – übergreifenden Simulationen und Übungen ist aber keine Rede. Gerade dies jedoch würde die Resilienz der kritischen Infrastrukturen stärken.

Diese persönliche Sicht auf den ersten Entwurf der Rechtsverordnung  zum IT-Sicherheitsgesetz stelle ich hier gerne zur kontroversen Diskussion.

0 Responses

Schreibe einen Kommentar