Branchen sollen selbst Standards für IT-Sicherheit definieren

Das IT-Sicherheitsgesetz (Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme) ist am 25.07.2015 in Kraft getreten. Betreiber von „kritischen Infrastrukturen“ müssen sich verstärkt um die IT-Sicherheit kümmern. Doch wer sind diese? Der Gesetzgeber fordert die betroffenen Branchen zur Entwicklung von Mindeststandards auf.

Noch vor der Sommerpause verabschiedete das Parlament das IT-Sicherheitsgesetz, das am 25. Juli in Kraft getreten ist. Bundesinnenminister Thomas de Maizière lobte bei der Verabschiedung: „Mit diesem Gesetz sind wir europaweit Vorreiter und Vorbild. Es leistet seinen Beitrag dazu, dass das Netz sicherer wird und die digitalen Infrastrukturen Deutschlands künftig zu den sichersten weltweit gehören.“

Das Gesetz soll bewirken, dass die Betreiber besonders gefährdeter Infrastrukturen dazu verpflichtet werden, ihre Netze künftig besser vor Hackerangriffen zu schützen. Ergänzend zu den bisherigen Meldungen von IT-Sicherheitsvorfällen sollen die betroffenen Branchen Mindeststandards für die IT-Sicherheit mit den Betreibern der Infrastrukturen festlegen. Die Standards sollen von den Branchen entwickelt und vom Bundesamt für Sicherheit in der Informationstechnologie (BSI) genehmigt werden. Ein Nachweis über die Erfüllung der Anforderungen soll alle zwei Jahre erbracht werden.

Im Gesetz werden lediglich die Branchen genannt, die Frage, welche Unternehmen als Betreiber kritischer Infrastrukturen gelten, wird nicht beantwortet und soll in einer noch zu erstellenden Rechtsverordnung festgelegt werden. Kritische Infrastrukturen sind dem Gesetz nach „Einrichtungen, Anlagen oder Teile davon, die den Sektoren Energie, Informationstechnik und Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung sowie Finanz- und Versicherungswesen angehören und von hoher Bedeutung für das Gemeinwesen sind…“.

Kritik am Gesetz äußerten u.a. die Opposition, der BDI, weitere Wirtschaftsverbände und der Cyber-Sicherheitsrat Deutschland e.V. Neben dem zu erwartenden hohen bürokratischen Aufwand werden als Kritikpunkte auch die ungenaue Angabe, was eine kritische Infrastruktur ist genannt, ebenso die Unklarheit, ab wann ein Vorfall meldepflichtig ist.

Der Bundestag wurde kurz vor der Verabschiedung des IT-Sicherheitsgesetzes selbst Opfer eines Hackerangriffs.

Der Gesetzestext ist hier veröffentlicht.

Oliver Häußler ist Content Manager für BVEx und arbeitet als freier Journalist in München