20.05.2015
IT-Sicherheitsgesetz

Gut gerüstet gegen Angriffe aus dem Netz

Mit ihrem Krisenreaktionszentrum hat die Versicherungswirtschaft bereits vor fünf Jahren die grundlegenden Strukturen für einen besseren Schutz vor Cyberangriffen geschaffen. Die Bundesregierung will nun Vergleichbares auch für andere kritische Infrastrukturen in der deutschen Wirtschaft erreichen. Noch vor der Sommerpause soll ein IT-Sicherheitsgesetz beschlossen werden.

Bei der Abwehr von Cyberattacken zählt vor allem Schnelligkeit. Wenige Minuten entscheiden darüber, ob Angriffe vereitelt werden können. Und was die Geschwindigkeit angeht, so ist die Versicherungswirtschaft schon gut gerüstet. Mit dem Krisenreaktionszentrum für IT-Sicherheit der deutschen Versicherungswirtschaft (LKRZV) verfügt die Branche bereits seit fünf Jahren über eine zentrale Meldestelle, die alle Unternehmen innerhalb weniger Minuten vor aktuellen Angriffswellen warnt – und die von der Bundesregierung bereits als vorbildlich herausgestellt wurde. Das LKRZV unterrichtet gleichzeitig das Bundesamt für Sicherheit in der Informationstechnik (BSI) über Attacken, die auch für andere sensible Branchen relevant sind.

Versicherungswirtschaft ist bereits gut gerüstet

Mit dem IT-Sicherheitsgesetz will die Bundesregierung ähnliche Meldestrukturen für alle kritischen Branchen vorschreiben. „Das Gesetz kommt zur richtigen Zeit und in der richtigen Dosierung“, sagt Axel Wehling. Er ist Mitglied der Hauptgeschäftsführung des GDV und Geschäftsführer des LKRZV. Das Kabinett hat das Gesetz bereits beschlossen, der Bundestag will noch vor der Sommerpause endgültig darüber entscheiden. Der genaue Termin steht noch nicht fest. Es dürfe nun aber keine Verzögerungen mehr geben, erklärt Wehling.

Für die Versicherungswirtschaft genießt der Schutz der elektronischen Infrastrukturen seit Langem höchste Priorität. „Wir sind hier bereits gut gerüstet“, sagt Wehling. Die Versicherungswirtschaft gebe jedes Jahr vier Milliarden Euro für ihre IT und damit auch für die Sicherheit der Systeme aus. Bereits jeder zehnte Mitarbeiter sei im Bereich Informationstechnologie tätig. Die Versicherer treiben die Absicherung der eigenen IT schon lange voran, erklärt Wehling.

GDV-NEWSLETTER

Bleiben Sie auf dem Laufenden

Der GDV-Newsletter bietet einen aktuellen Überlick über die wichtigsten Themen der Versicherungswirtschaft – immer mittwochs in Ihrem E-Mail-Postfach.
Hier abonnieren

Kritische Infrastrukturen müssen sich stärker schützen

Die Versicherungswirtschaft gehört ebenso wie Banken, Energie- und Wasserbetriebe sowie Telekommunikationsunternehmen zu den kritischen Infrastrukturen, die sich nach Willen der Regierung zukünftig durch das IT-Sicherheitsgesetz besonders schützen müssen. Denn ein Ausfall beispielsweise der Energieversorgung hätte starke Auswirkungen auf das gesamte alltägliche Leben – und könnte auch zu Ausfällen in anderen Branchen führen. Ein solcher Flächenbrand soll aber verhindert werden. Dazu sollen mit dem IT-Sicherheitsgesetz nun gewissermaßen Brandschutzmauern eingezogen und der Notruf verbessert werden.

Für die Versicherungswirtschaft ist besonders wichtig, dass Warnmeldungen aus den Unternehmen auch pseudonymisiert über das LKRZV erfolgen können und das Gesetz auch spezielle Branchenlösungen ermöglicht. „So können wir den bewährten Weg, den wir mit dem LKRZV eingeschlagen haben, weitergehen“, sagt Wehling.

Im Gesetz bleiben einige Punkte offen

Die Regelungen im IT-Sicherheitsgesetz erlauben aber auch Spezialgesetze – mit der möglichen Folge, dass einzelne kritische Branchen künftig nicht an das BSI, sondern andere Behörden melden müssen, beispielsweise an die Finanzaufsicht BaFin. Der GDV warnt vor einer solchen Zerfaserung der Meldewege: „Eine Stärkung der IT-Sicherheitsarchitektur in Deutschland gelingt nur, wenn das BSI als Ansprechpartner für alle Branchen fungiert“, sagt Wehling. Nur so erhalte die Behörde schnell ein umfassendes Lagebild über Vorfälle aus allen Branchen.

Im Gesetz bleiben noch einige Punkte offen, die erst durch anschließende Rechtsverordnungen oder Handreichungen konkreter geklärt werden. Ob strengere Sicherheitsaudits, der Nachweis von Zertifikaten oder weitere Prüfungen – welche Anforderungen genau erfüllt werden müssen, ist ebenso noch unklar wie die Frage, welche Unternehmen aus den einzelnen Branchen unter das Gesetz fallen. Kleine Betriebe sollen von den Vorgaben des Gesetzes ausgenommen sein. Zudem muss noch geklärt werden, ob die gesamte IT-Infrastruktur der betroffenen Unternehmen oder nur die kritischen Komponenten überprüft werden müssen. „Hier brauchen wir eine Schärfung der Definitionen“, sagt Wehling.

Text: Henning Engelage

Mehr zum Thema:
>> IT-Sicherheit: Versicherungswirtschaft setzt zur Cebit neue Maßstäbe
>> Sicherheitsatlas: Jeder fünfte Deutsche bereits Opfer von Cyberkriminalität