Cyber­kri­mi­na­li­tät

Warum der Beschluss des IT-Sicher­heits­ge­set­zes nur der erste Schritt ist

Besonders wichtige Branchen müssen laut Gesetzgeber künftig mehr für die Sicherheit ihrer Computer und Server tun. Wie das genau geschehen soll, ist aber im Detail noch offen. Entsprechende Standards werden erst jetzt für die unterschiedlichen Wirtschaftszweige entwickelt. Die Versicherungswirtschaft ist mit dabei – und profitiert von ihrer Expertise als Datentreuhänder ihrer Kunden. Von Henning Engelage

Die Meldungen über große Hackerangriffe haben in den vergangenen Monaten spürbar zugenommen. IT-Sicherheit steht immer stärker im Fokus der Öffentlichkeit. Zukünftig müssen sich nun bestimmte Branchen per Gesetz besser schützen: Das IT-Sicherheitsgesetz ist vor zwei Wochen in Kraft getreten – doch ein Großteil der Umsetzung steht noch bevor. „Das Gesetz kommt zur richtigen Zeit und in der richtigen Dosierung“, sagt Axel Wehling, Mitglied der Hauptgeschäftsführung des GDV. Nun gelte es, für die einzelnen Branchen sinnvolle Standards für die Sicherheit konkret zu definieren. Viele Anforderungen und Regelungen des IT-Sicherheitsgesetzes müssen noch in nachgelagerten Verwaltungsakten festgelegt werden. Dabei werden auch die betroffenen Branchen mitarbeiten. Durch das Gesetz wird ein hohes Maß an Rechtssicherheit erreicht. Dies müsse auch bei der Umsetzung der geplanten EU-Richtlinie zur Netz- und Informationssicherheit in nationales Recht Bestand haben, so Wehling. Substanzielle Änderungen am IT-Sicherheitsgesetz müssten unbedingt vermieden werden.

1. Worum geht es beim IT-Sicherheitsgesetz?

Unternehmen aus wichtigen Branchen, die für die Versorgung der Bevölkerung besonders bedeutend sind, müssen ihre IT verpflichtend nach bestimmten Standards schützen. Wie genau die neuen Standards aussehen, soll in nächster Zeit geklärt werden. Zudem müssen Unternehmen künftig IT-Sicherheitsvorfälle wie Hackerangriffe melden. Das soll gebündelt über sogenannte Clearingstellen passieren, die von den Branchen organisiert werden. Auch hier wird noch geklärt, welche Angriffe als schwerwiegend und deshalb meldepflichtig gelten sollen.

2. Welche Branchen müssen sich nach dem IT-Sicherheitsgesetz besonders schützen?

Unter das IT-Sicherheitsgesetz fallen nur die sogenannten kritischen Infrastrukturen. Dazu gehört die Versicherungswirtschaft ebenso wie Banken, Energie- und Wasserbetriebe sowie Telekommunikationsunternehmen. Denn ein Ausfall beispielsweise der Energieversorgung hätte starke Auswirkungen auf das gesamte alltägliche Leben – und könnte auch zu Ausfällen in anderen Branchen führen. Wünschenswert wäre aber auch, dass sich weitere kritische Branchen und Institutionen, die nicht unter das IT-Sicherheitsgesetz fallen – zum Beispiel die Bundesbehörden oder große Medienunternehmen – intensiv mit den Vorgaben beschäftigen.

3. Wie sind Versicherer vorbereitet?

Für Versicherer ist das IT-Sicherheitsgesetz nicht die erste gesetzliche Vorschrift für IT-Sicherheit. Sie müssen bereits IT-Sicherheitsregeln einhalten, die von der Bundesanstalt für Finanzdienstleistungen (BaFin) eingefordert werden. Zudem haben sie sich bereits intensiv mit den Vorgaben des Bundesamts für Sicherheit in der Informationstechnik (BSI) – zum Beispiel dem IT-Grundschutz – befasst. Die Versicherer haben sich als Datenunternehmen schon immer aus Eigeninteresse um eine hohe Sicherheit der IT gekümmert. Insgesamt geben die Unternehmen pro Jahr rund vier Milliarden Euro für ihre IT und deren Sicherheit aus. Auch bei der zukünftig geforderten Meldestelle sind Versicherer gut gerüstet: Die Branche hat mit dem LKRZV Krisenreaktionszentrum für IT-Sicherheit der deutschen Versicherungswirtschaft bereits vor fünf Jahren eine solche zentrale Meldestelle geschaffen. Diese leitet Warnmeldungen von Behörden an die Unternehmen weiter. Ebenso gibt das LKRZV Warnungen über kritische IT-Vorfälle in Unternehmen an das BSI weiter.

4. Wie werden die Schutzstandards definiert?

Das BSI legt die Standards individuell für die einzelnen Branchen fest. Dabei können die betroffenen Branchen Vorschläge machen, um auf Spezifika ihres Wirtschaftszweiges hinzuweisen. Das BSI entscheidet aber letztendlich über die konkrete Ausgestaltung der Standards. Anschließend werden diese veröffentlicht.

5. Müssen alle Unternehmen aus den kritischen Branchen die Standards einhalten?

Dem Gesetz zufolge sollen für jede Branche bestimmte Schwellen definiert werden, ab denen Unternehmen als kritisch einzustufen sind und somit die Auflagen des Gesetzes erfüllen müssen. Noch nicht entschieden ist jedoch, woran diese Schwellwerte festgemacht werden. Das könnten zum Beispiel die Zahl der Mitarbeiter oder der Umsatz sein.

6. Wie sieht der weitere Zeitplan aus?

Voraussichtlich noch in diesem Jahr sollen die Verordnungen und Bestimmungen für die Energie- und Wasserwirtschaft, die Ernährungsindustrie und den Sektor der Informations- und Kommunikationstechnologie beschlossen werden. In einem sogenannten zweiten Korb werden dann die Standards für Banken, Versicherungen und weitere Finanzdienstleister zusammen mit dem Gesundheitssektor und dem Bereich Transport und Verkehr festgelegt. Das soll 2016 geschehen. Bis Ende 2018 werden dann der Planung zufolge die Vorschriften des Gesetzes in allen kritischen Branchen umgesetzt sein.

Zur Startseite
Auch inter­essant