Kritische Infrastrukturen sind Organisationen und Einrichtungen mit hoher Bedeutung für das staatliche Gemeinwesen, bei deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe, erhebliche Störungen der öffentlichen Sicherheit oder andere dramatische Folgen eintreten würden. Das Finanz-, Geld- und Versicherungswesen mit Versicherungen, Finanzdienstleistern und Börsen gehört natürlich dazu.
Damit ist einerseits der im Februar 2014 neu gefasste Umsetzungsplan „UP KRITIS: Öffentlich-Private Partnerschaft zum Schutz Kritischer Infrastrukturen – Grundlagen und Ziele -“ relevant [1]. Ebenso wie der im Rahmen der Digitalen Agenda der Bundesregierung [2] zu sehende Entwurf eines IT-Sicherheitsgesetzes vom August 2014. Dieser gilt als in seiner Wirkung umstrittene Regelung [3] mit neuen Meldepflichten und Aufsichtselementen [4].
Wesentliche Eckpunkte des IT-Sicherheitsgesetzes
- Das Gesetz betrifft alle „Betreiber kritischer Infrastrukturen“. Welche dies sind, soll, nach § 10 Abs. 1 des Gesetzes, das Bundesministerium des Innern in einer Rechtsverordnung bestimmen. Hierzu hat es unter anderem zuvor Vertreter betroffener Wirtschaftsverbände anzuhören.
- Der Entwurf sieht eine Meldepflicht der Unternehmen im Falle eines Angriffs auf ihre digitalen Systeme vor. Die Meldungen sollen direkt an das Bundesamt für Sicherheit in der Informationstechnik (BSI) erfolgen, wobei eine pseudonyme Meldung grundsätzlich ausreicht. Eine namentliche Nennung soll allerdings erforderlich sein, wenn die sogenannte „Kritische Infrastruktur“ ausfällt oder gestört wird.
- Weiterhin sollen Unternehmen innerhalb eines Zeitraums von zwei Jahren Sicherheitsstandards für ihre jeweilige Branche festlegen. Konkret sind hier die Branchen Energie, Informationstechnik und Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung sowie Finanzen und Versicherungen in der Diskussion.
- Vorgesehen ist auch eine Informationspflicht bei Systemstörungen für bestimmte Unternehmen und Institutionen, bei denen ein Ausfall nicht nur für den Datenschutz weitreichende Folgen haben könnte. Neben Banken, Energienetzen und Krankenhäusern werden hier voraussichtlich auch Verwaltungsbehörden und Telekommunikationsnetze betroffen sein.
- Schließlich soll die Zuständigkeit des Bundeskriminalamts (BKA) auf zahlreiche Cyberdelikte ausgeweitet werden, für die bislang die Länder zuständig waren [5].
BSI als neue Aufsicht
- Mehrfach wird im Entwurf dem Ziel, die Bedeutung und Kompetenzen des BSI zu stärken, Rechnung getragen. Eine Säule dieses Konzepts stellt die Etablierung des BSI als Aufsichtsbehörde für die oben genannten Maßnahmen der Unternehmen dar.
- Der Entwurf sieht in diesem Zusammenhang weiter eine Verpflichtung der Unternehmen vor, dem BSI mindestens alle zwei Jahre eine Aufstellung aller Sicherheitsaudits, Prüfungen und Zertifizierungen einschließlich der dabei aufgedeckten Sicherheitsmängel zu übermitteln. Daneben soll das BSI im Falle von Sicherheitsmängeln auch deren unverzügliche Beseitigung verlangen können [5].
Das Thema Sicherheit ist eine zentrale Herausforderung unserer Zeit. Wie dieses neue Gesetz in die Praxis umgesetzt wird und ob es die Sicherheitslücken schließen kann, wird sich in den nächsten Jahren zeigen.