Die Rede ist vom im Juli 2015 in Kraft getretenen Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme – oder auch dem IT-Sicherheitsgesetz. Denn dem privaten Surfen im Internet und der enormen Datenverarbeitung in Großkonzernen ist eines auf jeden Fall gemein: der Wunsch nach Sicherheit. Wo dem heimischen Computer als Worst-Case-Szenario im Normalfall der festplattenfressende Virus droht, sind die Folgen bei Großkonzernen weitaus verheerender. Besonders Institutionen aus Bereichen wie Gesundheit, Strom und Ernährung sind hochempfindlich gegenüber Cyber-Angriffen.
Schutz staatlicher Stützpfeiler
Unternehmen, die maßgeblich für das Funktionieren des Gemeinwesens in einem Land sind, betreiben sogenannte Kritische Infrastrukturen (KRITIS). Kritisch wird es nämlich, wenn hunderttausende Menschen auf einen Schlag beispielsweise nicht mehr mit Strom oder Wasser versorgt werden können. Die reibungslose unternehmensinterne Datenverarbeitung zu gewährleisten ist demnach von oberster Priorität.
Das IT-Sicherheitsgesetz hält die Definition einer solchen Kritischen Infrastruktur jedoch abstrakt. Es oblag den Branchen selbst, Rechtsverordnungen für diese Fragestellung zu entwerfen. Die erste davon betrifft die Sektoren Energie, Telekommunikation, Ernährung und Wasser und trat im Mai 2016 in Kraft. Sie setzte als branchenübergreifende Bemessungsgrundlage die 500 000er-Regel ein. Sprich: Sind 500 000 oder mehr Bürger von einer Versorgungsleistung abhängig, steht die jeweilige Anlage unter der im Gesetz vereinbarten Meldepflicht. Die betroffene Firma ist folglich dazu angehalten, IT-Sicherheitsvorfälle an das Bundesamt für Sicherheit in der Informationstechnik (BSI) zu melden. Hinzu kommt die Einhaltung von Mindeststandards, die das BSI im Abstand von zwei Jahren regelmäßig überprüft. Die durch diese Maßnahmen gewonnenen Erkenntnisse stellt das Amt allen KRITIS-Betreibern zur Verfügung, damit sie ihre IT entsprechend schützen können.
Die Vorgaben, an die sich Kritische Infrastrukturen laut IT-Sicherheitsgesetz zu halten haben, sind nicht konkret festgelegt. Stattdessen wird sich des unbestimmten Rechtsbegriffs Stand der Technik bedient. Denn da die Technik sich schneller weiterentwickelt, als Gesetze geschrieben werden können, muss der zu erfüllende Mindestanspruch stets neu evaluiert werden. Das erfolge nach dem IT-Sicherheitsgesetz alle vier Jahre, zum Beispiel durch die Betrachtung von bereits existierenden internationalen Standards oder auch von erfolgreich in der Praxis erprobten Vorbildern. Oft unterscheiden sich notwendige technische Maßnahmen von Fall zu Fall, weswegen es keinen allgemeingültigen Stand der Technik geben könne.
Kundendaten im Visier
Obwohl Betreiber Kritischer Infrastrukturen den höchsten Anforderungen des IT-Sicherheitsgesetzes unterliegen, sind auch andere Gruppen betroffen. Sensible Daten finden sich nämlich ebenfalls bei Anbietern von Webdienstleistungen. Betreiber von Online-Shops beispielsweise sind dazu verpflichtet, sorgsam mit ihren Kundendaten umzugehen, und mussten im Zuge des IT-Gesetzes ihre Vorkehrungen dazu verschärfen. Kunden von Telekommunikationsunternehmen – welche ebenfalls zu den Kritischen Infrastrukturen zählen – müssen mit der Verabschiedung des Gesetzes fortan von den Providern informiert werden, wenn IT-Angriffe auf ihre Anschlüsse festgestellt werden. Gleichzeitig ist es an den Netzanbietern, auf eine Möglichkeit der Beseitigung der Störung hinzuweisen.
Nicht zuletzt ist das BSI selbst von den neuen Regelungen betroffen, indem dessen Befugnisse zur Untersuchung der Sicherheit von IT-Produkten erweitert wurden. Das schließt die IT-Kompetenzen auf Ebene der Bundesverwaltung mit ein.
Rufschaden vermeiden
Wo erhöhte Sicherheit im ersten Moment gut klingt, gingen mit den Verordnungen für betroffene KRITIS-Unternehmen auch Befürchtungen einher. So etwa der schlimmstenfalls irreversible Rufschaden, der bei publik gewordenen Sicherheitsvorfällen auftreten kann. Schlussendlich kam es hierbei zu einer Kompromisslösung, die Treuhänder in den Meldeprozess integriert. Das BSI erhält auf diesem Wege alle Informationen, die es für ein Lagebild benötigt, schützt aber das jeweilige Unternehmen unter dem Pseudonym des Vermittlers. Das Risiko für einen Reputationsschaden sinkt dadurch auf ein Minimum.
Um die Einhaltung der im IT-Sicherheitsgesetz verordneten Vorschriften zu gewährleisten, drohen nicht agierenden Unternehmen Bußgelder in Höhe von bis zu 50 000 Euro. Da die Verschärfung der Sicherheitsmaßnahmen bei KRITIS-Betreibern großen Aufwand und interne Umstrukturierung bedeuten, ist ihnen eine Durchführungsfrist von zwei Jahren zugeschrieben.
Bedacht im Netz
Für andere betroffene Firmen gelten die neuen Regelungen sofort und sind in eigenem Interesse zeitnah umzusetzen. Die im Gesetz noch nicht näher behandelten KRITIS-Sektoren Finanzen, Transport und Verkehr sowie Gesundheit sollen im Frühjahr 2017 ihre eigene Verordnung erhalten.
Ob nun kritisch oder nicht – virtuelle Daten sind ständig von Fremdeinwirkung bedroht. Die Verknüpfung von Arbeitsprozessen mit der elektronischen Datenverarbeitung ist inzwischen so weit fortgeschritten, dass gesellschaftliche Strukturen durch einen Eingriff in das IT-Datennetz stark geschwächt und sogar zeitweise außer Kraft gesetzt werden können. Das elektronische Umfeld ist also nicht minder zu behüten als das eigene Heim. Denn wir sind längst nicht mehr nur in der realen Welt zu Hause.