IT-Sicherheitsgesetz Produkt- und Systemhersteller betroffen

Das IT-Sicherheitsgesetzt ist jetzt in Kraft - weist aber noch jede Menge Löcher auf.

Bild: Ursula Alter, iStock
27.07.2015

Am letzten Freitag, den 24. Juli 2015, ist das IT-Sicherheitsgesetz in Kraft getreten. Es soll die Sicherheit informationstechnischer Systeme von Betreibern kritischer Infrastrukturen erhöhen. Zwar stellt es höhere Anforderungen an Unternehmen aus den Bereichen Energieversorgung, Wasserwirtschaft, Transport und Verkehr. Doch auch die Zulieferer der Infrastrukturbetreiber sind vom neuen Gesetz betroffen, wie Anbieter von Automatisierungstechnik.

Ein Teil des Gesetzes umfasst verschärfte Meldepflichten. Dadurch sollen Behörden früher über Angriffe informiert werden. Diese wollen dann Informationen über akute Gefahren und mögliche Abwehrmaßnahmen an alle relevanten Unternehmen weitergeben und so laufende Sabotageakte verhindern. Zur kritischen Infrastruktur zählen Unternehmen aus den Sektoren Energieversorgung, Transport und Verkehr, Informationstechnik und Telekommunikation, Finanzwesen und Versicherungen sowie Gesundheit und Lebensmittel.

Ein weiterer wesentlicher Teil des Gesetzes verlangt darüber hinaus, dass die Betreiber von kritischen Infrastrukturen organisatorische wie technische Maßnahmen zum Schutz ihrer Systeme vor unberechtigten Zugriffen treffen. Doch welche da sein werden, steht noch nicht fest. Die Konkretisierung der geforderten technischen Maßnahmen soll sektorspezifisch im Rahmen von Rechtsverordnungen nachgereicht werden. Solange diese nicht vorliegen, gilt das Gesetz zunächst nur für Telekommunikationsanbieter und die Betreiber von Kernkraftwerken.

Gemeinsam mit der Wirtschaft will das Bundesamt für Sicherheit in der Informationstechnik (BSI) Mindeststandards zur IT-Sicherheit für die genannten Branchen erarbeiten. Auf diese müssen sich dann auch die Produkt- und Systemlieferanten einstellen, die den Infrastrukturbetreibern beispielsweise Automatisierungs- oder Informationstechnik zuliefern. Und mehr noch: Auf Anordnung des BSI sollen im Fall von Angriffen auch Lieferanten in zumutbarem Umfang dazu verpflichtet werden können, dabei zu helfen, Sicherheitslücken zu schließen und Störungen zu beseitigen.

Allerdings ist bislang nicht klar, wer die angesprochenen Betreiber konkret sind. Ein Sprecher des BSI gab zu, dass eine solche Liste bislang nicht existiert. Diese soll erst noch erarbeitet werden. Das Amt rechnet mit einem Umfang von rund 2000 Unternehmen.

Verwandte Artikel