Nahezu die gesamte deutsche Wirtschaft ist von Cyber-Attacken betroffen. Die Schäden erreichten zuletzt eine jährliche Summe von 220 Milliarden Euro. Nun ist es am 28. Mai 2021 in Kraft getreten: das IT-Sicherheitsgesetz 2.0. Doch was umfasst das Gesetz und was soll es erreichen?
Stephan Auge: Die Summe von 220 Milliarden Euro ist natürlich enorm und entsteht zum großen Teil durch Diebstahl, Sabotage und Erpressung, welche durch kriminelle Cyberattacken durchgeführt werden. Das Gesetz soll erreichen, dass Unternehmen bereits frühzeitig Angriffe erkennen und das Bundesamt für Sicherheit in der Informationstechnik (BSI) als zentrale Meldestelle über Angriffe und deren Behebung informiert wird. Dies hat den Vorteil, dass schneller auf Sicherheitslücken reagiert werden kann und auch weitere Unternehmen informiert werden können.
Bereits am 17. Juli 2015 sollte das IT-Sicherheitsgesetz zur Erhöhung der Sicherheit informationstechnischer Systeme beitragen. Was hat sich nun mit dem IT-Sicherheitsgesetz 2.0 konkret im Vergleich zum ersten Gesetz geändert?
Stephan Auge: Die wichtigste Änderung ist der verpflichtende Einsatz von Systemen zur Angriffsfrüherkennung für Unternehmen, welche in den Geltungsbereich des IT-SiG 2.0 fallen. Diese Systeme sollen sicherstellen, dass neben einer Firewall und einer Anti-Viren-Lösung auch automatisiert und in Echtzeit Informationen über Sicherheitsausfälle gemeldet werden. Durch das frühzeitige Erkennen von Angriffen soll ein größerer Schaden verhindert werden. Auch bei den Meldepflichten an das BSI und dem Einsatz von kritischen Komponenten hat sich einiges getan. Kritische Komponenten sind IT-Produkte, welche in kritischen Infrastrukturen eingesetzt werden und deren sichere Funktion von hoher Bedeutung ist. Dies ist immer dann der Fall, wenn eine Störung dieser Komponente eine Gefährdung für die öffentliche Sicherheit darstellen würde. Hinzu kommen natürlich noch weitere Aufgaben der Bundesverwaltung, in diesem Falle des BSI.
Vor allem für das BSI hält das Gesetz viele Änderungen bereit. Wie genau profitiert das Bundesamt für Sicherheit in der Informationstechnik von der Erlassung?
Stephan Auge: Das BSI und somit auch die Bundesverwaltung erhalten mit dem neuen IT-SiG 2.0 weitere Aufgaben, Befugnisse und Rechte. Hierzu zählen unter anderem Aufgaben und Befugnisse als nationale Behörde für Cybersicherheitszertifizierungen, erweiterte Beratung und Warnung staatlicher Stellen, eine höhere Verantwortung für den Verbraucherschutz und die Erweiterung als zentrale Stelle für KRITIS-Betreiber. Hier profitiert das BSI zum einen durch einen engeren Kontakt zu Unternehmen aber auch dadurch, dass es viel mehr Informationen als heute sammeln darf. Hinzu kommt dann noch die Aufgabe, Empfehlungen für die Sicherheit von Verfahren zur Angriffserkennung und den Stand der Technik für Sicherheit in IT-Produkten zu erarbeiten. Um diese Aufgaben zu stemmen, wird natürlich auch Personal benötigt. Hierzu sind dem BSI ca. 800 neue Planstellen zugeordnet worden. Die große Aufgabe wird es wohl sein, diese auch zu besetzen. Hier bin ich gespannt, ob und wie das gelingt. Denn nur mit dem entsprechenden Personal wird das BSI die neuen Aufgaben wahrnehmen können.
Für KRITIS-Betreiber bedeutet das IT-SiG. 2.0 neue Pflichten. Was müssen KRITIS-Unternehmen dank neuem Gesetz in Zukunft tun? Welchen Anforderungen müssen diese jetzt gerecht werden?
Stephan Auge: Die erste wichtige Änderung ist, dass der Kreis der Unternehmen, die als KRITIS-Betreiber gelten, erweitert wird. Unternehmen im Bereich der Siedlungsabfallentsorgung sind nun ein eigener KRITIS-Sektor. Darüber hinaus gibt es neben den bereits bekannten KRITIS-Betreibern auch noch die neue Kategorie „Unternehmen im besonderen öffentlichen Interesse“. Hierzu gehören Hersteller von Rüstung, Betreiber von Betriebsbereichen mit Gefahrstoffen und Unternehmen von erheblicher volkswirtschaftlicher Bedeutung. Somit wird sich die Zahl der betroffenen Unternehmen deutlich erhöhen. Auch die KRITIS-Verordnung wurde durch das IT-SiG 2.0 angepasst. Teilweise wurden Schwellwerte in den bereits vorhandenen Sektoren gesenkt, wodurch weitere Betreiber als KRITIS-relevant gelten. Eine neue Pflicht aus dem IT-SiG 2.0 betrifft KRITIS-Betreiber spätestens zum 01.05.2023. Bis zu diesem Datum müssen Systeme zur Angriffserkennung implementiert werden, die Bedrohungen im Betrieb nach Mustern erkennen sollen. Auch neu und verpflichtend sind die Vorgaben zu Meldepflichten und dem Anzeigen von kritischen Komponenten sobald deren Ausfall die Funktion einer Anlage beeinträchtigen könnte. Bei Störungen sind Betreiber verpflichtet, dem BSI auf Nachfrage Details mitzuteilen, darunter auch Informationen wie die Störungsbewältigung geplant ist.
Denken Sie, dass dank IT-Sicherheitsgesetz 2.0 Cyberangriffe in Zukunft reduziert werden?
Stephan Auge: Ich denke, dass sich die Anzahl der Cyberangriffe in den kommenden Jahren nicht reduzieren wird. Ganz im Gegenteil. Es ist eher von einer enormen Steigerung auszugehen. Das zeigt bereits die Zunahme von Cyberangriffen und die hieraus entstandenen Schäden der vergangenen Jahre. Die Zahl der Angriffe hat sich seit 2019 verdoppelt. Es wird viel mehr darum gehen, den Schaden so klein wie möglich zu halten. Dies ist mit Systemen zur frühzeitigen Angriffserkennung und der Meldung von Vorfällen in Echtzeit, wodurch zeitnah Informationen zur Verfügung stehen, grundsätzlich erreichbar. Auch die Art der Angriffe wird sich weiter verändern. Die Angreifer werden leider auch immer besser. Hinzu kommt, dass immer mehr Unternehmen auf Homeoffice setzen und so weitere Sicherheitslücken entstehen können. Diese kann man durch klare Verhaltensregeln im Homeoffice und einer Sensibilisierung der Mitarbeiter zwar reduzieren, aber ein gewisses Restrisiko verbleibt. Über den Erfolg von Angriffen entscheiden also auch die betroffenen Unternehmen. Wenn nicht ausreichend in IT-Sicherheit bzw. Informationssicherheit investiert wird und die Mitarbeiter nicht ausreichend sensibilisiert sind, wird auch das beste Gesetz keine Angriffe und somit Schäden verhindern können.
Der Gesetzesentwurf erntete Kritik von vielen Seiten. Besonders der Datenschutz und die Vorratsdatenspeicherung wurde hier immer wieder erwähnt. Denken Sie die Kritik am Entwurf ist gerechtfertigt?
Stephan Auge: Man sollte das schon genau beobachten. Fakt ist, dass das BSI hohe Kompetenzen und Rechte erhält. Hierunter fällt auch die Meldepflicht und die Informationen über Angriffe und deren Methoden zur Behebung. Konkret regelt dies § 8b Abs. 4a BSIG. Das BSI kann demnach „die Herausgabe der zur Bewältigung der Störung notwendigen Informationen einschließlich personenbezogener Daten verlangen“. Interessant wäre es hier zu wissen, wie das BSI mit diesen Daten umgeht und was mit diesen Daten passiert. Hier gibt es leider bislang noch keine Aussage.