„Überraschungsei“

Bekanntermaßen unterscheidet das IT-SG zwischen zwei Adressatenkreisen:
1. Kernkraft-werkbetreiber, Telekommuni-kationsunternehmen und Webservices (Onlineshops, aber auch jede Art von gewerblichen Webseiten), die in die sofortige Pflicht genommen werden.
2. Betreiber kritischer Infrastrukturen (Kritis), die erst nach Erlass von Rechtsvorschriften im Laufe des Jahres 2016 und einer anschließenden Übergangszeit von zwei Jahren dem Gesetz Genüge tun müssen.

„Es ist geplant, die Verordnung für vier der sieben Sektoren (Informations- und Kommunikationstechnik, Energie, Wasser, Ernährung) zum Ende des ersten Quartals 2016 in Kraft zu setzen. Die übrigen drei Sektoren (Transport und Verkehr, Gesundheit, Finanz- und Versicherungswesen) sollen bis Ende 2016 folgen“, machte eine Sprecherin des Bundesministeriums des Innern (BMI) gegenüber PROTECTOR deutlich.

Doch – Stichwort Überraschungsei – die Definition, welche Unternehmen Kritis-relevant sind, bleibt den genannten Rechtsverordnungen vorbehalten. Gegenwärtig steht lediglich fest, dass es sich theoretisch um sämtliche Unternehmen handeln kann, die für das Gemeinwesen von zentraler Bedeutung sind. Das bedeutet: Für viele potenzielle Kritis-Unternehmen ist zum gegenwärtigen Zeitpunkt noch nicht abschätzbar, ob sie qua Gesetz künftig erhöhte Anforderungen an die IT-Sicherheit sowie verschärfte Melde- und Nachweispflichten erfüllen müssen. Das einzige derzeit bekannte Ausschlusskriterium ist laut Bundesinnenministerium, dass im Sinne der Empfehlung 2003/361/EG der EU-Kommission Unternehmen mit weniger als zehn Mitarbeitern, deren Jahresumsätze zwei Millionen Euro nicht übersteigen, sprich Kleinstunternehmen, nicht in den Anwendungsbereich des Gesetzes fallen.

Beispielhaft stellen sich die Fragen: Sind kleine kommunale oder privatisierte Stadtwerke bereits kritische Infrastruktur? Ist die regionale Bank oder Sparkasse als Maßstab anzusehen oder bedarf es größerer institutioneller Strukturen? Und: Kann der Zulieferer eines Kritis-Unternehmens in die IT-Sicherheitsmaßnahmen einbezogen werden, wie es in anderen Branchen gang und gäbe ist?

Eine frühzeitige Klärung ist essentiell, denn auf Kritis-Unternehmen kommt einiges an Herausforderungen zu. So werden sie kraft IT-SG künftig verpflichtet sein, Mindeststandards der IT-Sicherheit „nach dem Stand der Technik“ zu erfüllen und alle zwei Jahre überprüfen zu lassen.

Auch muss ein IT-Sicherheitsbeauftragter ernannt und eine 24/7 besetzte Kontaktstelle als Verbindungsorgan zum BSI bereits sechs Monate nach Inkrafttreten der Rechtsverordnung eingerichtet werden. Aufgabe dieser Stelle ist es unter anderem, bedeutende IT-Sicherheitsvorfälle an das Bundesamt für Sicherheit in der Informationstechnik (BSI) zu melden. Führt die Störung zu einem Ausfall oder einer Beeinträchtigung der Funktionsfähigkeit der kritischen Infrastruktur, muss explizit der jeweilige Name des Unternehmens genannt werden.

Welche Maßnahmen konkret ergriffen werden müssen, um dem Gesetz zu genügen, steht hingegen ebenfalls noch nicht fest. So ist es bislang noch ein Mysterium, wie die Mindeststandards an IT-Sicherheit und der Terminus „nach dem Stand der Technik“ konkret zu definieren sind. Auch in dieser Hinsicht werden erst die künftigen Rechtsverordnungen zu einer Klärung führen.

IT-Sicherheitsxexperten gehen aber davon aus, dass mit der Implementierung eines Informationssicherheits-Managementsystems (ISMS) nach ISO 27001 dem Gesetz Genüge getan wird, da diese Norm mehrfach in der Gesetzesbegründung genannt wird. Eine ebenso große Rolle dürften die Grundschutzkataloge beziehungsweise die Standards des BSI spielen. Eines der entscheidenden Kriterien dürfte die Abschottung besonders kritischer Prozesse von öffentlichen ITK-Netzen sein. Was tun in dieser unklaren Situation? Abwarten, bis die Rechtsverordnungen erlassen sind? Und dann „ganz entspannt“ an die Umsetzung gehen?

Das wäre nach Auffassung der Rechtsanwältin Anna Cardillo ein denkbar falscher Weg. Bereits zum jetzigen Zeitpunkt müssten alle Unternehmen, die potenziell in den Anwendungsbereich des IT-SG fallen könnten, mit den erforderlichen Vorbereitungen beginnen, hob die Juristin während der jüngsten Wirtschaftsschutztagung in Hannover hervor. Denn der Zeitraum, der nach Erlass der Rechtsverordnungen bleibe, sei für jene Unternehmen allzu knapp, die sich erst dann mit der komplexen Thematik befassten. Werden die gesetzlich geforderten IT-Sicherheitsmaßnahmen bis zum Stichtag nicht umgesetzt, drohen Bußgelder von bis zu 100.000 Euro.

Doch auch unabhängig von dem IT-SG sollten der IT- und Informationssicherheit eine höhere Bedeutung zugemessen werden als bisher, so das Plädoyer der Juristin während der Wirtschaftstagung, die unter der Federführung des Verfassungsschutzes gemeinsam von den niedersächsischen Ministerien für Inneres und Wirtschaft veranstaltet wurde. § 43 des GmbH-Gesetzes weise ein Haftungsrisiko des Geschäftsführers aus, wenn dieser die Obliegenheit, „in den Angelegenheiten der Gesellschaft die Sorgfalt eines ordentlichen Geschäftsmannes anzuwenden“, verletze. Die Rechtsprechung gehe dahin, eine ungenügende IT-Sicherheit als Obliegenheitsverletzung zu bewerten, betonte die Juristin und geschäftsführende Gesellschafterin der Privcom Datenschutz GmbH in Hamburg.

Ähnlich wie Cardillo sehen das auch viele IT-Sicherheitsexperten. „Was ist so schlimm daran, wenn Unternehmen jetzt ihre IT-Sicherheit verbessern, auch wenn sie am Ende nicht in den Kritis-Adressatenkreis fallen?“, fragt ein führender IT-Fachmann. „Das Ergebnis ist schließlich ein bedeutendes Mehr an Sicherheit und damit Zukunftsfähigkeit.“ Eine Sicherheit, die immer wichtiger werde, denn Anzahl und Professionalität der Cyberattacken wachsen exponentiell. Es sei überdies damit zu rechnen, dass sich aus den Anforderungen des IT-SG eine Art allgemein verbindlicher Standard für alle Wirtschaftsbereiche entwickelt. Das IT-SG könnte somit als Weckruf verstanden werden, die IT-Sicherheit auch in jenen Unternehmen zu verankern, die diese Thematik bislang konsequent ausgesessen haben.

Der Bundesverband der Deutschen Industrie (BDI), der seit Beginn des Gesetzgebungsverfahrens im ständigen, engen Dialog mit dem BMI steht, sieht trotz der positiven Aspekte des IT-SG nicht alle seine Bedenken ausgeräumt. Nach Mitteilungen aus BDI-Kreisen wird insbesondere befürchtet, dass die hohen Bußgelder zu der Haltung führen könnten, dass im Zweifel pauschal jeder IT-Sicherheitsvorfall gemeldet werde. Das könne zu einer Flut von Meldungen führen, die erhöhten Verwaltungsaufwand produziere, aber keinen tatsächlichen Nutzen für die IT-Sicherheit bringe.

Als problematisch wird vom BDI die namentliche Meldung bei einer gravierenden Beeinträchtigung oder Ausfall der kritischen Infrastruktur gesehen. Die extrem nachteiligen Effekte durch Bekanntwerden gravierender Beeinträchtigungen oder Ausfälle könne Unternehmen weitaus mehr noch als das eigentliche IT-Vorkommnis „richtig schädigen“, verlautet aus dem Bundesverband. Insofern sei kritisch zu hinterfragen, ob die namentliche Meldepflicht überhaupt sein müsse.

Kritisch werden zudem die oft unpräzise Definitionen des Gesetzes betrachtet, die es den Unternehmen unnötig erschwere, ihre künftigen Verpflichtungen vorauszusehen. Positiv bewertet wird dagegen vom BDI die vom Gesetz eingeräumte Möglichkeit branchenspezifischer Mindeststandards. Einige Branchenverbände hätten bereits damit begonnen, derlei Standards zu erarbeiten.