BSI-Kongress: Streit über IT-Sicherheitsgesetz geht weiter
Auf dem 13. Sicherheitskongress des Bundesamts für Sicherheit in der Informationstechnik Bonn haben Vertreter von Wirtschaft und Behörden ihren Streit über das geplante IT-Sicherheitsgesetz fortgeführt.
- Torsten Kleinz
Können die zunehmenden Herausforderungen der IT-Sicherheit von der Industrie in Eigenregie geregelt werden oder braucht es eine gesetzliche Grundlage? Auf dem 13. Sicherheitskongress des Bundesamts für Sicherheit in der Informationstechnik (BSI) in Bonn haben Vertreter von Wirtschaft und Behörden ihren Streit über das geplante IT-Sicherheitsgesetz fortgeführt. Die Industrie verweist auf erfolgreiche Pilotprojekte zur Verbesserung von IT-Sicherheit, die Bundesregierung sieht jedoch gerade bei kritischen Infrastrukturen enorme Defizite, die nur mit gesetzlichen Verpflichtungen zu regeln sind.
"Ich bin der Überzeugung, dass wir einen gesetzlichen Rahmen für die Zusammenarbeit zwischen Behörden und Wirtschaft brauchen", erklärte Cornelia Rogall-Grothe, Staatssekretärin im Bundesinnenministerium am Dienstag in Bonn. Ihr Ministerium habe 2012 intensive Gespräche besonders mit den Betreibern kritischer Infrastrukturen geführt und sei zu der Überzeugung gekommen, dass in Teilbereichen noch erheblicher Nachholbedarf bestehe: Sicherheitsmaßnahmen seien hier allenfalls rudimentär umgesetzt.
Obwohl das Bewusstsein für die Problematik gestiegen sei, will die Bundesregierung die Mindeststandards zur IT-Sicherheit gesetzlich regeln. Dabei sollen die branchenspezifischen Anforderungen aber von den Branchenverbänden und Unternehmen selbst erarbeitet werden, um dann von Bundesbehörden abgesegnet zu werden. Dabei sieht Rogall-Grothe die Strategie der Bundesregierung im Einvernehmen mit der EU-Kommission, die ebenfalls eine gesetzliche Meldepflicht plant.
Doch gerade die von der Bundesregierung geplante Meldepflicht für "erhebliche" Sicherheitsvorfälle sorgt für Protest von den betroffenen Unternehmen. Markus Kerber, Hauptgeschäftsführer des Bundesverbandes der Deutschen Industrie (BDI) betonte zwar, dass die Unternehmen mit den Zielen der Bundesregierung einhergingen und es gerade im Bereich des Mittelstandes noch erheblichen Nachhobedarf gebe. Die gesetzliche Meldepflicht tauge jedoch nicht dazu, die Sicherheit zu verbessern, da unter anderem unklar sei, was nun als "erheblicher" IT-Vorfall zu gelten habe.
Zudem beträfen die angegriffenen Daten oft sensible Unternehmensbereiche, man habe Sorge, diese aus den eigenen Händen zu geben. So seien ja selbst aus der Finanzverwaltung vertrauliche Daten an die Öffentlichkeit gelangt, sagte der Verbandsvertreter. Die Bundesregierung solle den Industrieinitiativen wie die im November offiziell gestartete Allianz für Cybersicherheit Chancen geben, ihre Wirkung zu entfalten. Dieser Ende 2012 vom BSI und dem Branchenverband Bitkom gegründeten Unternehmen sind inzwischen 290 Organisationen beigetreten.
Dass gesetzliche Vorgaben jedoch wichtig sein können, die IT-Sicherheit zu stärken, erläuterte IBM-Managerin Kristin Lovejoy. So habe ihr Konzern festgestellt, dass in den USA gerade diejenigen Branchen erfolgreich IT-Angriffe abwehren können, die von den Regulierungen des Patriot Act betroffen seien. Diese verpflichten Unternehmen in bestimmten Branchen dazu, Überwachungssysteme bereitzuhalten, um beispielsweise auffällige Geldströme aufzudecken, die zur Finanzierung von Terrorismus dienen könnten. Durch solche Monitoring-Systeme seien die Unternehmen sehr viel besser in der Lage, Attacken auf sie zu entdecken und zu analysieren. Eine allgemeine Meldepflicht für IT-Angriffe sieht auch Lovejoy als beschränkt nützlich: "Wir können nur über das reden, was wir wissen", sagte die Sicherheitsspezialistin. Allzu oft wüssten Unternehmen jedoch nicht über Angriffe Bescheid. Dazu hätten auch die während der Wirtschaftskrise erheblich zurückgefahrenen Investitionen in Sicherheit beigetragen.
Mit Erfolgsmeldungen versuchen Unternehmen unterdessen, den Handlungsbedarf des Gesetzgebers herunterzuspielen. So präsentierte das Vorstandsmitglied der Deutschen Telekom, Thomas Kremer Pläne, ihr bestehendes Honeypot-Netz, das systematisch Angriffsmuster im Internet erfasst, auf 180 Datenpunkte zu erweitern. Die neuen Honeypots sollen besonders in Netzen im mittel- und osteuropäischen Ausland aufgestellt werden. Auch einer Verpflichtung für Provider gegen Vireninfektionen bei ihren Kunden vorzugehen, greift die Telekom vor. Nach Kremers Angaben versendet das Unternehmen pro Monat inzwischen zwischen 20.000 und 120.000 SMS an Nutzer, um sie über eine Vireninfektion ihrer Mobilgeräte zu informieren. (anw)