Nach dem seit Juli 2015 geltenden Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme – kurz: IT-Sicherheitsgesetz – gehören Unternehmen zur kritischen Infrastruktur (KRITIS), wenn durch Ausfall oder Beeinträchtigung der von ihnen eingesetzten Informations- und Kommunikationstechnik erhebliche Versorgungsengpässe oder Gefährdungen der öffentlichen Sicherheit eintreten würden. Infolge der Finanz- und Warenströme zwischen den einzelnen Wirtschaftssektoren und Unternehmen beispielsweise in der Lieferkette besitzt ein erfolgreicher Angriff auf ein Unternehmen der KRITIS ein exponentielles Schadenspotenzial für Wirtschaft und Gesellschaft, das weit über das direkt betroffene Unternehmen hinausgeht.

Für das Funktionieren hochkomplexer Industrienationen ist daher der Schutz der Informations- und Kommunikationstechnik auch von privaten Unternehmen, soweit sie zur KRITIS zu zählen sind, von besonderer Wichtigkeit.

Zur KRITIS gehören gemäß § 2 Abs. 10 Nr. 1 BSIG folgende Sektoren:

  • Energie
  • Wasser
  • Informationstechnik und Telekommunikation
  • Transport und Verkehr
  • Finanz- und Versicherungswesen
  • Medien und Kultur
  • Gesundheit
  • Ernährung

In einer Rechtsverordnung sollen der Anwendungsbereich präzisiert und die Betreiber kritischer Infrastrukturen benannt werden. Wir haben erhoben, welche Unternehmen nach eigener Einschätzung vom IT-Sicherheitsgesetz betroffen sein werden und wie sie das Gesetz beurteilen.

Das IT-Sicherheitsgesetz war nahezu allen Befragten bekannt (98 %) und jedes fünfte Unternehmen geht davon aus, dass es selbst zur KRITIS im Sinne des Gesetzes zu zählen ist (21 %). 18 % der Unternehmen sind sich unsicher, ob sie dem Gesetz unterliegen. Dies dürfte auch darauf beruhen, dass der Kreis der betroffenen Unternehmen erst noch in einer Rechtsverordnung bestimmt werden soll (§ 10 Abs. 1 BSIG).

Das IT-Sicherheitsgesetz sieht weitreichende Kompetenzen für das zuständige Bundesamt – das BSI – vor. Betreiber kritischer Infrastrukturen müssen dem BSI mindestens alle zwei Jahre insbesondere die Einhaltung der IT-Sicherheit nach dem Stand der Technik nachweisen (§ 8a Abs. 1 und § 3 BSIG). Das BSI kann im Falle von Sicherheitsmängeln im Einvernehmen mit Aufsichtsbehörden ihre Beseitigung anordnen (§ 8a Abs. 3 BSIG). Die Rechtsreform verfolgt dabei einen kooperativen Ansatz: Die Branchenverbände können dem BSI branchenspezifische Sicherheitsstandards vorschlagen (§ 8a Abs. 2 BSIG). Das Gesetz sieht somit vor, dass Betreiber kritischer Infrastrukturen ein mit Branchenverbänden abgestimmtes Mindestniveau an IT-Sicherheit einzuhalten haben.

Angesichts der bisher überwiegend kritischen öffentlichen Diskussion haben wir eine geringe Zustimmung zum IT-Sicherheitsgesetz erwartet. Immerhin wird durch die Erweiterung der Rechtsbefugnisse für das BSI in die Privatautonomie von Unternehmen eingegriffen. Unsere Studie zeigt jedoch, dass die Regelung vor allem von den voraussichtlich vom Gesetz betroffenen Unternehmen, die sich zur KRITIS zählen, angesichts der wachsenden Cybercrime-Bedrohung für sinnvoll erachtet wird (81 %). Nur 4 % lehnen die Reform ab. Man hat wohl überwiegend verstanden, dass Stör- und Ausfälle bei Betreibern kritischer Infrastrukturen aufgrund ihrer Verzahnung etwa in Lieferketten ein erhebliches Bedrohungspotenzial für alle Unternehmen bergen.

Das IT-Sicherheitsgesetz verpflichtet Betreiber kritischer Infrastrukturen, dem BSI erhebliche Störungen ihrer informationstechnischen Systeme zu melden (§ 8b Abs. 4 BSIG). Eine Unternehmensbefragung der Industrie- und Handelskammer Nord im Jahr 2013 ergab, dass nur etwa 13 % Prozent der betroffenen Unternehmen Cyberattacken an Strafverfolgungs- und Aufsichtsbehörden melden, da Zweifel an Ermittlungserfolgen bestehen und der bürokratische Meldeaufwand als zu hoch empfunden wird. Die Bereitschaft, IT-Sicherheitsvorfälle zu melden, ist bei Unternehmen im Allgemeinen eher gering, da sie auch Reputationsschäden und Wettbewerbsnachteile befürchten.

Das IT-Sicherheitsgesetz beschränkt sich nicht nur auf eine gesetzliche Meldepflicht, sondern bietet zugleich einen Anreiz zur Meldung von IT-Sicherheitsvorfällen. Das BSI sammelt und bewertet die aus den Vorfällen stammenden relevanten Informationen und leitet diese auch an die Betreiber kritischer Infrastrukturen weiter. Auf diese Weise können Erkenntnisse über aufgetretene Sicherheitslücken und Schadprogramme anderen Unternehmen zur Verbesserung ihrer IT-Prävention zur Verfügung gestellt werden.

Unternehmen sollen so von Störfällen anderer Unternehmen lernen und ihre IT-Sicherheitstechnik auf dem neuesten Stand halten können. Fast zwei Drittel der Unternehmen (63 %), die sich zur KRITIS zählen, begrüßen diese Kooperationsidee grundsätzlich. Allerdings zweifelt ein Drittel (34 %) am Nutzen in der Praxis. Auch befürchten rund zwei Drittel der Betreiber kritischer Infrastrukturen (62 %) einen erheblichen bürokratischen Mehraufwand. Zwei Drittel dieser Unternehmen begegnen den Regelungen im IT-Sicherheitsgesetz also mit gemischten Gefühlen. Die Kooperationsidee wird sich in der Praxis noch bewähren müssen.

Im Vergleich zeigt sich, dass das IT-Risk-Management von Unternehmen, die ihrer Einschätzung nach zur KRITIS gehören, weiter fortgeschritten zu sein scheint. In der Regel weisen sie nach eigenen Angaben ein internes IT-Sicherheitsmanagement auf (78 %) und führen interne Sicherheitsaudits durch (78 %). Fast zwei Drittel dieser Unternehmen führen Penetration Testings des IT-Systems durch (62 %). Hingegen erfolgte bislang nur bei 42 % der Betreiber kritischer Infrastrukturen eine Zertifizierung des IT-Sicherheitsmanagements. Die wenig verbreitete Zertifizierung lässt auch hier wiederum an dem laut eigener Einschätzung erreichten IT-Sicherheitsstandard bei den Betreibern kritischer Infrastrukturen zweifeln.

Des Weiteren verlangt das IT-Sicherheitsgesetz nach § 8b Abs. 3 BSIG die Einrichtung einer permanenten IT-Kontaktstelle, die jederzeit für das BSI erreichbar sein muss. Nur jedes zweite vom Gesetz vermutlich betroffene Unternehmen verfügt bereits hierüber (53 %).

Die Ergebnisse unserer Studie zur Verbreitung von E-Crime zeigen, dass grundsätzlich alle Unternehmen erheblichen IT-Sicherheitsrisiken ausgesetzt sind. Unter Einbeziehung der Verdachtsfälle war fast jedes zweite Unternehmen (47 %) von E-Crime (vermutlich) betroffen. Auch müssen wir von wachsenden E-Crime-Risiken ausgehen, sodass das IT-Risk-Management vieler Unternehmen angesichts dieser Risikolage noch unzureichend ist. Es ist zu hoffen, dass vom IT-Sicherheitsgesetz zusätzliche Impulse zur Erhöhung der IT-Sicherheitsstandards ausgehen, die auch auf Unternehmen ausstrahlen, die nicht zur KRITIS zählen.