Bessere IT-Sicherheit – das fordern Experten und Opposition

Gepostet am 30.11.2016 um 15:53 Uhr

Der Angriff auf die Router der Telekom hat auch die gesetzlichen Regeln zur IT-Sicherheit wieder in den Fokus gerückt. Bundesminister de Maizière sieht die Regierung mit dem IT-Sicherheitsgesetz auf gutem Weg – Experten und Opposition haben Zweifel.

Der Telekom-Angriff ist keine Überraschung, zumindest hat es ähnliche Angriffe bereits zuvor gegeben:

„Mit dieser Methode wurden Anfang 2015 auch die Webseite der Kanzlerin und des Bundestags lahmgelegt“, sagt Hendrik Schmidt, der seit Jahren Sicherheitsberater vor allem im Bereich Telekommunikation ist:

„Diese Angriffe haben eine neue Dimension bekommen, es gibt viel mehr Kleingeräte, die für solche Angriffe missbraucht werden können.“

Das mögliche Ziel hinter dem Telekom-Angriff: Unternehmen oder auch Regierungsinstitutionen.

Um genau so etwas zu vermeiden, hat die Bundesregierung ein IT-Sicherheitsgesetz auf den Weg gebracht. Bundesinnenminister de Maizière lobte es gestern:

„Wir haben das IT-Sicherheitsgesetz auf den Weg gebracht, um damit kritische Infrastruktur selbst zu schützen und schützen zu lassen“.

Das Ziel des Gesetzes, das seit Sommer in Kraft ist, ist, die sogenannten kritischen Infrastrukturen in Zeiten der zunehmend auch politisch motivierten Cyberangriffe, etwa durch Russland, besser zu schützen. Darunter sind: Telekommunikation, Energie, Wasserversorgung, Nahrungsmittelindustrie. Ein wichtiges Element des Gesetzes ist eine Verordnung, mit deren Hilfe sich der Bund überhaupt erst mal einen Überblick verschaffen will, welche Unternehmen in Deutschland zur „kritischen Infrastruktur“ zählen. Genau diese Unternehmen hatten bis zum 3. November Zeit, sich beim Bundesamt für Sicherheit in der Informationstechnologie zu melden.

Zum Beispiel, um der Behörde für den Fall eines Cyber-Angriffs einen Ansprechpartner zu benennen.

„Die Angreifer, die wir sehen, verfügen über leistungsfähige und flexibel einsetzbare Angriffsmittel“, so skizzierte BSI-Präsident Arne Schönbohm gerade erst die Bedrohungslage, auch für Betreiber kritischer Infrastrukturen.

Seine Behörde rechnet damit, dass es zunächst um 450 besonders sensible Anlagen geht, die sich registrieren müssen.

Nach Informationen von BR-Recherche und des ARD-Hauptstadtstudios sind bisher aber nicht alle Anlagenbetreiber dieser gesetzlich festgeschriebenen Regelung nachgekommen. Aktuell liegen die Daten von 310 Anlagen vor. Ein Rücklauf, den das Bundesamt für „positiv“ hält. Allerdings antwortet das BSI auf die Frage, ob es auf Basis der vorliegenden Daten einen guten Überblick über die kritische Infrastruktur der ersten vier erfassten Sektoren hat:

„Da die Auswertung der Anträge noch läuft, ist hierzu noch keine abschließende Bewertung möglich.“

Grünen-Fraktionsvize Konstantin von Notz drückt sich drastischer aus. Im Bereich der IT-Sicherheit brenne die Hütte schon jetzt lichterloh:

„Es ist jetzt wieder Zeit verstrichen, seitdem das IT-Sicherheitsgesetz in Kraft ist. Und man stellt fest, uns fehlt immer noch der richtige Überblick. Und deswegen ist es so misslich, dass man eben dieses unzureichende Gesetz auf den Weg gebracht hat.“

In einer parlamentarischen Anfrage hat die Bundesregierung von Notz zudem mitgeteilt, dass mehrere Betreiber kritischer Infrastrukturen dem BSI inzwischen 14 Cyber-Angriffe gemeldet haben. Diese betrafen unter anderem die Sektoren Energie, Wasser und Informations-/Telekommunikationsindustrie. Einzelheiten dazu wollte sie nicht mitteilen – aus Sicherheitsgründen.

Hendrik Schmidt sieht eine ganz andere Problematik im IT-Sicherheitsgesetz, das auch Mindeststandards vorschreibt. In solchen Fällen wie dem des Angriffs auf das Telekom-Netz, so Schmidt, hilft es vermutlich auch nicht weiter:

„Die Router, die bei den Endkunden stehen, fallen womöglich gar nicht unter das Gesetz.“

Das IT-Sicherheitsgesetz ist offenbar noch verbesserungswürdig, damit es so, wie de Maizière jetzt sagt, kritische Infrastrukturen schützt.

Zuletzt aktualisiert: 17.09.2019, 12:29:55