taz.de -- Pläne für mehr IT-Sicherheit: Angriffsschutz mit Schwachstellen

Ein neues Gesetz soll für mehr IT-Sicherheit sorgen. Expert:innen kritisieren bei einer Anhörung Lücken – darunter eine zentrale.

Bild: Cyberangriffe sind für Unternehmen und Verwaltung eine ständig wachsende Bedrohung

Berlin taz | Die Bundesregierung muss auf eine EU-Richtlinie hin dafür sorgen, dass Unternehmen mehr für ihre IT-Sicherheit tun. Doch Expert:innen haben bei einer Anhörung im Innenausschuss das geplante Gesetz zur Umsetzung der EU-Regeln scharf kritisiert. „Der Entwurf enthält zu viele Schwächen und Unklarheiten, die der Erhöhung des Cybersicherheitsniveaus leider nicht förderlich sind“, sagte der Sachverständige Dennis-Kenji Kipker, Professor für IT-Sicherheitsrecht an der Universität Bremen.

Cyberangriffe sind für Unternehmen und Verwaltung ein finanzielles und ein Sicherheitsrisiko. [1][Laut dem IT-Verband Bitkom] waren, Stand August, in den davorliegenden zwölf Monaten 81 Prozent aller Unternehmen von Angriffen auf die IT-Infrastruktur betroffen. Der entstandene Schaden sei von 205,9 Milliarden Euro im Vorjahreszeitraum auf 266,6 Milliarden Euro gestiegen.

Die EU will dieses Problem unter anderem mit der Netz- und Informationssysteme-Richtlinie (NIS2) angehen. Verabschiedet wurde das Regelwerk vor zwei Jahren und eigentlich hätte Deutschland es bis Oktober in nationales Recht umsetzen müssen. In Deutschland müssen bislang vor allem Unternehmen der sogenannten [2][Kritischen Infrastruktur], zum Beispiel Wasser- und Energieversorger, definierte Regeln in Sachen IT-Sicherheit einhalten.

Mit der Umsetzung der Richtlinie, [3][so die Einschätzung des Bundesamtes für Sicherheit in der Informationstechnik (BSI)], sei mit einer „erheblichen Zunahme der Zahl von Unternehmen und Einrichtungen, die künftig Registrierungs-, Nachweis- und Meldepflichten gegenüber dem BSI zu erfüllen haben“, zu rechnen. Schätzungen gehen von rund 30.000 betroffenen Unternehmen aus.

Unternehmen ja, Behörden nein?

Zentraler Kritikpunkt in der Anhörung waren die umfassenden Ausnahmen für Behörden und Ministerien. „Wir haben eher ein Cyberschwächungsgesetz“, sagte der Sachverständige Timo Kob von der IT-Beratungsfirma HiSolutions. Man brauche ein einheitliches Sicherheitsniveau, statt Ausnahmen für Ministerien und reduzierte Anforderungen für nachgeordnete Behörden.

Von einer „Glaubwürdigkeitslücke“, sprach Bitkom-Vertreter Felix Kuhlenkamp, wenn einerseits die Anforderungen für Unternehmen hochgeschraubt werden, der Staat sich aber Ausnahmen einräumt.

Die Expert:innen wiesen außerdem darauf hin, dass die Gesetzgebung zu Cybersicherheit in Deutschland insgesamt fragmentiert und uneinheitlich sei. „Das ist weder effektiv, noch effizient, noch im Sinne der Cybersicherheit dieses Landes“, sagte Sven Herpig, IT-Experte vom Thinktank interface.

„Wir brauchen einen ganzheitlichen Ansatz“, forderte IT-Sicherheitsprofessor Kipker. Es gehe nicht nur um Cybersicherheit, sondern um digitale Resilienz – also die Widerstandsfähigkeit von Strukturen und Institutionen, [4][wenn es zu einem Angriff oder einer Störung kommt].

Herpig forderte zudem mehr Aus- und Weiterbildungsmaßnahmen für IT-Sicherheitskräfte. Der Markt sei jetzt schon leergefegt, es brauche Fachkräfte, damit die Unternehmen, die von den neuen Regeln betroffen sein werden, diese auch umsetzen können.

6 Nov 2024

[1] https://www.bitkom.org/Presse/Presseinformation/Wirtschaftsschutz-2024

[2] /Schutz-von-Kritischer-Infrastruktur/!5896907

[3] https://www.bsi.bund.de/DE/Themen/Regulierte-Wirtschaft/NIS-2-regulierte-Unternehmen/nis-2-regulierte-unternehmen_node.html

[4] /Konsequenzen-der-IT-Stoerung/!6022394

AUTOREN

Svenja Bergt

TAGS

Cybersicherheit

IT-Sicherheit

Cyberattacke

Resilienz

GNS

Hacking

Hacking

Kritische Infrastruktur

Netflix

Infrastruktur

Infrastruktur

Schwerpunkt Krieg in der Ukraine

ARTIKEL ZUM THEMA

Angriff auf die taz: Gezielt getroffen

Am Tag der Bundestagswahl legt ein Cyberangriff taz.de lahm. Es ist nicht der erste dieser Art. Warum das kein Zufall ist.

Hackerin über die Branche: „Ich versuche, eine Frau als Vorgesetzte zu haben“

Lilith Wittmann deckt Sicherheitslücken bei Behörden und Firmen auf. Ein Gespräch über Spaß beim Hacken, ihre Motivation und Männer in IT-Berufen.

Sicherheit und Energiewende: Angst vor Windparks mit chinesischer Technik

Kritische Infrastruktur mit chinesischen Anlagen, wie sie in der Nordsee geplant sind, könnte zum Sicherheitsrisiko werden, sagt eine neue Studie.

Netflix-Thrillerserie „Zero Day“: Blackout in Amerika

In der Serie „Zero Day“ legt eine Cyberattacke die USA lahm und bringt die Demokratie ins Wanken – toll inszeniert und hochkarätig besetzt.

Gesetzentwurf für kritische Infrastruktur: Kritis kriegen Schutzpanzer

Das Dachgesetz zum Schutz kritischer Infrastruktur soll der große Wurf werden. Der Entwurf hat jedoch noch Lücken, auch bei der Höhe der Bußgelder.

Von Notz zur kritischen Infrastruktur: „Wir haben ein Sicherheitsproblem“

Konstantin von Notz sorgt sich um die kritische Infrastruktur in Deutschland. Der Grüne fordert massive Investitionen in die Sicherheitsarchitektur.

Sabotage im Krieg: Kritische Infrastruktur gefährdet?

Der russische Invasionskrieg in der Ukraine trifft auch unsere Versorgungswege. Wie angreifbar sie sind? Die wichtigsten Fragen und Antworten.