Innenminister de Maizière erklärt IT-Sicherheit zum Schwerpunkt der Digitalen Agenda. Meldepflicht für elektronische Angriffe

Berlin. Zuerst fällt der Strom aus. Es dauert nicht lange, dann kommt auch aus dem Wasserhahn kein Tropfen mehr. Der Verkehr in den Innenstädten versinkt bereits im Chaos. Das moderne Leben steht still. Die Szenarien eines solchen Blackouts gehören bislang meist in den Bereich der Fiktion. Doch die Gefahren sind real: Die Pfeiler der heutigen Infrastruktur sind vernetzt. Wird einer angegriffen, kann es für alle anderen brenzlig werden. Hier will die Bundesregierung nun eingreifen.

Angriffe auf kritische Infrastrukturen, „die von hoher Bedeutung für das Funktionieren des Gemeinwesens sind“, könnten bei „Ausfall oder Beeinträchtigung“ zu „nachhaltig wirkenden Versorgungsengpässen oder erheblichen Störungen der öffentlichen Sicherheit“ führen, heißt es in einem Gesetzesentwurf, der in dieser Woche in die Ressortabstimmung gehen soll.

Die Zeit drängt. Erst im Februar wurde im Rahmen eines Projekt des Deutschen Forschungsnetzwerks dokumentiert, dass zahlreiche deutsche Industrieanlagen unzureichend geschützt und über das Internet angreifbar sind. Dass Hunderte von deutschen Fabrikationsanlagen, wichtige Rechenzentren und sogar eine Justizvollzugsanstalt kaum vor Hackerangriffen geschützt sind, hatte auch das IT-Internetportal „heise.de“ herausgefunden. Deutschlands Volkswirtschaft führt weltweit die Statistik mit den höchsten Schäden durch Cyberverbrechen an. Mit einem Schadensumfang von 1,6 Prozent des Bruttoinlandprodukts liegt die Bundesrepublik damit vor den Niederlanden (1,5 Prozent), den USA und Norwegen (je 0,64 Prozent) sowie China (0,63 Prozent). Allein 2013 wurden durch Computerverbrechen persönliche Daten von 16 Millionen Deutschen gestohlen.

Nun sollen Unternehmen aus dem Bereich Energie, Informationstechnik und Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung sowie aus dem Finanz- und Versicherungswesen dazu verpflichtet werden, Mindeststandards zum Schutz einzuhalten. Für elektronische Angriffe ist zudem eine Meldepflicht geplant. Noch in diesem Jahr soll das entsprechende Gesetz verabschiedet werden. Gegen die Meldepflicht läuft die Wirtschaft bislang Sturm. Die Unternehmen fürchten den bürokratischen Aufwand. Und sie wollen sich nur ungern in die Karten schauen lassen. Ariane Kiesow, Expertin für Telekommunikation beim Centrum für Europäische Politik: „Die im Entwurf für ein deutsches IT-Sicherheitsgesetz vorgesehene Meldepflicht für Sicherheitsvorfälle in Wirtschaftsunternehmen halte ich für sehr sachdienlich.“ Die Gefährdungslage in dem Bereich könne nur dann angemessen abgebildet werden, wenn die notwendigen Daten dafür vorhanden seien. „Auf Selbstregulierung der Wirtschaft in diesem Bereich zu hoffen, führt nicht weiter, da die Firmen zur Geheimhaltung neigen, um Reputationsschäden zu vermeiden“, sagt Kiesow. Unbedingt verbunden werden solle eine solche Meldepflicht mit einer Dokumentation der entsprechenden Sicherheitslücken in den IT-Systemen.

Das IT-Sicherheitsgesetz gilt als wesentlicher Bestandteil der Digitalen Agenda der Bundesregierung, die am Mittwoch vorgestellt werden soll. In einer Welt, in der die digitale Technik das gesellschaftliche Zusammenleben in nur wenigen Jahrzehnten durcheinandergewirbelt hat, ist dies ein Versuch, das Leben im Netz zu vermessen und durch Politik in geordnete Bahnen zu lenken. In der Regierung sind dafür vor allem die drei Minister Alexander Dobrindt (Verkehr, CSU), Sigmar Gabriel (Wirtschaft, SPD) und Thomas de Maizière (Innen, CDU) zuständig. Dobrindt soll sich vor allem darum kümmern, dass Deutschland beim schnellen Internet nicht abgehängt wird. Gabriel hat den Auftrag, die digitale Wirtschaft hierzulande zu fördern. Und dann gibt es noch den großen Bereich der inneren Sicherheit und des Datenschutzes.

Es soll ein nationaler Kraftakt werden. „Die IT-Systeme und digitalen Infrastrukturen Deutschlands sollen die sichersten weltweit werden“, verkündet de Maizière seit seinem Amtsantritt 2013. Dazu soll das IT-Sicherheitsgesetz beitragen. Es ist eines der wenigen konkreten Punkte, die die Regierung im Rahmen der Digitalen Agenda bislang vorweisen kann. Die Entwürfe der Digitalstrategie bleiben in fast allen Bereichen – auch beim Breitbandausbau – aber noch im Ungefähren. Der Innenminister kann somit einen Erfolg verbuchen. In enger Abstimmung mit dem Wirtschaftsministerium hat es sein Haus geschafft, einen Referentenentwurf auszuarbeiten, der nun wohl kaum zwischen den beiden Ressorts zerrieben werden wird. Aus der Wirtschaft kommen versöhnliche Töne: „Der neue Referentenentwurf für das IT-Sicherheitsgesetz ist eine deutliche Verbesserung zum alten Entwurf aus dem Jahr 2013“, sagt Matthias Wachter, Abteilungsleiter Sicherheit und Rohstoffe beim Bundesverband der Deutschen Industrie. „Dies trifft insbesondere auf die vorgesehene Anonymisierung von einem Großteil der geforderten Meldungen zu.“ Effizienter wäre aus Sicht des BDI ein Treuhändermodell mit der generellen Möglichkeit einer Pseudonymisierung von Meldungen. „Damit könnte die Rechtssicherheit für die Unternehmen weiter erhöht und der Meldeprozess zwischen Wirtschaft und Amtsseite beschleunigt werden.“

Das Bundeskriminalamt schätzt, dass jeden Tag rund 30.000 Cyberattacken auf Unternehmen in Deutschland stattfinden. Bereits seit ein paar Jahren nehmen Vertreter aus der Bundesrepublik am internationalen Abwehrmanöver „Cyber Storm“ teil. Dabei geht es auch um die Sicherung von kritischen Infrastrukturen. Die Wirtschaft hat bereits aufgerüstet – aus eigenem Interesse. Aber noch gibt es viele Schwachpunkte. Hunderte Industrieanlagen in Deutschland sind kaum vor Hackerangriffen geschützt. Das Portal „heise Security“ entdeckte Fernwärmekraftwerke, Rechenzentren, eine JVA und ein Stadion, dessen Industriesteuerungen sorglos mit dem Internet verbunden waren. Auch was deutsche Behördennetze angeht, reden Experten von „vernetzter Unsicherheit“. Behördliche Prüfstandards in Deutschland gelten als überholt – wenn sie überhaupt angewandt werden. So hat das für Behördensicherheit zuständige Bundesamt für Sicherheit in der Informationstechnik des Innenministeriums ausgerechnet für die Abgeordneten des Bundestages und seine Verwaltung keine maßgebliche Zuständigkeit. Jeder kocht also sein eigenes Süppchen. Auch hier steht eine grundsätzliche Neuordnung an.