Um eins vorweg zu nehmen: Das am 25. Juli 2015 in Kraft getretene IT-Sicherheitsgesetz erfüllt seinen Zweck. Selbst wenn auf die Wirtschaft (Mehr-)Kosten in Milliardenhöhe zukommen sollten, wie Kritiker aus der Wirtschaft wie zum Beispiel der Bundesverband der Deutschen Industrie (BDI) behaupten: Diese Mehrkosten sind absolut gerechtfertigt. Mehr noch: Sie sind eine sinnvolle Investition.
Die drohenden Schäden stehen jedenfalls in keinem Verhältnis zu den tatsächlichen Folgen und Kosten eines Cyberangriffs. Denn mit der fortschreitenden Technisierung wächst auch überdurchschnittlich das Gefahrenpotential für die Funktionsfähigkeit der Unternehmen.
Zur Person
Dirk Petri ist Fachanwalt für Straf- und Steuerrecht im Strafverteidigerbüro in Köln.
Sinn und Zweck des Gesetzes soll die signifikante Verbesserung der Sicherheit informationstechnischer Systeme (IT-Sicherheit) und der Schutz kritischer Infrastrukturen in Deutschland sein. Es regelt unter anderem, dass Betreiber sogenannter „kritischer Infrastrukturen“ ein Mindestniveau an IT-Sicherheit einhalten und dem Bundesamt für Sicherheit in der Informationstechnik (BSI) IT-Sicherheitsvorfälle melden müssen.
Dazu gehören für das Funktionieren des Gemeinwesens so wichtige Branchen wie Energie, Informationstechnik und Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung sowie das Finanz- und Versicherungswesen. Die betroffenen Unternehmen müssen künftig Hackerangriffe melden und sind verpflichtet, ihre Netzwerke nach Mindeststandards auszurüsten.
Forum IT-Sicherheit
Der Hackerangriff auf den Deutschen Bundestag hat auch dem letzten Vorstand die Augen geöffnet. Kein Unternehmen ist gefeit vor Cyberangriffen. Jede noch so kleine Sicherheitslücke in den IT-Systemen kann zum Einfallstor für Spionage- oder Sabotageattacken werden und Schäden in Millionenhöhe verursachen. Die Verunsicherung in den Unternehmen ist jedenfalls groß. Sind die Sicherheitsvorkehrungen wirklich auf dem allerneusten Stand, um die Kronjuwelen des Unternehmens zu schützen? Kennen die Mitarbeiter alle Indizien, die auf einen Angriff hindeuten? Wie lange brauchen die Alarmsysteme, um einen Angriff zu erkennen? Es gibt viele Fragen, aber nur wenige Experten, die fundierte Antworten liefern können. Zusammen mit Bernd-Oliver Bühler, geschäftsführender Gesellschafter der Janus Consulting und Spezialist für IT-Sicherheit, hat die WirtschaftsWoche die Sicherheitsverantwortlichen in deutschen Unternehmen gebeten, aus ihrer Sicht die größten Probleme und mögliche Lösungen vorzustellen.
Alle Beiträge finden Sie auf www.wiwo.de/it-forum
Wer ist Adressat des Gesetzes
Faktisch fallen darunter sämtliche Unternehmen aus den sieben Branchen. Das Bundesinnenministerium geht in seiner Gesetzesbegründung allerdings davon aus, dass nicht mehr als 2000 Betreiber kritischer Infrastrukturen vom Gesetz betroffen sind. Näheres soll in einer Verordnung stehen, die der Bundesinnenminister wahrscheinlich noch in diesem Jahr veröffentlicht. Insbesondere für Kleinstunternehmen soll es Ausnahmeregeln geben.
Diese Branchen sind am häufigsten von Computerkriminalität betroffen
Der Branchenverband Bitkom hat Anfang 2015 in 1074 Unternehmen ab 10 Mitarbeitern danach gefragt, ob das jeweilige Unternehmen innerhalb der letzten zwei Jahre von Datendiebstahl, Wirtschaftsspionage oder Sabotage betroffen war. Gut die Hälfte der befragten Unternehmen gaben an, tatsächlich Opfer von IT-gestützter Wirtschaftskriminalität geworden zu sein.
Quelle: Bitkom/Statista
Stand: 2015
Im Handel wurden 52 Prozent der befragten Unternehmen in den vergangenen zwei Jahren Opfer von Cyber-Kriminalität.
58 Prozent der befragten Unternehmen in der Medien- und Kulturbranche gaben an, in den letzten zwei Jahren Computerkriminalität erlebt zu haben. Ebenso viele Unternehmen aus der Gesundheitsbranche klagten über IT-Kriminalität.
Das Finanz- und Versicherungswesen ist ein lohnendes Ziel für Hacker, Wirtschaftsspione und Datendiebe: 60 Prozent der befragten Unternehmen konnten von Datendiebstahl oder ähnlichem während der vergangenen zwei Jahre berichten.
Fast zwei Drittel der Unternehmen der Chemie- und Pharmabranche hatten in den vergangenen zwei Jahren mit Datendiebstahl, Wirtschaftsspionage oder Sabotage zu kämpfen.
Auf Platz 1: Der Automobilbau. 68 Prozent der Autobauer klagten über Wirtschaftskriminalität in Form von Datendiebstahl, Wirtschaftsspionage oder Sabotage.
Welche Pflichten bestehen
Das IT-Sicherheitsgesetz begründet diverse Pflichten. Die Pflichten im Einzelnen sind abhängig davon, welcher konkreten Betroffenengruppe ein Unternehmen zuzurechnen ist. So sind Betreiber von Webangeboten verpflichtet, ausreichende, dem jeweiligen aktuellen Stand der Technik, alle technischen und organisatorischen Maßnahmen zum Schutz aller Kundendaten und der durch die Kunden genutzten IT-Systeme zu ergreifen.
Telekommunikationsunternehmen haben darüber hinaus die Pflicht, ihre Kunden über mögliche Missbräuche ihrer Anschlüsse zu informieren. Die Betreiber haben dem BSI spätestens alle zwei Jahre eine Aufstellung der durchgeführten Audits, Prüfungen oder Zertifizierungen einschließlich der dabei aufgedeckten Sicherheitsmängel zu übermitteln.
