T. de Maizière: Ein brüllender Löwe wird zum Papiertiger Was bringt das IT-Sicherheitsgesetz?

Autor / Redakteur: Joachim Jakobs / Stephan Augsten

Die Bundesregierung will die Bürger durch ein neues IT-Sicherheitsgesetz schützen. Insbesondere richtet sich dies an Betreiber kritischer Infrastrukturen. Wichtige Fragen, beispielsweise welche Unternehmen gemeint sind und warum das Gesetz nicht für Behörden gilt, bleiben allerdings offen.

Firmen zum Thema

Wohin geht es mit dem IT-Sicherheitsgesetz?
Wohin geht es mit dem IT-Sicherheitsgesetz?
(Bild: Archiv)

Innenminister Thomas de Maiziere beschreibt die Idee des IT-Sicherheitsgesetzes folgendermaßen: „Wer durch den Einsatz von IT Risiken für andere schafft, hat auch die Verantwortung für den Schutz vor diesen Risiken.“ Des Ministers Ziel: „Die IT-Systeme und digitalen Infrastrukturen Deutschlands sollen die sichersten weltweit werden“.

Welche Unternehmen jedoch genau zu diesen kritischen Infrastrukturen zu zählen sind, ist unklar – und soll erst noch per Verordnung bestimmt werden. Laut dem Gesetzesentwurf müssen Unternehmen der folgenden Branchen damit rechnen, zu den Verpflichteten zu gehören: Energie, Informationstechnik und Telekommunikation, Transport und Verkehr, Gesundheit, Wasser, Ernährung sowie Finanz- und Versicherungswesen.

Die Öffentliche Verwaltung allerdings darf im weltweiten Vergleich zweitklassig bleiben – zu den „Begriffsbestimmungen“ heißt es im Entwurf: „Die Kommunikationstechnik von Regierung, Parlament und öffentlicher Bundesverwaltung ist [...] von den kritischen Infrastrukturen [...] ausgenommen […] Die Verwaltungen der Länder und Kommunen sowie der Sektor Kultur und Medien sind ebenfalls ausgenommen, da der Bund für sie keine Gesetzgebungskompetenz besitzt.“

Daran übt Stefan Mair, Mitglied der BDI-Hauptgeschäftsführung, harsche Kritik: „Der Staat ist der größte Betreiber kritischer Infrastrukturen. Die entsprechenden Meldepflichten und Sicherheitsstandards sollten deshalb auch für staatliche Stellen gelten“. Auch der Auswahl der Wirtschaftsbereiche, die unter das Gesetz fallen sollen, scheint es an einer durchgängigen Systematik zu mangeln.

Verpflichtet werden sollen beispielsweise im Sektor Finanz- und Versicherungswesen der „Wertpapier- und Derivatshandel (Branche: Börsen)“. Um die Wertpapiere scheint sich der Sozialwissenschaftler Klaus-Peter Saalbach von der Universität Oldenburg weniger den Kopf zu zerbrechen – stattdessen nennt er in einer Untersuchung über „Cyberwar Grundlagen-Methoden-Beispiele“ „Technologien, die die Angriffsfläche für Angriffe erheblich vergrößern“:

  • „Das Next oder New Generation Network NGN, bei dem Fernsehen, Internet und Telefon über das Internetprotokoll (Triple-Play) mit paketweiser Verschickung von Daten arbeiten
  • Das Internet of Things IoT, bei dem Gegenstände Internetadressen erhalten, was in Zukunft ihrer Nachverfolgung, Lokalisation und der Übermittlung von Zustandsmeldungen dienen kann bzw. soll. Im IoT kommunizieren Maschinen und mit Radiofrequency Identification Chips (RFID) versehene Gegenstände mit Computern und auch miteinander. Eine erhebliche geplante Erweiterung ist auch die Vernetzung von Kraftfahrzeugen zur Car-to-Car-communication.
  • Die Fernwartung und –steuerung von Industriemaschinen über speicherprogrammierbare Steuerungen, auch als Industrial Control Systems ICS bzw. Supervisory Control and Data Acquisition SCADA bezeichnet. SCADA-Systeme ermöglichen die Kommunikation mit Maschinen über das Internet.
  • Die Vernetzung von Waffen und Geräten in der vernetzten Kriegführung schafft bis dahin unbekannte Probleme, etwa die Absicherung und Stabilisierung fliegender Computernetzwerke in der Luftwaffe
  • Weitere geplante Erweiterungen des Netzes sind intelligente Haushaltsgeräte und Stromzähler (Smart Grid) und die Nutzung externer Rechenzentren über das Internet anstelle der Vorhaltung eigener Kapazitäten (Cloud Computing)
  • Die Einführung internetfähiger Mobiltelefone (Smartphones), die nun auch die Funktionen von Navigationsgeräten (GPS-Standortangaben, Global Positioning System) integrieren.“

Die Schlussfolgerung des Professors: „Die Kombination aus machine-to-machine communication, Internet of Things und SCADA-Systemen ist ein zentrales Element cyber-physischer Systeme CPS, in denen Produktionsprozesse zunehmend durch Netzwerke von Maschinen, Produkten und Materialien gemanagt und ggf. auch modifiziert werden.“

IT gefährdet die Gesundheit

Aus all dem resultiere eine deutlich gestiegene Verwundbarkeit und informationstechnische Abhängigkeit kritischer Infrastrukturen. Auf der anderen Seite werde „die Durchführung eines Angriffs erheblich vereinfacht“. Auch in sich kann die Auswahl der Bereiche nicht überzeugen, die künftig besonderen Sicherheitsansprüchen genügen sollen.

So werden im „Sektor Gesundheit“ die

  • „Medizinische Versorgung (Branchen: Medizinische Versorgung, Labore)“ und die
  • Versorgung mit Arzneimitteln und Medizinprodukten (Branchen: Medizinische Versorgung, Labore, Arzneimittel und Impfstoffe)“

hervorgehoben. Kein Wort verliert de Maizière hingegen über Vokabeln wie „elektronische Gesundheitskarte“, „intelligente Implantate“, „Telemedizin“ oder „Teletherapie“.

Gesundheitsminister Herrmann Gröhe strickt derzeit aber an einem eHealth-Gesetz, dessen Entwurf er noch in diesem Jahr vorlegen will. Die Bandbreite möglicher Anwendungen in der Medizin ist groß. Klaus Peter Saalbach erläutert die Risiken am Beispiel computerunterstützter Prothesen: „Es gibt eine wachsende Zahl intelligenter Implantate [...] mit kabellosen Verbindungen wie Herzschrittmacher, implantierbare Defibrillatoren, Neurostimulatoren ('Hirnschrittmacher'), Implantate für besseres Hören und Sehen.“

Saalbach warnt: „Da die Ärzte gerade in Notfällen einen einfachen und ungehinderten Zugang benötigen, ist der Schutz kompliziert, sodass die kabellose Kommunikation anfällig für Angriffe ist. Es wurde unter anderem nachgewiesen, dass Insulinpumpen gehackt und dann ferngesteuert werden konnten“.

Sicherheitsexperten befürchten einen „Massenmord“, falls Schadsoftware beispielsweise in Herzschrittmacher eindringen sollten.

Über die Möglichkeit derartiger elektronischer Anschläge debattierten offenbar die Teilnehmer des Interpol-Europol Cybercrime Summit zu Monatsbeginn. Bereits im kommenden Jahr könnten die erste Opfer von Cyber-Morden durch infizierte Herzschrittmacher oder Autos zu beklagen sein. Die Experten rechnen außerdem mit einer weiter florierenden Cyberkriminalität: Es müsse künftig auch mit Auftragskillern aus dem „Darknet“ gerechnet werden, wie die Online-Zeitung TheRegister berichtet.

Umso notwendiger wird das IT-Sicherheitsgesetz: Es ist nicht nur umstritten, wer durch das Gesetz verpflichtet werden soll – auch die Frage, was die Verpflichteten zu tun und zu lassen haben, enthält Sprengstoff: Die Betreiber kritischer Infrastrukturen sollen zwei Jahre nach Inkrafttreten des Gesetzes „angemessene organisatorische und technische Vorkehrungen und sonstige Maßnahmen zum Schutz derjenigen informationstechnischen Systeme, Komponenten oder Prozesse“ treffen, „die für die Funktionsfähigkeit der von ihnen betriebenen kritischen Infrastrukturen maßgeblich sind.“ Dabei sei der „Stand der Technik“ zu berücksichtigen.

Wenn die Technik nur bedingt schützt

Was aber ist nun angemessen oder Stand der Technik? Sandro Gaycken, Wissenschaftler der Freien Universität Berlin, meint: „Ein 50 Euro Virenscanner ist genauso Stand der Technik wie das milliardenteure Hochsicherheitsprogramm ‚CRASH‘ der Darpa (Behörde des US-Verteidigungsministeriums, Anm. d. Autors).“

Mit der Wendung „Stand der Technik“ hadert auch Henning Kahlert, Fachanwalt für Bank- und Kapitalmarktrecht und einer Promotion zur Datensicherheit bei der elektronischen Auftragsvergabe – er sagt mit Blick auf die Sicherheit der Kreditwirtschaft: „Ob damit ein Schutz gegen Angriffe vermieden werden kann, die dem ‚Stand der Technik‘ einen Schritt voraus sind, ist zu bezweifeln.“

Damit spielt Kahlert auf Lücken an, die zum gleichen Zeitpunkt oder eher ausgenutzt werden, bevor der Entwickler selbst sie bemerkt (s. Kasten). Am 27. August 2014 meldete die Nachrichtenagentur Bloomberg einen Angriff auf JPMorgan Chase & Co. Dabei sollen Gigabyte sensibler Daten von Mitarbeitern, Entscheidern sowie Kunden abgeflossen sein. Die US-Bundespolizei FBI glaubte, dass es sich um eine Vergeltungsmaßnahme wegen der US-Sanktionen gegen Moskau handelte.

Bei dem Angriff soll eine bislang unbekannte Lücke ausgenutzt worden sein. Der Börsenkurs der Bank soll anschließend um 15 US-Cent auf 59,59 US-Dollar zurückgegangen sein. Einen Trost hat Henning Kahlert wenigstens: „Das Ausnutzen bereits bekannter Sicherheitslücken muss durch diese Maßnahmen aber verhindert werden können.“

Dokumentations- und Meldepflichten

Was angemessen ist, scheint auch im Innenministerium selbst unklar zu sein – die Autoren des Gesetzentwurfs schreiben: „Betreiber kritischer Infrastrukturen und ihre Branchenverbände können branchenspezifische Sicherheitsstandards vorschlagen“. Das Bundesamt für die Sicherheit in der Informationstechnik (BSI) werde diese Sicherheitsstandards „im Benehmen mit den zuständigen Aufsichtsbehörden und dem Bundesamt für Bevölkerungsschutz und Katastrophenhilfe auf Antrag“ anerkennen.

Zur Überprüfung der Vorgaben sollen die Betreiber alle zwei Jahre ihre organisatorischen und technischen Vorkehrungen dokumentieren und dem BSI „eine Aufstellung der zu diesem Zweck durchgeführten Sicherheitsaudits, Prüfungen oder Zertifizierungen einschließlich der dabei aufgedeckten Sicherheitsmängel“ übermitteln.

Dem BSI sollen außerdem „Warn- und Alarmierungskontakte“ benannt werden: „Der Betreiber hat sicherzustellen, dass er hierüber jederzeit erreichbar ist.“ Diese Kontakte sollen dann „Beeinträchtigungen ihrer informationstechnischen Systeme, Komponenten oder Prozesse, die zu einem Ausfall oder einer Beeinträchtigung der von ihnen betriebenen Kritischen Infrastruktur führen können, unverzüglich an das Bundesamt zu melden.“

Kritiker wenden ein, dass jede Phishing-Mail das betreffende informationstechnische System beeinträchtigen „kann“ – was tausende Meldungen bedeuten würde – pro Unternehmen und Tag. Immerhin: „Die Nennung des Betreibers ist für solche Meldefälle nicht erforderlich, sondern kann auch pseudonymisiert erfolgen.“ Da klatscht der Branchenverband Bitkom Beifall: „Damit werden Reputationsverluste für die Unternehmen vermieden, indem Vorfälle an die Öffentlichkeit gelangen.“

Immer intelligentere Systeme und Netze

Ins gleiche Horn stößt das Information Security Forum (ISF), eine – nach eigenen Angaben – „weltweit tätige Non-Profit-Organisation für Informationssicherheit, Cybersicherheit und Risikomanagement“: „Bei der genauen Ausgestaltung – insbesondere was die geplante Meldepflicht für Cyberattacken angeht – muss außerdem sichergestellt sein, dass attackierte Unternehmen durch die Meldung nicht noch weiteren Schaden erleiden.“

Gerald Spiegel, IT-Sicherheitsexperte von Steria Mummert Consulting, fürchtet dann allerdings um die Motivation der Betreiber, präventiv in die Sicherheit ihrer Systeme zu investieren. Nur bei Beeinträchtigung kritischer Infrastrukturen will der Innenminister die Namen der Unternehmen gemeldet haben.

Hinzu kommt der Nutzer mit seinen Endgeräten: Am 23. Juli 2014 berichtete das Beratungsunternehmen KuppingerCole, dass Kunden von 34 Europäischen Banken – „angeblich um Millionen“ – erleichtert wurden, während sie ihre Bankgeschäfte per Google Android Handy abwickelten.

Sebastian Kraska, Gründer des Instituts für IT-Recht erläutert: „Soweit die Endgeräte der Bankkunden das Problem bilden, bin ich im Zweifel, ob das Sicherheitsgesetz hieran etwas geändert hätte. Der Gesetzesentwurf hat eher die Gestaltung der IT-Systeme bei den Unternehmen selbst im Blick.“

Sicherheit zahlt sich aus

Die Sicherheit der Endgeräte könnte aber im „Internet der Dinge“ von entscheidender Bedeutung sein – schließlich sollen künftig Gebäude, Fahrzeuge und sonstige Dinge „intelligent“ werden. Und die Kosten? Eine Studie von KPMG stellt der Deutschen Wirtschaft wegen der vorgesehenen Meldepflichten einen zusätzlichen Aufwand von einer Milliarde Euro jährlich durch das Sicherheitsgesetz in Aussicht.

Sandro Gaycken von der Freien Universität hält diese Kosten allerdings für gering im Verhältnis zu dem, was man investieren müsste, um an das Grundproblem beim Thema IT-Sicherheit heranzugehen. Er sagt, „viele kritische Systeme laufen unter Windows und haben zigtausende Schwachstellen. Die müsste man also ersetzen durch hochsichere Systeme, die man erstmal entwickeln und herstellen muss. Und das kostet mit der ganzen Industrie, die man dafür braucht vier, fünf, sechs Milliarden Euro“.

Hinzu kommt: Die Unternehmen kaufen Hard- und Software ein, ohne in jedem Fall Zugriff auf das Design von Chips und Quellcode zu erhalten. Was bedeutet die Sicherheit des eingesetzten Systems in einem Unternehmen für die Haftung? Sebastian Kraska erläutert: „Unternehmen sind selbst verantwortlich, datenschutzkonforme und sichere Software und Hardware einzusetzen. An der bisherigen gesetzlichen Ausgangslage, dass Hersteller von Software und Hardware nur eingeschränkt beziehungsweise im vertraglich vereinbarten Umfang haften, ändert der neue Gesetzesentwurf nichts.“

Gaycken glaubt nicht daran, dass der Innenminister sein Ziel erreichen wird: „Tatsächlich hat der Minister ja vollmundig die Kehrtwende zum sichersten IT-Land der Welt angekündigt. Aber: Pustekuchen! Was angekündigt wurde, wird allenfalls die Schutzwirkung einer Sandburg entfalten. Das neue IT-Sicherheitsgesetz ist ängstlich, lasch und geizig.“

(ID:43037758)