“Die Informationstechnologie ist in der Wirklichkeit angekommen”

Der “Entwurf eines Gesetzes zur Erhöhung der Sicherheit informationstechnischer Systeme” sieht vor, dass die Betreiber der sogenannten “kritischen Infrastrukturen” eigenverantwortlich einen Mindeststandard an Sicherheit ihrer Informationstechnologie garantieren. Vor kurzem hatten wir auf silicon.de bereits dazu mit Sandro Gaycken, Fellow der Deutschen Gesellschaft für Auswärtige Politik, eine unabhängige Stimme zu dem Thema.

Aus Sicht des Bundesinnenministeriums ist der Fall klar – für Unternehmen in sicherheitsgefährdeten Bereichen müsse diese Anforderung eine Selbstverständlichkeit sein. Allerdings wehren sich vieleVerbände und Unternehmen gegen eine staatliche Kontrolle der Cybersecurity. Hier bezieht Martin Schallbruch, IT-Beauftragter des Bundesministeriums des Innern, Stellung zu unseren Fragen.

silicon.de: Die IT-Branche diskutiert sehr aufgeregt den “Entwurf eines Gesetzes zur Erhöhung der Sicherheit informationstechnischer Systeme”. Wann wird der Gesetzentwurf soweit fertig gestellt sein, dass er im Bundestag eingebracht werden kann? Und welche Ziele verfolgen Sie mit dem Gesetz?

Martin Schallbruch: Wir haben den Entwurf eines IT-Sicherheitsgesetzes vorgelegt und ausdrücklich auch die Verbände um ihre Stellungnahmen gebeten. Diese werten wir zurzeit aus. Die Kritik der Verbände betrifft in erster Linie die Meldepflicht von Cyberattacken – dagegen sind aus unserer Sicht die Mindestanforderungen an die Sicherheit der IT-Systeme von Unternehmen der kritischen Infrastruktur der eigentliche Kern des Gesetzes. Denn Ziel des Gesetzes ist, dass wir ein Mindestsicherheitsniveau für IT-Systeme erreichen wollen. Wir arbeiten daran, dass der Gesetzentwurf in den nächsten Wochen innerhalb der Bundesregierung weiter verfolgt werden kann.

silicon.de: Der Zeitplan sieht aber sicher die Verabschiedung noch in dieser Legislaturperiode vor?

Schallbruch: Das streben wir an…

silicon.de: Die Meldepflicht führt dazu, dass es ein Lagebild geben wird, an Hand des Lagebildes definieren Sie die Mindestanforderungen. Im Umkehrschluss heißt das im Moment gibt es kein Lagebild vom Cyberspace?

Schallbruch: Wir haben derzeit kein Lagebild, das so belastbar wäre, dass wir die Infrastrukturbetreiber gezielt warnen könnten. Wir haben technische Sensoren, die uns beschreiben, welche Angriffe auf der Ebene von Internetservern laufen. Wir arbeiten mit freiwilligen Meldungen von Unternehmen, wir erhalten Informationen von unseren Partnern auf europäischer Ebene. Aber uns fehlt tatsächlich der systematische Überblick über die Angriffe auf kritische Infrastrukturen. Sorgen machen uns dabei vor allem die gezielten Angriffe. Denn Angreifer entwickeln verstärkt spezifische Angriffsarten für bestimmte Branchen oder ausgewählte Unternehmen.

silicon.de: Wenn Sie das Lagebild haben, werden Sie die Mindestanforderungen dementsprechend anheben?

Schallbruch: Zunächst einmal dient das Lagebild dazu, den Unternehmen helfen zu können. Die Anpassung der Mindestanforderungen ist eher ein langfristiges Vorhaben.

Über die Meldepflicht werden wir die technischen Mittel der Angreifer und deren Angriffsformen kennenlernen. Daraus entwickeln wir Anforderungen, die dann in die Kriterien mittel- und langfristig mit einfließen.

silicon.de: Der nächste Schritt für die Unternehmen wäre dann laut Gesetz ein Audit der Sicherheitssysteme. Die Kritiker sagen, dass sich hieraus ein riesiger bürokratischer Aufwand ergäbe. Außerdem argumentieren sie, es gebe bereits IT-Audits, die auf Grund von anderen Richtlinien und Compliance-Vorgaben durchgeführt würden.

Schallbruch: Überall dort, wo bereits IT-Sicherheitskriterien existieren, wollen wir keinen zusätzlichen bürokratischen Aufwand erzeugen. Das sieht der Gesetzentwurf so vor.

Wir sehen aber Branchen, in denen die IT-Sicherheit eben kein Bestandteil eines Regelwerkes ist – und insofern auch kein Bestandteil eines Audits. In einigen Branchen gibt es tatsächlich keinerlei IT-Sicherheitsanforderungen. Und das, obwohl wir von einer kritischen Infrastruktur sprechen, die von Computern gesteuert wird.

Aus diesen Branchen erhalten wir Stellungnahmen, dass die Verantwortlichen gemeinsam mit uns Richtlinien erarbeiten wollen.

silicon.de: Können Sie die negative Kritik verstehen?

Schallbruch: Ich verstehe, dass die Unternehmen keinen zusätzlichen bürokratischen Aufwand haben wollen. Deshalb sagen wir in dem Gesetzentwurf, wir werden zunächst auf das zurückgreifen, was bereits da ist.

silicon.de: Inwieweit sprechen Sie mit CIOs und IT-Direktoren und diskutieren mit deren Verband?

Schallbruch: Normalerweise bitten wir die Branchenverbände um eine Stellungnahme. Aber wir wollten in diesem Fall auch die Sicht und die Expertise der CIOs in das Gesetz einarbeiten. Deshalb haben wir explizit den neu gegründeten Voice-Verband einbezogen, um hier eine querschnittliche Stellungnahme zu bekommen. In dem Verband sind auch CIOs organisiert, die für kritische Infrastrukturen verantwortlich sind. Und es gibt dort einige sehr prominente Vertreter, deren Stellungnahmen uns wichtig sind.

silicon.de: Ein weiterer umstrittener Punkt ist die Definition der Sicherheitsvorfälle. Haben Sie bereits eine Linie für das gefunden, was gemeldet werden muss?

Schallbruch: Wir haben im Gesetzestext ein Kriterium formuliert, das von “schwerwiegenden Vorfällen” spricht. Und davon, dass es Vorfälle sein müssen, die Auswirkungen auf die “Funktionsfähigkeit der Infrastruktur” haben. Es ist klar, dass nicht jeder Vorfall darunter fällt. Wir haben aus den Stellungnahmen der Verbände gelernt, dass wir das noch weiter konkretisieren müssen – und daran arbeiten wir im Moment.

silicon.de: Die IT-Verantwortlichen argumentieren, es gäbe sicher die Möglichkeit, einen Vorfall zu sehen und zu erkennen. Aber dann sei der Faktor “Zeit” wichtig: es dauere eben im schlechten Fall ein paar Tage – oder sogar Wochen – um einen Vorfall zu erkennen, zu analysieren und als meldepflichtig einzustufen. Da sei die im Gesetz geforderte “unverzügliche Meldung” nicht möglich.

Schallbruch: Das kann ich nicht nachvollziehen. Natürlich muss ein Unternehmen analysieren, ob ein Vorfall ein Angriff ist, oder ob es sich vielleicht um eine Fehlfunktion handelt. Aber wenn es ein Angriff ist und wenn relevante Systeme betroffen sind, so dass es zu Ausfällen der Infrastruktur kommen kann, dann ist er unverzüglich zu melden. Nur so können wir andere Unternehmen warnen, die Ziel eines vergleichbaren Angriffs werden könnten. Denken Sie etwa an Cyberangriffe auf Verkehrsleitsysteme. Oder das Szenario, dass Flughäfen nach einem Angriff geschlossen werden müssen. Das sind die Cyberangriffe, über die wir reden.

silicon.de: Eine andere Komplexität ist die Überschneidung der Kompetenzen beim Betrieb der IT-Systeme. Eine Bank, ein Abwasserunternehmen, ein Flughafen kann ja einen großen Teil der IT-Systeme beispielsweise an ein Telekommunikationsunternehmen outsourcen. Wenn dann ein Angriff auf ein solches System stattfindet – welches Unternehmen wäre in diesem Fall meldepflichtig?

Schallbruch: Das ist in dem Gesetzentwurf klar geregelt: Verantwortlich sind die Betreiber der kritischen Infrastrukturen. Das ist der Energieversorger, die Bank, das Krankenhaus und so weiter. Insofern trifft die Meldepflicht nicht diejenigen, die unterstützen. Es trifft diejenigen, die für die Infrastruktur verantwortlich sind.

Eine Ausnahme sind die Telekommunikationsunternehmen – die müssen, sobald sie einen Angriff feststellen, ihre betroffenen Kunden informieren. Die Kunden können dann die notwendigen Schritte einleiten und den Schutz der eigenen Systeme stärken.

silicon.de: Sie formulieren ein Gesetz für Deutschland, allerdings kennen multinationale Unternehmen selber eben keine Grenzen mehr. Rund um die Erde verbinden sie Niederlassungen, Tochterfirmen, Produktionen per Datenleitungen. Wo setzt das Gesetz an?

Schallbruch: Das Gesetz gilt für die Betreiber kritischer Infrastrukturen in Deutschland. Es kann sein, dass ein Unternehmen in einem anderen Land ebenfalls eine kritische Infrastruktur betreibt. Bezüglich dieser dort betriebenen Infrastruktur unterliegt das Unternehmen aber nicht dem deutschen Gesetz.

silicon.de: Häufig stehen die Server, mit denen die Unternehmen die Infrastruktur in Deutschland betreiben, außerhalb von Deutschland – im Falle einer Bank vielleicht in London; bei einem Stromversorger könnte es Schweden sein.

Schallbruch: Wir regeln nicht die Server, wir regeln Unternehmen. Wie gesagt – die Adressaten sind die Betreiberkritischer Infrastrukturen, die diese Server benutzen. Diese müssen die Mindestsicherheitsanforderungen umsetzen. Und das völlig unabhängig davon, wo die Server stehen, die bei dem Betreiber zum Einsatz kommen.

silicon.de: Eine zentrale Aussage in der “Nationalen Strategie zum Schutz Kritischer Infrastrukturen” ist das sogenannte Verletzlichkeitsparadoxon: “In dem Maße, in dem ein Land in seinen Versorgungsleistungen weniger störanfällig ist, wirkt sich jede Störung umso stärker aus.”

Schallbruch: Tatsache ist, dass wir die Robustheit der Infrastrukturen stärken müssen. Gleichzeitig nimmt die Abhängigkeit von den Infrastrukturen immer mehr zu. Das halte ich nicht für ein Paradoxon – es ist die schlichte Notwendigkeit, dass sich die Digitalisierung der Infrastrukturen und die erforderlichen Sicherheitsmaßnahmen im Gleichklang entwickeln. Wenn wir bei den Standardsystemen zurückblicken, haben wir heute ein wesentlich höheres Sicherheitsniveau erreicht. Aber auf der anderen Seite sehen wir auch sehr viel ausgefeiltere Angriffsmethoden und Werkzeuge, woraus sich die Notwendigkeit ergibt, bei dem nächsten Entwicklungsschritt auch die Sicherheitsmaßnahmen weiterzuentwickeln.

silicon.de: Das heißt der Grundgedanke des Gesetzes ist ein Kreislauf – es gibt Meldungen, daraus ergibt sich eine Lageeinschätzung und daraus werden die Mindestanforderungen angepasst, die wiederum in einem Audit geprüft werden.

Schallbruch: So ist das Konzept, ja.

silicon.de: Ist das auch das Ziel des Gesetzes?

Schallbruch: Nein. Unser Ziel ist es, die Verantwortung der Betreiber zu schärfen. Der Betreiber einer Infrastruktur hat ein gewisses Privileg, wenn er auf diesem Feld agieren kann. Und aus diesem Privileg folgt die Verpflichtung, dass die IT-Sicherheit in den Geschäftsprozessen verankert wird. Das ist nichts Neues. Denken Sie daran, wie viele Vorschriften es beispielsweise für den Flugverkehr gibt, die von allen Beteiligten selbstverständlich eingehalten und nachgewiesen werden.

silicon.de: Trotzdem verweisen die Kritiker auf die Kosten. Sie argumentieren Geldverdienen werde nicht mehr so einfach sein wie früher, weil der Staat den Unternehmen über die Schulter schaut.

Schallbruch: Das ist falsch! Wenn Unternehmen ihre Prozesse und Produktionen digitalisieren, steigt ihre Produktivität und Profitabilität immens. Jetzt ziehen wir nach und fordern eine Mindestsicherheit für diese digitalisierten Infrastrukturen. Das liegt auch im eigenen Interesse der betroffenen Unternehmen, da sie über Investitionen in die IT-Sicherheit ihr eigenes Geschäftsmodell absichern.

silicon.de: Aber beispielsweise Telekommunikationsunternehmen sagen, dass sie diese Cybersecurity bisher und auch in Zukunft ganz gut ohne den Staat sicherstellen. Aus meiner Sicht sind Ihre Position und auch die Ihrer Kritiker verständlich.

Schallbruch: Aber fragen Sie doch mal die Anwender-Unternehmen, was sie vom Staat hinsichtlich der Sicherung der von ihnen genutzten Infrastruktur erwarten. Viele wägen ab, dass sich zwar einerseits die Betreiber der Infrastruktur gegen zusätzliche Bürokratie wehren, andererseits sehen sie, dass eine funktionierende Infrastruktur für ihre Geschäfts- und Herstellungsprozesse unerlässlich ist.

In Deutschland leben wir sehr stark von der Qualität unserer Infrastruktur. Das ist ein wichtiger Standortfaktor, auf denen solide und verlässliche Geschäftsmodelle beruhen. Und das wollen wir erhalten.

silicon.de: Bei den Standortvorteilen bin ich auf Ihrer Seite. Ein Automobilhersteller schickt seine Datensätze in Deutschland los und die müssen auf die Sekunde genau im Hochregallager in China oder in der Produktion in Indien eintreffen. Dort arbeiten womöglich nur sehr wenige Leute, im Lager arbeitet vielleicht niemand, weil alle Prozesse von Computern gesteuert werden. Da kann sich der Kunde entweder auf die Service Level Agreements seiner Dienstleister verlassen – oder er kann auf deren Verpflichtungen verweisen, die in einem Gesetz festgeschrieben sind.

Trotzdem bleibt ein Risiko, weil immer eine Technik eine andere Technik knacken kann. Welche Lücken bleiben in der Sicherheitsarchitektur unberücksichtigt, auch wenn das Gesetz umgesetzt werden würde?

Schallbruch: Man muss immer ein adäquates Risikoniveau in den Blick nehmen. Die Frage ist, welches Risiko wir für angemessen halten. Auch im mechanischen, analogen Bereich haben wir Risikokorridore, bei denen wir sagen, wir nehmen bestimmte, vertretbare Risiken in Kauf.

silicon.de: Ist die Wirklichkeit in der Informationstechnologie angekommen?

Schallbruch: Ich denke, es ist eher umgekehrt: Die Informationstechnologie ist in der Wirklichkeit angekommen. Wir verlangen von den Betreibern der kritischen Infrastrukturen, dass sie eigenverantwortlich auf einem Mindeststandard die Sicherheit der Informationstechnologie garantieren. Für Unternehmen in anderen sicherheitsgefährdeten Bereich ist diese Forderung völlig normal. Zum Beispiel werden technische Sicherheitsvorgaben von den Fluggesellschaften selbstverständlich akzeptiert. Von der Methodik her ist das jetzt nichts anderes, wenn wir Anforderungen an die IT-Sicherheit definieren.