Locky, WannaCry und Petya – Das IT-Sicherheitsgesetz und der Kampf um die Cybersicherheit

​veröffentlicht am 29. August 2017

Mit dem IT-Sicherheitsgesetz ist Deutschland Vorreiter im Kampf um die Cybersicherheit. Bei richtiger Umsetzung darf gehofft werden, dass die zahlreichen Cyberangriffe in Zukunft besser abgewehrt werden können.

​Die Anzahl und Intensität von Cyberangriffen hat in den letzten Jahren deutlich zugenommen, wobei insbesondere die Bedrohungen durch externe Täter an Bedeutung gewinnen. Dies führt dazu, dass die Folgen von IT-Vorfällen immer häufiger über die eigene Organisation hinaus reichen und Vorkommnisse schnell öffentliche Aufmerksamkeit erwecken.

Der Erpressungstrojaner WannaCry beispielsweise verbreitete sich weltweit in Rekordgeschwindigkeit und infizierte mehr als 300.000 Rechner. Die Idee: Die Opfer sollen ein Lösegeld in Höhe von 300 Euro in der Digitalwährung Bitcoin bezahlen oder die infizierten Festplatten bleiben verschlüsselt. Die Folgen waren gravierend. Behörden und Krankenhäuser wurden lahm gelegt, Operationen mussten abgesagt und Patienten wieder nach Hause geschickt werden. Wenige Wochen später erfolgte dann der nächste Großangriff auf Computersysteme. Petya, der zahlreiche IT-Systeme mit dem Ziel infizierte, Daten unwiederbringlich zu vernichten und einen möglichst großen Schaden anzurichten. Das Bedenkliche daran ist, dass offenbar dieselbe Sicherheitslücke wie bei WannaCry ausgenutzt wurde, was bei vielen Unternehmen wiederum auf weiterhin bestehende signifikante Mängel im Umgang mit IT-Risiken hinweist.

Grund zur Hoffnung gibt jedoch das „Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme”, kurz IT-Sicherheitsgesetz, das seit dem 25. Juli 2015 für Betreiber kritischer Infrastrukturen gilt und deren zweijährige Übergangsfrist zum 26. Juli 2017 abläuft. Grund zur Hoffnung gibt das Gesetz deshalb, weil es ein Mindestniveau an IT-Sicherheit für Systeme und Daten definiert und eine Meldepflicht an das Bundesamt für Sicherheit in der Informationstechnik (BSI) bei „erheblichen Störungen” vorschreibt. Dadurch soll sichergestellt werden, dass die betroffenen Betreiber für ausreichende Sicherheit in ihren Systemen sorgen und die Sensibilität für IT-Sicherheit wesentlich erhöht wird. Des Weiteren wird das IT-Sicherheitsgesetz dazu führen, dass das BSI als zentrale Melde- und Aufsichtsstelle fungiert und zeitnah alle Betreiber über aktuelle Sicherheitsvorfälle informiert und beratend zur Seite steht. Werden die Anforderungen nicht umgesetzt, drohen empfindliche Strafen mit Bußgeldern von bis zu 100.000 Euro sowie eventuell hinzukommende Schadensersatzforderungen sowohl von Vertragspartnern als auch von geschädigten Dritten.

Zu den Betreibern Kritischer Infrastrukturen gehören neben der Informationstechnik und Telekommunikation im engeren Sinne auch Energie, Ernährung, das Finanz- und Versicherungswesen, Gesundheit und Wasser und somit auch 110 große Krankenhäuser und Kliniken in Deutschland, die mindestens 30.000 Behandlungsfälle im Jahr vorweisen. Welche Unternehmen von dem Gesetz betroffen sind, wird durch eine vom Bundesamt für Sicherheit in der Informationstechnik, dem Bundesamt für Bevölkerungsschutz und den Leitern der Branchenarbeitskreise der UP Kritis erstellte Messtabelle festgelegt.

Unter der Pflicht, ein bestimmtes Mindestniveau an IT-Sicherheit einzuhalten kann verstanden werden, dass die Betreiber angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen der Verfügbarkeit, Authentizität und Vertraulichkeit ihrer informationstechnischen Systeme, Komponenten oder Prozesse treffen, die für die Funktionsfähigkeit der von ihnen betriebenen Infrastruktur maßgeblich sind. Dies bedeutet im Umkehrschluss für alle betroffenen Betreiber, dass sie ein Information Security Management System (ISMS) einzuführen und zu betreiben haben. Bzgl. der Standards zur Umsetzung gibt sich das IT-Sicherheitsgesetz zwar bedeckt, erfahrungsgemäß bieten sich die bekanntesten und am weitesten verbreiteten Standards „IT-Grundschutz” des BSI und der „ISO/IEC 27001” an.

Somit ist festzuhalten, dass Deutschland mit dem in Kraft getretenen IT-Sicherheitsgesetz Vorreiter im Kampf um die Cybersicherheit ist und es jetzt an den Betreibern der kritischen Infrastrukturen liegt, die Gesetzesvorgaben zielgerichtet und wirkungsvoll umzusetzen und somit die drohende Gefahr von Cyberangriffen in Zukunft besser abwehren zu können.