Analyse
Wie das IT-Sicherheitsgesetz kritische Infrastruktur schützen soll
Ein Virus auf dem eigenen Laptop ist problematisch, ein Hackingangriff im großen Stil kann lebensbedrohlich sein. Denn er trifft die Unternehmen im Kern: der IT-Sicherheit. Gehören diese Unternehmen zur kritischen Infrastruktur wie Kranken- häuser oder Atomkraftwerke, kann nicht nur das gesellschaftliche Leben, sondern auch das Wohl Vieler Schaden nehmen. Das IT-Sicherheitsgesetz soll hier präventiv wirken. Die kritischen Infrastrukturen sind ein Teil des Anwendungsbereiches des Gesetzes.
 Cyberattacken sind zu einer realen Bedrohung in unserem Alltag geworden. Ihre lebensbedrohlichen Auswirkungen zeigten sich jüngst an dem Universitätsklinikum Düsseldorf. Am 10. September 2020 ist es dort zu einem massiven IT- Ausfall gekommen, der sich auf einen Hackingangriff zurück- führen lässt. Infolgedessen musste das Klinikum zahlreiche Operationen und Untersuchungen absagen. Die Notfall- ambulanz war für 13 Tage von der Versorgung für Patient- Innen abgemeldet. Mit tödlichen Folgen: Eine lebensbe- drohlich erkrankte Patientin konnte am Düsseldorfer Universitätsklinikum nicht aufgenommen werden – und verstarb.
Um solche Hackingangriffe zu verhindern oder schneller beheben zu können, gibt es seit 2009 das IT-Sicherheitsge- setz. Es handelt sich um ein Artikelgesetz, das weitreichend in bestehende Gesetze eingreift. Dem Bundesamt für Sicher- heit in der Informationstechnik (BSI) kommt dabei eine ent- scheidende Rolle zu. So dient es als Meldestelle für IT-Sicher- heit. Hier erhebt und protokolliert es Informationen und warnt gegebenenfalls vor bestehenden Sicherheitslücken.
Das IT-Sicherheitsgesetz 2.0 ist ein Änderungsgesetz. Mit ihmsollenandereGesetze,wiebeispielsweisedasTelekom- munikationsgesetz oder das Telemediengesetz abgeändert werden. „Das Gesetz regelt unter anderem den Schutz der Bundesverwaltung, kritischer Infrastrukturen (KRITIS), Unter- nehmen im besonderen öffentlichen Interesse, und den Verbraucherschutz“, teilte das Bundesamt für Sicherheit in der Informationstechnik (BSI) auf eine schriftliche Anfrage mit. So sollen vor allem die Gesellschaft, die Wirtschaft und der Staat besser geschützt werden. Um das alles zu ermög- lichen, muss das BSI dazu in der Lage sein, Bundesbehörden und Unternehmen, die Teil der sogenannten „kritischen Infrastrukturen“ (KRITIS) sind, besser beobachten und kon- trollieren zu können. Mit den geänderten Gesetzen könnten diese Einrichtungen selbst auch besser vor Zwischenfällen wie Hackingangriffen geschützt werden. Zu den kritischen Infrastrukturen gehören Unternehmen in Branchen wie der Wasser- und Stromversorgung.
Fällt ein Unternehmen unter diesen Begriff, folgen daraus zahlreiche Verpflichtungen: Innerhalb der Unternehmen müssen wichtige IT-Dienste nach bestimmten Vorgaben ab- gesichert sein und mindestens alle zwei Jahre überprüft wer-
den. Störungen müssen durch die kritischen Infrastrukturen dem BSI gemeldet werden. Bestehen erhebliche Sicher- heitsmängel darf das BSI eine Beseitigung anordnen. Im Fal- le eines Hackingangriffes erhalten die Bundesbehörden und Betreiber kritischer Infrastrukturen aber auch Unterstützung durch „Mobile Incident Response Teams“ des BSI vor Ort. So soll betroffenen Unternehmen schnell geholfen werden.
Dass Zeit und Aktualität bei dem Thema eine ständige Her- ausforderungsind,liegtinderNaturderSache.Denndie Digitalisierung und Vernetzung schreitet in Deutschland weiter voran. Das Tempo ist rasant und ebenso erhöht sich die Qualität der Cyberattacken. Um den wachsenden Bedarf an IT-Sicherheit gerecht zu werden und wichtige digitale Infrastrukturen zu schützen, arbeitete das Bundesministe- rium für Bau und Heimat (BMI) seit zwei Jahren an einer Novellierung des IT-Sicherheitsgesetzes. Im Fokus stand da- bei die Prämisse, die IT- Sicherheit in Deutschland weiter zu verbessern und strikter zu kontrollieren.
Deshalb war bereits das Interesse am Gesetzgebungsver- fahren groß. Als Leiter der Internationalen Cybersicherheits- politik bei der Stiftung Neue Verantwortung (SNV) verfolgte Dr. Sven Herpig die Debatte um den Gesetzesentwurf und setzt sich aktiv damit auseinander. Herpig sieht Handlungs- bedarf beim Gesetzgeber. „Die Gesetzgebung muss an die aktuellen Gegebenheiten angepasst werden, das ist ganz klar“, sagt Herpig. Für die Umsetzung neuer sicherheits- strategischer Ziele benötige es nicht nur die Anpassung der Aufgaben einer Behörde, sondern auch Ressourcen. Diese würden nur durch eine neue Gesetzgebung umgesetzt.
  Sven Herpig ist Experte für Internationale Cybersicherheitspolitik bei der Stiftung Neue Verantwortung in Berlin
Nomos STUD.Jur. 1 | 2021 21
© privat
Analyse