2015 hat das IT-Sicherheitsgesetz das BSI-Gesetz erweitert, jetzt legt der Staat nach - ein Interview mit unserem Manager Björn Haje über IT-Gesetze und den deutschen Mittelstand

2015 hat das IT-Sicherheitsgesetz das BSI-Gesetz erweitert, jetzt legt der Staat nach - ein Interview mit unserem Manager Björn Haje über IT-Gesetze und den deutschen Mittelstand

Das IT-Sicherheitsgesetz hat in seiner jetzigen Form auf der Welt Seltenheitswert. Nur wenige andere Staaten sorgen mit den Gesetzen einer Bundesbehörde so detailliert für den Schutz der wichtigsten Versorger. Seit 2015 gilt das Gesetz. Ergänzt wird es durch die BSI-Kritisverordnung, die festlegt, welche Unternehmen als Betreiber Kritischer Infrastruktur gelten. Das IT-Sicherheitsgesetz hat den Tätigkeitsbereich des IT-Beraters um eine juristische Dimension erweitert. Was ein derart einzigartiges Gesetz für die Betreiber bedeutet, erzählt Björn Haje im Interview.

Zum Interviewpartner: Björn Haje

Björn Haje ist Berater für IT-Infrastrukturen, IT-Sicherheit und IT-Projektmanagement bei FIDES. Er berät Betreiber der Kritischen Infrastruktur (KRITIS) rund um das Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme und die darauf aufbauende BSI-Kritisverordnung. Dort ist Konzeption und Umsetzung von IT-Sicherheit ganz konkret mit juristischen Fragen verbunden.

Herr Haje, wen betrifft das BSI-Gesetz und die Kritisverordnung?
Grundsätzlich betrifft das Gesetz die Sektoren Energie, Informationstechnik und Telekommunikation, Ernährung und Wasser, Gesundheit, Finanz- und Versicherungswesen sowie Transport und Verkehr. Wenn ein Unternehmen hier mehr als 500.000 Menschen versorgt, ist es Kritische Infrastruktur - aber das muss immer eine Einzelfallentscheidung sein. Was Kritische Infrastruktur ist kann eine Frage von Details sein. Der Mittelstand fällt schnell auch unbewusst darunter, gerade wenn er Konsumgüter produziert, verkauft oder transportiert.

Die Behörde spricht im Gesetzestext vom „Stand der Technik“, den KRITIS-Betreiber in der IT-Sicherheit erfüllen müssen. Wie sieht das in der Praxis aus?
Manchmal hört man ein gewisses Murren, wenn es um diesen vagen Begriff der „Stand der Technik“ geht. Aber der Gesetzgeber hat das bewusst offengelassen. Es ist Interpretationssache und immer abhängig vom Einzelfall, von der Branche, vom Unternehmen. Gute, nachvollziehbare Handlungshinweise geben die Branchenstandards (B3S), aber die gibt es nicht für jede Branche. Ansonsten orientieren wir uns am IT-Sicherheitsstandard ISO 27001 oder dem BSI Grundschutz. Stand der Technik bedeutet aber eben auch eine gewisse Freiheit und Verantwortung für IT-Sicherheitsberater wie mich.

Würde der Gesetzgeber die Formel „Stand der Technik“ nicht nutzen, müsste er laufend das Gesetz in allen Details ergänzen. Für statische Vorgaben sind die Betriebe zu divers. 

Das IT-Sicherheitsgesetz sagt: Wer eine kritische Infrastruktur betreibt, ist verpflichtet in IT-Sicherheit zu investieren. Tut das ein Unternehmen nicht, drohen Bußgelder. Wie hoch können die sein?
Stand Juni 2020 sind die Bußgelder bei maximal 100.000 Euro gedeckelt. Ein erster Verstoß kostet meist 50.000 Euro. Das wird sich aber in Zukunft verschärfen. 

Die Strafe ist in Zukunft wahrscheinlich umsatzabhängig: bis zu 2% des weltweiten Umsatzes, oder bis zu 20 Millionen EUR. Eine gute IT-Security ist also günstiger.

Gibt es für KRITIS-Betreiber einen Ausweg, wenn sie nachweislich nicht über die wirtschaftliche Kraft verfügen, jetzt die eigene IT-Sicherheit nach dem Stand der Technik auszubauen?
Nein, den gibt es nicht. Vielleicht gibt es für die betreffende Branche Fördertöpfe. Der Punkt ist: Der Gesetzgeber geht davon aus, dass die IT-Sicherheit bei den Unternehmen bereits auf einem hohen Niveau ist und deswegen keine wesentlichen Kosten entstehen. Das stimmt für große Konzerne, aber nicht für den Mittelstand. Paradoxerweise erwartet das BSI, dass ein KRITIS-Betreiber auch wirklich Geld in die Hand nimmt, um die gesetzlichen Vorgaben zu erfüllen. Das ist für uns als Berater ein Drahtseilakt: Das BSI mit den getroffenen Maßnahmen zufriedenstellen, aber die Maßnahmen so wählen und anpassen, dass es für die Betreiber verschmerzbar ist.

Wie unterscheidet sich Ihre Beratung und das Endergebnis in der IT-Sicherheit für Unternehmen der Kritischen Infrastruktur?
Das ist vielleicht eines der größeren Missverständnisse in diesem Bereich. Die Beratung, was IT-Sicherheit angeht, unterscheidet sich für KRITIS-Betreiber kaum von der normaler Unternehmen. Lediglich Prüfstandards und ein paar formale Vorschriften der Behörde sind leicht anders. Aber:
 

Eine exzellente IT-Sicherheit ist für Unternehmen in Zukunft überlebenswichtig, ob Kritische Infrastruktur oder nicht. Das muss man in dieser Schärfe sagen.

Der Unterschied ist dabei eher dies: Bei der Kritischen Infrastruktur sagen wir, dass sie IT-Sicherheit brauchen, um Bußgeld zu vermeiden. Bei anderen Unternehmen müssen wir an die Vernunft appellieren. IT-Sicherheit schützt die Daten, das wertvollste Gut für viele Unternehmen. Der Schaden ist meist enorm, materiell und auf das Image bezogen. Ich frage mich, ob Dienstleister im Bereich Einbruchschutz oder Brandschutz ähnliche Diskussionen führen, wie wir IT-Sicherheitsexperten...

Für die Betreiber Kritischer Infrastrukturen gilt, dass sie „erhebliche IT-Sicherheitsvorfälle“ melden müssen – ist das wieder bewusst vage gehalten?
Ja, hier gibt es Parallelen zum „Stand der Technik“. Enger als „erhebliche IT-Sicherheitsvorfälle“ kann man es nicht in ein Gesetz oder eine Verordnung schreiben, weil die Strukturen und Prozesse in Betrieben zu heterogen sind. Erheblich ist ein Sicherheitsvorfall aber im Bereich KRITIS immer, wenn dadurch ein Ausfall oder eine starke Einschränkung der Kritischen Dienstleistung eintritt oder zumindest die Gefahr besteht. Ich rate jedem KRITIS-Betreiber dazu, im Zweifel eher zu melden als zu verschweigen.

Wie viel Veränderung abseits der Technologie bedeutet eine Umstellung der IT-Security für Betreiber der Kritischen Infrastruktur, auch was die Unternehmenskultur betrifft? Wie viel Change Management steckt da drin?
In der Tat sind viele Veränderungen organisatorischer Natur. Etwa die Einführung des IT-Sicherheitsmanagementsystems. Denn das ist, was der Name sagt: Management. Und Management ist Leitung, Organisation und Planung, in diesem Fall der gesamten IT-Sicherheit. Außerdem muss das Unternehmen lernen, IT-Sicherheit zu leben. Es darf keine lästige Nebentätigkeit sein, sondern muss normaler Betriebsalltag werden. Eine richtige Technologie zu implementieren ist einfacher, als menschliches Verhalten zu verändern.
 

Unternehmen brauchen bei der IT-Sicherheit einen kontinuierlichen Verbesserungsprozess. IT-Sicherheit ist deswegen heute auch eine Management-Aufgabe.

Ein IT-Sicherheitsgesetz 2.0 durchläuft gerade das Gesetzgebungsverfahren. Was glauben Sie, kommt auf Betreiber der Kritischen Infrastruktur zu?
Zum einen wird die Entsorger-Branche als Teil der Kritischen Infrastruktur aufgenommen. Zum anderen wird es wohl einen Passus geben, der von „Unternehmen im besonderen öffentlichen Interesse“ spricht. Rüstungsunternehmen kommen wohl hinzu. Ich rechne außerdem mit einer Absenkung der Schwellenwerte. 

Zur Betreibern Kritischer Infrastruktur zählen in Zukunft also deutlich mehr Unternehmen.

Dazu kommen weitere Vorgaben. Zum Beispiel sollen KRITIS-Betreiber nur noch IT-Produkte vertrauenswürdiger Hersteller nutzen. Die wird das BSI definieren. Wie das im Detail aussehen soll, ist allerdings noch unklar.

Müssen Unternehmer in der Kritischen Infrastruktur Angst haben, dass durch immer neue Neuauflagen derartiger Gesetze immer wieder neue Investitionszwänge entstehen?
Gegenfrage: Wie viel Angst haben Sie davor, dass ein Hacker alle Ihre Unternehmens- und Kundendaten stiehlt, diese öffentlich zugänglich macht oder an Ihre Wettbewerber verkauft? Wie viel Angst haben Sie davor, dass ein Hacker Ihr gesamtes Firmennetzwerk verschlüsselt und Lösegeld dafür fordert? Nein, IT-Sicherheit ist eine Investition in den Fortbestand des Unternehmens. Die allermeisten Maßnahmen, die das BSI für KRITIS-Betreiber fordert, sollten auch das Eigeninteresse des Unternehmers sein. Aber zur Frage:
 

Wenn Unternehmen erst einmal auf dem aktuellen Stand der Technik sind, ist es deutlich günstiger, auf diesem Stand zu bleiben.

Sie haben Fragen zur Kritischen Infrastruktur? Hier erfahren Sie, was genau Kritische Infrastruktur ist, und hier, wie ein KRITIS-IT-Sicherheitsaudit abläuft. Oder sind Sie schon einen Schritt weiter und brauchen einen Partner? Dann erfahren Sie hier, was wir für Betreiber der Kritischen Infrastruktur machen können.