LAN-Kabel

IT-Sicherheit Auf der Suche nach Schutz

Stand: 30.11.2016 11:17 Uhr

Der Telekom-Angriff hat auch die gesetzlichen Regeln zur IT-Sicherheit wieder in den Fokus gerückt. Innenminister de Maizière sieht die Regierung mit dem IT-Sicherheitsgesetz auf gutem Weg - Experten und Opposition haben Zweifel.

Von Arne Meyer und Marie von Mallinckrodt, ARD-Hauptstadtstudio

Dies sei ein "fortgeschrittener" Angriff: "Mit dieser Methode wurden Anfang 2015 auch die Webseite der Kanzlerin und des Bundestags lahmgelegt", sagt Hendrik Schmidt, der seit Jahren Sicherheitsberater vor allem im Bereich Telekommunikation ist. "Diese Angriffe haben eine neue Dimension bekommen, es gibt viel mehr Kleingeräte, die für solche Angriffe missbraucht werden können." Das mögliche Ziel hinter dem Telekom-Angriff: Unternehmen oder auch Regierungsinstitutionen.

Kritische Infrastruktur schützen

Um genau so etwas zu vermeiden, hat die Bundesregierung ein IT-Sicherheitsgesetz auf den Weg gebracht. Bundesinnenminister Thomas de Maizière lobte zuletzt: "Wir haben das IT-Sicherheitsgesetz auf den Weg gebracht, um damit kritische Infrastruktur selbst zu schützen und schützen zu lassen." Das Ziel des Gesetzes, das seit Sommer in Kraft ist: die sogenannten kritischen Infrastrukturen in Zeiten der zunehmend auch politisch motivierten Cyberangriffe, etwa durch Russland, besser zu schützen.

Thomas de Maiziere (CDU) | Bildquelle: dpa
galerie

Kritische Infrastrukturen sollen laut de Maizière besser geschützt werden.

Doch es gibt erhebliche Zweifel, dass das funktioniert. Ein wichtiges Element des Gesetzes ist eine Verordnung, mit deren Hilfe sich der Bund überhaupt erst mal einen Überblick verschaffen will, welche Unternehmen in Deutschland zur "kritischen Infrastruktur" zählen. Genau diese Unternehmen hatten bis zum 3. November Zeit, sich beim Bundesamt für Sicherheit in der Informationstechnologie zu melden. Zum Beispiel, um der Behörde für den Fall eines Cyber-Angriffs einen Ansprechpartner zu benennen.

Der Präsident des Bundesamtes für Sicherheit in der Informationstechnik (BSI), Arne Schönbohm, rechnet damit, dass es zunächst um 450 besonders sensible Anlagen geht, die sich registrieren müssen. Darunter sind: Telekommunikation, Energie, Wasserversorgung, Nahrungsmittelindustrie. Nach Informationen von BR-Recherche und des ARD-Hauptstadtstudios sind bisher aber nicht alle Anlagenbetreiber dieser gesetzlich festgeschriebene Regelung nachgekommen. Aktuell liegen die Daten von 310 Anlagen vor. Ein Rücklauf, den das Bundesamt für "positiv" hält.

"Da die Auswertung der Anträge noch läuft, ist hierzu noch keine abschließende Bewertung möglich", antwortet das BSI allerdings auf die Frage, ob es auf Basis der vorliegenden Daten einen guten Überblick über die kritische Infrastruktur der ersten vier erfassten Sektoren hat. Eine Aussage, die der Sprecher des Chaos Computer Clubs, Linus Neumann, ziemlich erstaunlich findet. Vor allem wenn man bedenke, wie lange die Diskussion über kritische Infrastrukturen laufe: "Wenn das BSI sich das Ziel setzt, kritische Infrastrukturen zu schützen, dann ist der erste Schritt einen Überblick darüber zu haben, welche es gibt. Und dann weiß ich auch, wie viele das sind, wo die sind und wo ich die erreiche. Wenn ich keinen Überblick habe, kann ich mir auch kein sinnvolles Konzept für eine Sicherheitsstrategie vorstellen."

"Die Hütte brennt lichterloh"

Grünen-Fraktionsvize Konstantin von Notz drückt sich drastischer aus. Im Bereich der IT-Sicherheit brenne die Hütte schon jetzt lichterloh: "Es ist jetzt wieder Zeit verstrichen, seitdem das IT-Sicherheitsgesetz in Kraft ist. Und man stellt fest, uns fehlt immer noch der richtige Überblick. Und deswegen ist es so misslich, dass man eben dieses unzureichende Gesetz auf den Weg gebracht hat."

In einer parlamentarischen Anfrage hat die Bundesregierung von Notz zudem mitgeteilt, dass mehrere Betreiber kritischer Infrastrukturen dem BSI inzwischen 14 Cyber-Angriffe gemeldet haben. Diese betrafen unter anderem die Sektoren Energie, Wasser, und Informations- bzw. Telekommunikationsindustrie. Einzelheiten dazu wollte sie nicht mitteilen - aus Sicherheitsgründen.

Sicherheitsberater Schmidt sieht eine ganz andere Problematik im IT-Sicherheitsgesetz, das auch Mindeststandards vorschreibt. In solchen Fällen, wie der des Angriffs auf das Telekom-Netz, helfe es vermutlich auch nicht weiter: "Die Router, die bei den Endkunden stehen, fallen womöglich gar nicht unter das Gesetz." Das ist offenbar noch verbesserungswürdig, damit es so wie de Maizière jetzt sagt, IT-Sicherheit schützt.

Über dieses Thema berichtete tagesschau24 am 30. November 2016 um 11:00 Uhr.

Darstellung: