Es geht um nichts weniger als darum, eine Katastrophe abzuwenden: Das deutsche IT-Sicherheitsgesetz forderte Betreiber kritischer Infrastruktur (KRITIS) bereits 2015 auf, sich vor Angriffen aus dem Netz besonders zu schützen und den IT-Grundschutz zu erhöhen. Das betrifft zum Beispiel Wasserwerke, Strombetreiber und Krankenhäuser. Sie sind verpflichtet, ihre IT-Infrastruktur gegen Angriffe von außen zu schützen und so die Informationssicherheit zu gewähren.
Dieser Kreis wurde durch die Gesetzesnovelle dieses Jahr noch einmal erweitert, etwa um Siedlungsabfallentsorgung, Rüstungshersteller und einige Zulieferer. Sie alle sind qua Gesetz verpflichtet, gemäß aktuellem Stand der Technik vorzusorgen, die IT-Sicherheit zu erhöhen und eventuelle Attacken oder IT-Störungen an das Bundesamt für Sicherheit in der Informationstechnik (BSI) zu melden.
Das Gesetz war und ist dringend notwendig, gar keine Frage. Denn Cyber-Angriffe auf kritische Infrastruktur und deren IT-Systeme nehmen deutlich zu. Im aktuellen Lagebericht des BSI heißt es, die Situation sei angespannt bis kritisch. Es ist also essenziell für die Sicherheit und Versorgung in Deutschland, dass betroffene Unternehmen besonders gut aufpassen und ihre IT-Systeme entsprechend schützen.
Manche wissen lange nicht, dass sie KRITIS-Betreiber sind
Leider gelingt das zu häufig noch nicht. Das liegt jedoch nur teilweise an den wachsenden Risiken. Tatsächlich spreche ich immer wieder mit Unternehmensvertreter:innen, die schlicht nicht wissen, dass ihr Unternehmen zum Kreis der KRITIS-Betreiber gehört. Sie stellen teils erst Jahre zu spät fest, dass sie betroffen sind, aber Melde- und Schutzpflichten der BSI-KRITIS-Verordnung nie erfüllt haben.
Deutsches Gesetz ist das komplizierteste der Welt
Wie kann das sein? Ich fürchte, der deutsche Gesetzgeber selbst ist Teil des Problems. Denn ich kenne viele vergleichbare Regularien auf der ganzen Welt und kann mit Sicherheit sagen: Das deutsche IT-Sicherheitsgesetz ist mit Abstand das komplizierteste. Schwellenwerte etwa, welche Mengen Trinkwasser, Medikamente oder Strom ein Unternehmen zum KRITIS-Betreiber macht, sind bei uns nur vage formuliert. Auch ist nicht immer klar, wie groß der Kreis der versorgten Personen sein muss, damit eine Unternehmen zur kritischen Infrastruktur gezählt wird.
Besser macht es zum Beispiel Spanien. Ich habe dort Kunden, die vom Staat kontaktiert wurden, weil sie als KRITIS-Betreiber gelten – und klar informiert wurden, welche Maßnahmen sie konkret ergreifen sollen. In Deutschland gibt es hier deutlich mehr Unsicherheiten. Aus Sicht des Steuerzahlers finde ich, das hätte man besser lösen können.
Hohen Bußgeldern entgehen und sich optimal schützen
Aber gut. Jetzt ist das Gesetz in Kraft. Ich kann Unternehmen in Deutschland daher nur raten, sehr genau zu prüfen, ob sie zum KRITIS-Kreis gehören, und im Zweifel hierbei auch Unterstützung zu suchen. Sie werden erhebliche Anstrengungen zur Umsetzung der Anforderungen aus dem BSI-Gesetz unternehmen müssen.
Sollten Sie zu dem Kreis zählen, dann installieren Sie die geforderten IT-Schutz-Maßnahmen entsprechend dem Stand der Technik und nehmen Sie auch die Meldepflichten ernst. Nicht nur, damit Sie den zuletzt deutlich erhöhten Bußgeldern im Sanktionsfall entgehen, sondern damit Sie wirklich optimal geschützt sind vor Cyber-Attacken. Denn diese können im schlimmsten Fall die Existenz des Unternehmens bedrohen – und für die Bevölkerung zur Katastrophe werden.