PSW Group fragt: Quo vadis IT-Sicherheit in KRITIS?
Entwurf des IT-Sicherheitsgesetzes 2.0 erntet Kritik
IT-Systeme in kritischen Infrastrukturen (KRITIS) sind nicht vor Cyberangriffen gefeit. Wie aus dem „Lagebericht der IT-Sicherheit in Deutschland 2020“ hervorgeht, stieg allein die Anzahl der Hackerattacken im Gesundheitsbereich mit Fokus auf Krankenhäuser von elf Attacken im Jahr 2018 auf 43 Attacken im Jahr 2020. Auch Angriffe im Energiesektor nahmen deutlich zu. In den vergangenen drei Jahren stieg die Anzahl der Angriffe von vier auf 26. Insgesamt mehr als 400 meldepflichtige IT-Sicherheitsvorfälle bei KRITIS-Betreibern wurden 2020 angezeigt – ein Anstieg von über 60 Prozent im Vergleich zum Vorjahr.
Die Bundesregierung hat erkannt, dass KRITIS-Betreiber Nachholbedarf haben und in der Folge das IT-Sicherheitsgesetz angepasst werden muss. „In der KRITIS fehlt es derzeit am Wesentlichen, Betreiber setzen auf alte Geräte, die zum Teil keine Updates mehr erhalten, eine fehlende Routine macht insbesondere multiple Angriffe erfolgreicher und Mitarbeiter werden nicht oder unzureichend geschult“, so Patrycja Schrenk, Geschäftsführerin der PSW Group, zu den hohen Zahlen. Verständlich, wenn dort nachgerüstet werden muss.
Doch obwohl noch im Entwurf, sei bereits jetzt klar, dass das IT-Sicherheitsgesetz 2.0 sowohl Hersteller als auch Betreiber künftig verstärkt in die Pflicht nehmen wird. Der aktuell dritte Entwurf sorge vor allem angesichts der Verhältnismäßigkeit diverser Passus für reichlich Diskussionsspielraum und erregt auch den Unmut der IT-Sicherheitsexperten der PSW Group. „Zum einen ignoriert das für das Gesetz zuständige Bundesministerium des Inneren offenbar Vorschläge von UP KRITIS, einer extra ins Leben gerufenen öffentlich-privaten Kooperation zwischen verschiedenen KRITIS-Betreibern, Verbänden und staatlichen Stellen, zur Neuauflage des IT-Sicherheitsgesetzes. Das ist ärgerlich und wenig zielführend. Vor allem aber sehe ich einige neue Sonderrechte des BSI als strittig und es fehlt mir insgesamt an Transparenz und Nachvollziehbarkeit von Bestimmungen“, kritisiert Schrenk.
So erhalte das BSI mit dem IT-Sicherheitsgesetz 2.0 neue Befugnisse. Es darf hacken und muss Sicherheitslücken nicht zwangsläufig veröffentlichen. Um Betroffene von Sicherheitslücken oder -vorfällen zu benachrichtigen, bekommt das BSI darüber hinaus das Recht, Bestandsdaten wie Name oder Adresse bei Telekommunikationsanbietern abzufragen. Zudem darf die Behörde Informationen über ihr bekannte Sicherheitslücken oder Schadprogramme zurückhalten, wenn damit eine Weiterverbreitung oder rechtswidrige Ausnutzung verhindert werden kann oder weil sie gegenüber Dritten zur Vertraulichkeit verpflichtet ist. „Diesen Passus erachte ich als extrem strittig. Denn so können Geheimdienste und die Polizei Zero-Day-Exploits weiter für eigene Zwecke nutzen“, kritisiert Schrenk.
- Entwurf des IT-Sicherheitsgesetzes 2.0 erntet Kritik
- Sicherheitskennzeichen
Lesen Sie mehr zum Thema
