BDI-Manager Heckler: „Wesentliche Verbesserungen“ BDI-Interview zum Entwurf des IT-Sicherheitsgesetzes 2.0

Autor / Redakteur: lic.rer.publ. Ariane Rüdiger / Ulrike Ostler

Die geplante Novellierung des IT-Sicherheitsgesetzes beschäftigt die deutsche Industrie. Jetzt liegen die Änderungsvorschläge der Regierung zum letzten Entwurf vor. Ariane Rüdiger sprach für Datacenter-Insider mit Steven Heckler, Referent Digitalisierung und Innovation über seine Bewertung durch den BDI (Bundesverband der Deutschen Industrie e.V.).

Firmen zum Thema

Der BDI sieht seine Interessen in den Änderungen zum jüngsten Entwurf des IT-Sicherheitsgesetzes 2.0 besser berücksichtigt.
Der BDI sieht seine Interessen in den Änderungen zum jüngsten Entwurf des IT-Sicherheitsgesetzes 2.0 besser berücksichtigt.
(Bild: gemeinfrei / Pixabay )

Am vorherigen Entwurf des IT-Sicherheitsgesetzes 2.0 (IT-SiG 2.0) gab es viel Kritik vom BDI. Gerade wurden die Änderungsanträge der Regierungsparteien vorgelegt. Wie bewerten Sie die Vorschläge?

Steven Heckler: Wir sind zufrieden mit den meisten Änderungen. Vor allem begrüßen wir, dass es noch in dieser Legislaturperiode Rechtssicherheit in Bezug auf den Aufbau des 5G-Netzes geben wird.

Inwiefern?

Steven Heckler: Die Vorgaben für die Vertrauenswürdigkeit von Herstellern kritischer Komponenten wurden herstellerunabhängig gestaltet und sauber festgehalten. In Zukunft können für jeden KRITIS-Sektor kritische Komponenten gesetzlich definiert werden.

Eine Komponente wird als „kritisch“ eingestuft, wenn ihre Störung zu einem Ausfall oder zu einer erheblichen Beeinträchtigung der Funktionsfähigkeit Kritischer Infrastrukturen führen kann. Mithilfe der Vorschläge wird auch der Begriff „IT-Produkt“ endlich klar abgegrenzt, nämlich Software und Hardware, die Informationen informationstechnisch verarbeiten.

"Wir sehen in den neuen Änderugsvorschlägen zum ITSiG 2.0 wesentliche Verbesserungen", sagt Steven Heckler, Referent Digitalisierung und Innovation des BDI.
"Wir sehen in den neuen Änderugsvorschlägen zum ITSiG 2.0 wesentliche Verbesserungen", sagt Steven Heckler, Referent Digitalisierung und Innovation des BDI.
(Bild: BDI)

Welche Kritikpunkte sind geblieben?

Steven Heckler: Vor allem stört uns, dass es keine Evaluierung zum Umsetzungszustand des bestehenden Gesetzes gab, bevor die Novelle formuliert wurde. Es bestehen nämlich erhebliche Umsetzungsprobleme. Zum Beispiel brauchen wir einen erheblich effizienteren Meldeweg: Unternehmen, die einen Cyber-Sicherheitsvorfall melden wollen, müssen heute drei Formulare an drei Stellen schicken: das Bundesamt für Sicherheit in der Informationstechnik (BSI), den Landes- und den Bundesbeauftragten für Datenschutz.

Das ist viel zu umständlich. Außerdem ist noch immer keine Prüfung der Vertrauenswürdigkeit des IT-Sicherheitspersonals von Kritischen Infrastrukturen und Unternehmen im besonderen öffentlichen Interesse vorgesehen. Technik und Organisation stehen im Vordergrund, aber Innentäterbleiben unberücksichtigt, obwohl Unternehmen immer wieder mit ihnen konfrontiert sind.

UP-KRITIS ist ein Erfolg

Was lief gut bei der Umsetzung des IT-Sicherheitsgesetzes 1.0?

Steven Heckler: Sehr positiv hat sich die Implementierung des Koordinierungskreises UP KRITIS (Umsetzungsplan KRITIS) ausgewirkt, weil dort RegierungsvertreterInnen und KRITIS-Unternehmen Informationen über Bedrohungslagen vertrauensvoll austauschen.

Wie sieht es mit dem Verhältnis zur auf Europa-Ebene geplanten Novellierung der NIS-2 (Richtlinie zur Gewährleistung einer hohen Netzwerk- und Informationssicherheit, Version 1 wurde am 29.06.2017 verabschiedet) aus?

Steven Heckler: Die Bundesregierung verzettelt sich gerade im nationalen Klein-Klein. Es wäre sehr viel sinnvoller gewesen, zuerst die Regulierung auf Europa-Ebene abzuwarten und dann das deutsche Gesetz zu reformulieren. Nun kommt wohl erst das IT-SiG 2.0, dann die NIS-2 und schon 18 Monate später muss diese Richtlinie unter Änderung des IT-Sicherheitsgesetzes in Deutschland umgesetzt werden.

Das betrifft auch die Anwendung des IT-SiG auf Unternehmen im besonderen öffentlichen Interesse. Damit geht Deutschland einen Sonderweg. Hier wäre es sinnvoll gewesen, die europaweit einheitliche Einführung der „wichtigen Unternehmen“ abzuwarten.

Wer betroffen ist, soll eine Rechtverordnung regeln

Was stört Sie im Detail an dieser Ausweitung?

Steven Heckler: Vor allem die Intransparenz. Wer wird von dem Gesetz betroffen sein? Zulieferer sind jetzt auch betroffen. Es gibt keinerlei Kennzahlen, ab welcher Größe Unternehmen in diesen Rahmen fallen sollen.

Dieses Thema sollte nicht in einer Rechtsverordnung, sondern im parlamentarischen Verfahren geregelt werden. Der europäische Richtlinienvorschlag wählt übrigens einen gänzlich anderen Weg: Er zählt Branchen und Größenordnungen auf. Das schafft Rechtssicherheit und Klarheit.

Allerdings haben gerade Verbände auch bei der Formulierung von Rechtsverordnungen doch erhebliche Einflussmöglichkeiten…

Steven Heckler: Das IT-SiG 2.0 sieht vor, dass Wirtschaftsverbände konsultiert werden und eine Erklärung abgeben können. Die Berichterstatter der Regierungsparteien im parlamentarischen Gesetzgebungsverfahren haben erhebliche und erfreuliche Änderungen bewirkt. Das ist aus Sicht der deutschen Wirtschaft sinnvoller als ausschließlich die ministerielle Befassung.

Gibt es weitere Punkte, die Sie am europäischen gegenüber dem deutschen Regulierungswerk besser finden?

Steven Heckler: Auf europäischer Ebene sollen ein Schwachstellen-Management und ein Schwachstellenregister eingeführt werden. Denn nur eine sofort geschlossene Lücke ist sicher.

Zwar sieht der deutsche Gesetzesentwurf nunmehr vor, dass das BSI Unternehmen über bekanntgewordene Schwachstellen unverzüglich informieren muss. Ob dadurch sichergestellt ist, dass Regierung und Verwaltung aufgedeckte Schwachstellen nicht mehr zurückhalten, bleibt abzuwarten.

Haben Sie auch Kritik an NIS?

Steven Heckler: Die NIS-2 unterscheidet bei den umzusetzenden Cybersicherheitsmaßnahmen nicht zwischen wesentlichen, sprich KRITIS-Unternehmen, und wichtigen Unternehmen, vergleichbar mit solchen im besonderen öffentlichen Interesse. Unternehmen beider Kategorien müssen dieselben Maßnahmen umsetzen.

Nur bei den Auditierungen unterscheidet der Entwurf: Während KRITIS-Betreiber sich auch schon vor einem Zwischenfall überprüfen lassen müssen, werden die ökonomisch wichtigen erst danach kontrolliert. Wir würden uns unterschiedlich strikte Vorgaben für die Gruppen wünschen.

IT-SiG 2.0 reguliert differenzierter

Ist das derzeit im deutschen Gesetzesvorschlag der Fall?

Steven Heckler: Ja. Das IT-Sicherheitsgesetz 2.0 unterscheidet bei den Unternehmen drei Gruppen, die von besonderer öffentlicher Bedeutung sind.

- Die erste umschreibe ich mit Rüstung, Militär- und IT-Sicherheit entsprechend der Regeln der Außenwirtschaftsverordnung.
- In der zweiten Gruppe finden sich die volkswirtschaftlich wichtigen Unternehmen sowie ihre Zulieferer,
- in der dritten diejenigen, die unter die Störfall-Verordnung fallen.

Die erste und die zweite Gruppe müssen sich beim BSI registrieren, die dritte Gruppe darf dies freiwillig tun. Die Meldefristen sind unterschiedlich und im Unterschied zu KRITIS-Unternehmen, wo die gestörte Anlage im Vordergrund steht, geht es bei den volkswirtschaftlich relevanten Unternehmen und ihren Zulieferern um eine schwerwiegende Beeinträchtigung der Wertschöpfung. Hier wird also das ganze Unternehmen betrachtet, etwa auch sein Online-Shop.

Was ist, wenn ein KRITIS-Unternehmen einen Online-Shop betreibt, und der ausfällt? Gelten dann die KRITIS- oder die Regeln für Unternehmen mit besonderer volkswirtschaftlicher Bedeutung?

Steven Heckler: Bisher heißt es eindeutig: Ein Unternehmen kann nur einer der beiden Gruppen angehören, also entweder KRITIS oder Unternehmen im besonderen öffentlichen Interesse.

Das wirft viele Fragen auf: Wie verhält es sich mit Holdings – sind die Einzelunternehmen oder die gesamte Holding betroffen? Solche Fragen werden wahrscheinlich erst die Gerichte entscheiden.

Welchen Einfluss hat die Bundestagswahl?

In Deutschland wird im Herbst gewählt, und es ist durchaus denkbar, dass der neuen Bundesregierung die Grünen angehören werden. Ist das für Sie ein Grund, auf eine schnelle europäische Regulierung zu hoffen?

Steven Heckler: Die parlamentarischen Beratungen im EU-Parlament beginnen nach aktuellem Stand erst im September. Überdies sind die europäischen Staaten uneins: Einigen geht die Regulierung nicht weit genug. Andere bremsen eher, darunter auch Deutschland wegen der eigenen Gesetzesinitiative. Mancherorts ist man auch skeptisch, weil die Verwaltung und damit ein Teil des eigenen Hoheitsbereichs in die Regulierung einbezogen ist.

Was die Grünen angeht: Eine grüne Regierungsbeteiligung könnte die Position Deutschlands bezüglich NIS-2 verändern. Ähnlich wie die deutsche Industrie sprechen sich die Grünen für eine Stärkung kryptografischer Verfahren sowohl im wirtschaftlichen als auch im privaten Bereich aus. Und sie befürworten ein strukturiertes Schwachstellen-Management, bei dem der Staat sein Wissen über Schwachstellen nicht zurückhalten darf. Denn nur schnellstmöglich gepatchte Schwachstellen sind nicht mehr gefährlich.

(ID:47372208)

Über den Autor

lic.rer.publ. Ariane Rüdiger

lic.rer.publ. Ariane Rüdiger

Freie Journalistin, Redaktionsbüro Rüdiger