piwik no script img

taz zahl ich

Pläne für mehr IT-SicherheitAngriffsschutz mit Schwachstellen

Ein neues Gesetz soll für mehr IT-Sicherheit sorgen. Ex­per­t:in­nen kritisieren bei einer Anhörung Lücken – darunter eine zentrale.

Buchstaben und Zahlen leuchten auf einem Bildschirm, auf dem ein Hacker-Programm geöffnet ist
Cyberangriffe sind für Unternehmen und Verwaltung eine ständig wachsende Bedrohung Foto: Sina Schuldt/dpa
Von Svenja Bergt

Berlin taz | Die Bundesregierung muss auf eine EU-Richtlinie hin dafür sorgen, dass Unternehmen mehr für ihre IT-Sicherheit tun. Doch Ex­per­t:in­nen haben bei einer Anhörung im Innenausschuss das geplante Gesetz zur Umsetzung der EU-Regeln scharf kritisiert. „Der Entwurf enthält zu viele Schwächen und Unklarheiten, die der Erhöhung des Cybersicherheitsniveaus leider nicht förderlich sind“, sagte der Sachverständige Dennis-Kenji Kipker, Professor für IT-Sicherheitsrecht an der Universität Bremen.

Cyberangriffe sind für Unternehmen und Verwaltung ein finanzielles und ein Sicherheitsrisiko. Laut dem IT-Verband Bitkom waren, Stand August, in den davorliegenden zwölf Monaten 81 Prozent aller Unternehmen von Angriffen auf die IT-Infrastruktur betroffen. Der entstandene Schaden sei von 205,9 Milliarden Euro im Vorjahreszeitraum auf 266,6 Milliarden Euro gestiegen.

Die EU will dieses Problem unter anderem mit der Netz- und Informationssysteme-Richtlinie (NIS2) angehen. Verabschiedet wurde das Regelwerk vor zwei Jahren und eigentlich hätte Deutschland es bis Oktober in nationales Recht umsetzen müssen. In Deutschland müssen bislang vor allem Unternehmen der sogenannten Kritischen Infrastruktur, zum Beispiel Wasser- und Energieversorger, definierte Regeln in Sachen IT-Sicherheit einhalten.

Mit der Umsetzung der Richtlinie, so die Einschätzung des Bundesamtes für Sicherheit in der Informationstechnik (BSI), sei mit einer „erheblichen Zunahme der Zahl von Unternehmen und Einrichtungen, die künftig Registrierungs-, Nachweis- und Meldepflichten gegenüber dem BSI zu erfüllen haben“, zu rechnen. Schätzungen gehen von rund 30.000 betroffenen Unternehmen aus.

Unternehmen ja, Behörden nein?

Zentraler Kritikpunkt in der Anhörung waren die umfassenden Ausnahmen für Behörden und Ministerien. „Wir haben eher ein Cyberschwächungsgesetz“, sagte der Sachverständige Timo Kob von der IT-Beratungsfirma HiSolutions. Man brauche ein einheitliches Sicherheitsniveau, statt Ausnahmen für Ministerien und reduzierte Anforderungen für nachgeordnete Behörden.

Von einer „Glaubwürdigkeitslücke“, sprach Bitkom-Vertreter Felix Kuhlenkamp, wenn einerseits die Anforderungen für Unternehmen hochgeschraubt werden, der Staat sich aber Ausnahmen einräumt.

Die Ex­per­t:in­nen wiesen außerdem darauf hin, dass die Gesetzgebung zu Cybersicherheit in Deutschland insgesamt fragmentiert und uneinheitlich sei. „Das ist weder effektiv, noch effizient, noch im Sinne der Cybersicherheit dieses Landes“, sagte Sven Herpig, IT-Experte vom Thinktank interface.

„Wir brauchen einen ganzheitlichen Ansatz“, forderte IT-Sicherheitsprofessor Kipker. Es gehe nicht nur um Cybersicherheit, sondern um digitale Resilienz – also die Widerstandsfähigkeit von Strukturen und Institutionen, wenn es zu einem Angriff oder einer Störung kommt.

Herpig forderte zudem mehr Aus- und Weiterbildungsmaßnahmen für IT-Sicherheitskräfte. Der Markt sei jetzt schon leergefegt, es brauche Fachkräfte, damit die Unternehmen, die von den neuen Regeln betroffen sein werden, diese auch umsetzen können.

Mit reinem Gewissen wissen

Auf taz.de finden Sie eine unabhängige, progressive Stimme. Frei zugänglich, ermöglicht von unserer Community. Alle Informationen auf unserer Webseite sind kostenlos verfügbar. Wer es sich aber leisten kann, darf – ganz im Zeichen des heutigen "Tags des guten Gewissens" – einen kleinen Beitrag leisten. Unsere Leser:innen müssen nichts bezahlen, wissen aber, dass guter, kritischer Journalismus nicht aus dem Nichts entsteht. Dafür sind wir sehr dankbar. Damit wir auch morgen noch unseren Journalismus machen können, brauchen wir mehr Unterstützung. Unser nächstes Ziel: 50.000 – und mit Ihrer Beteiligung können wir es schaffen. Setzen Sie ein Zeichen für die taz und für die Zukunft unseres Journalismus. Mit nur 5,- Euro sind Sie dabei! Jetzt unterstützen

Themen #Cybersicherheit #IT-Sicherheit #Cyberattacke #Resilienz
Feedback Kommentieren Fehlerhinweis
Mehr zum Thema
Portrait von Lilith Wittmann

Hackerin über die Branche

„Ich versuche, eine Frau als Vorgesetzte zu haben“

Lilith Wittmann deckt Sicherheitslücken bei Behörden und Firmen auf. Ein Gespräch über Spaß beim Hacken, ihre Motivation und Männer in IT-Berufen.
Interview von Katrin Gottschalk
Chinesische Arbeiter laufen vor rot-weißen Windturbinenblätter, die auf blauen Gestellen gelagert sind

Sicherheit und Energiewende

Angst vor Windparks mit chinesischer Technik

Kritische Infrastruktur mit chinesischen Anlagen, wie sie in der Nordsee geplant sind, könnte zum Sicherheitsrisiko werden, sagt eine neue Studie.
Von Bernward Janzing
Szene einer Serie mit Robert De Niro.

Netflix-Thrillerserie „Zero Day“

Blackout in Amerika

In der Serie „Zero Day“ legt eine Cyberattacke die USA lahm und bringt die Demokratie ins Wanken – toll inszeniert und hochkarätig besetzt.
Von Florian Schmid

10 Wochen taz + Buch „Autoritäre Rebellion“

Gegen Rechtsruck hilft Linksblick

Zeiten wie diese brauchen Seiten wie diese: unabhängig, konzernfrei und mit klarer Kante gegen Faschismus, Rassismus und Rechtsruck. Teste jetzt die taz und erhalte das neue Buch „Autoritäre Rebellion“ von Rechtsextremismus-Experten Andreas Speit als Prämie.
Auswählen

2 Kommentare

 / 
  • G

    Umfassende Ausnahmen für Behörden und Ministerien machen überhaupt keinen Sinn! Warum sollte für sie denn die Bedrohungslage geringer sein?

    Als IT‘ler kann man über so einen Schwachsinn nur den Kopf schütteln 🤦‍♂️

    •
      @Grenzgänger:

      Aus Sicht einer Behörde ergibt das durchaus Sinn. Behörden, bzw. bürokratische Organisationen im Allgemeinen, optimieren auf Selbsterhalt und Wucherung, nicht auf sowas nebensächliches wie IT Sicherheit. IT Sicherheit nützt einer Behörde ja nichts & bringt nur Anpassungsstreß. Das ist für bürokratische Strukturen vermeidbar durch diesen einfachen Regelkreis:

      1) Spart Geld das man für den Ausbau & Bestandssicherung der Behörde besser nutzen kann (der zweck bürokratischer Strukturen ist der Selbsterhalt, nicht ein bestimmter Zweck & schon gar nicht für die Steuerzahler)

      2) Wenn die Behörden-IT es - voraussichtlich - verbockt kann sind die smarten, bösen Hacker ja schuld. Aka "Computerproblem, kann man nichts machen(tm)" & man hat schon immer gewusst das der ganze IT Kram nicht sicher sein kann (FAX ist Trumpf). Aber man könnte ja vielleicht wenn mehr Steuerzahlergeld in die Behördenkasse käme - & hier schließt sich schon der Kreis zu (1).

meistkommentiert

1

Koalitionsverhandlungen

Der SPD scheint zu dämmern: Sie ist auf Merz reingefallen

2

Parkinson durch Pestizide

Bauernverband gegen mehr Hilfe für erkrankte Bauern

3

Iranische Aktivistin über Asyl

„Das Bamf interessiert wirklich nur, ob du stirbst“

4

Anlegen nach dem Crash

Ruhe bewahren oder umschichten

5

Strafe wegen Anti-AfD-Symbolik

Schule muss Tadel wegen Anti-AfD-Kritzeleien löschen

6

Von Frankreich lernen

Wie man Rechtsextreme stoppt