Hacker-Angriffe und IT-Sicherheitsgesetz Mehr Schutz für die Behörden-IT

Mitte Mai 2015 wurde der Deutsche Bundestag Ziel eines massiven Hackerangriffs über mehrere Tage hinweg. Im Doppelinterview erläutern Staatssekretärin Brigitte Zypries und Syss-Chef Sebastian Schreiber die Bedeutung eines IT-Sicherheitsgesetzes für staatliche Stellen.

Anbieter zum Thema

Fujitsu Technology Solutions GmbH

mgm technology partners GmbH

SySS System Security Schreiber

Mitte Juni wurde das neue IT-Sicherheitsgesetz verabschiedet. Behörden und andere staatliche Organe werden im Gesetzesentwurf nicht als „Kritische Infrastruktur“ definiert, im Gegensatz etwa zu privatwirtschaftlichen Energieversorgern. Sollten staatliche Stellen in das IT-Sicherheitsgesetz mit einbezogen werden?

Schreiber: Meiner Auffassung nach stellt selbstverständlich auch ein leistungsfähiger, zuverlässiger Staatsbetrieb eine ganz zentrale Infrastruktur für die Bürger eines Landes, aber auch für dessen Wirtschaft dar. Insofern sind Ministerien und Behörden ebenfalls als Kritische Infrastrukturen zu bewerten. Hier sollten keine Ausnahmen gemacht, keine Rücksichten auf eventuelle Kompetenzstreitigkeiten genommen werden, wenn es um die Frage geht, wer hier wem „auf die Finger schaut“.

Bundestag verabschiedet IT-Sicherheitsgesetz

Auch Bundesverwaltung muss Bedrohungen melden

Zypries: Da kann ich Ihnen grundsätzlich zustimmen, aber lassen Sie mich etwas weiter ausholen: Informationstechnik ist fester Bestandteil fast aller Aktivitäten in Wirtschaft und Verwaltung. Daher muss auf eine funktionierende Informationstechnik gerade in den Bereichen kritischer Infrastrukturen besonderes Augenmerk gelegt werden. Und natürlich muss verhindert werden, dass dadurch Schwachstellen und leicht zu verletzende Angriffsziele entstehen. Der Begriff „Kritische Infrastrukturen“ muss sicherlich noch ausgefüllt werden, das kann in Verwaltungs- und Gerichtsverfahren anhand praktischer Fälle geschehen.

Ob Bundesbehörden grundsätzlich darunter zu fassen sind, ist eigentlich nicht der entscheidende Punkt. Denn die wesentlichen Verpflichtungen des aktuellen IT-Sicherheitsgesetzes gelten für die Bundesverwaltung schon seit Jahren. Bereits 2007 wurde vom Kabinett der Umsetzungsplan Bund zum Nationalen Plan zum Schutz der Informationsinfrastrukturen in Deutschland beschlossen. Und bereits 2008 erfolgte eine Novelle des BSI-Gesetzes. Bei dieser ging es in wesentlichen Teilen um die Ausweitung von Zuständigkeiten des BSI gegenüber der Bundesverwaltung. Insgesamt obliegen dadurch der Bundesverwaltung erhebliche Pflichten zur Absicherung ihrer IT-Systeme gegen Cyberattacken und auch eine Meldepflicht gegenüber dem BSI.

Die zahlreichen Angriffe auf das Bundesbehördennetz – aber leider auch einige erfolgreiche Angriffe auf einzelne behördliche IT-Systeme – machen deutlich, dass die Verwaltung bei weiteren Umsetzungsschritten zur Erhöhung der IT-Sicherheit nicht Halt machen darf. Und das ist den Verantwortlichen natürlich bewusst.

Ich möchte an dieser Stelle auf den soeben vom Kabinett beschlossenen Bericht zur IT-Konsolidierung Bund hinweisen. Ein ganz wichtiger treibender Punkt ist dabei auch die Verbesserung der IT-Sicherheit durch eine direkte Einbindung des BSI. Reaktionszeiten auf Vorfälle und Krisensituationen sollen damit erheblich verkürzt werden. Außerdem sollen die Fachexpertise entsprechend gebündelt und Sicherheitsstandards zentral und damit schneller umgesetzt werden. Sie sehen also, dass die Bundesverwaltung ebenfalls dabei ist, Verpflichtungen zur Verbesserung der Cybersicherheit umzusetzen.

Lesen Sie auf der nächsten Seite weiter.

(ID:43473867)