„Mit der nun verabschiedeten Strategie 2016 wird die Sicherheitsarchitektur für den digitalen Raum in Deutschland auf einen neuen Stand gebracht. Das ist wichtig, denn die Anforderungen an die IT-Sicherheit wachsen mit der zunehmenden Digitalisierung sowie einer immer dezentraler werdenden Energiewende“, sagte Stefan Kapferer, Vorsitzender der BDEW-Hauptgeschäftsführung, mit Blick auf die neue Cyber-Sicherheitsstrategie. Vor allem Kritische Infrastrukturen – ein Kernpunkt der Cyber-Sicherheitsstrategie – müssten geschützt werden.
Die Gründung von IT-Expertenteams mit Ansiedlung bei den Bundesbehörden sei ein wichtiger Ansatz, um die Unternehmen künftig bei der Erkennung und Abwehr digitaler Angriffe zu unterstützen. Die Strategie sehe außerdem vor, IT-Fachkräfte der Unternehmen temporär einzusetzen. Hierzu Kapferer: „Wie dieser ‚Personalaustausch‘ konkret aussehen soll, wird bisher nicht klar. Hier muss der Gesetzgeber spezifizieren. Fraglich ist jedoch, wie praktikabel ein ‚Ausleihen‘ von Fachkräften – zumal auf ehrenamtlicher Basis – ist. Die Unternehmen leisten bereits einen erheblichen Beitrag zur Umsetzung der IT-Sicherheit und bilden ihre Experten gezielt für die eigenen Belange aus. Anstatt überwiegend auf die Kompetenz der Privatwirtschaft zu setzen, sollte das Bundesamt für Sicherheit in der Informationstechnik (BSI) klare Zuständigkeiten schaffen und eigenständige Expertenteams zentral im Cyber-Abwehrzentrum aufbauen.”
Cyber-Sicherheit im Energiebereich
Der Sektor Energie hat schon seit Langem eine Vorreiterrolle beim Thema Cyber-Sicherheit: Beispielsweise beteiligen sich viele Unternehmen seit Jahren an länderübergreifenden Krisenübungen. Zudem haben Betreiber von Kritischen Infrastrukturen im Bereich Energie als erster Sektor das Melden von IT-Sicherheitsvorfällen an das BSI eingeführt. „Bei der nun angedachten Ausweitung der Meldepflichten auf weitere Unternehmen sollte sichergestellt werden, dass dadurch die IT-Sicherheit tatsächlich erhöht wird: Sicherheitsvorfälle dürfen nicht aus rein statistischen Gründen abgefragt werden. Stattdessen sollten Meldepflichten zu einem stärkeren Informationsaustausch zwischen den Unternehmen beitragen und dadurch beispielsweise als Früh-Warnsystem wirken“, so Kapferer.
Darüber hinaus sei es wichtig, die Aktivitäten aller europäischen Mitgliedsstaaten beim Thema IT-Sicherheit voranzubringen. Mit der EU-Richtlinie zur Erhöhung der Netz- und Informationssicherheit sei zwar die Richtung für gemeinsame Standards und eine verstärkte Zusammenarbeit zwischen EU-Ländern vorgegeben, die Umsetzung in den Mitgliedsstaaten sei jedoch aktuell sehr unterschiedlich.
Hintergrund:
Die Cyber-Sicherheitsstrategie wurde erstmals im Jahr 2011 verabschiedet. Sie gilt als eine der Grundlagen für das im Jahr 2015 in Kraft getretene IT-Sicherheitsgesetz. Nun wurde die Cyber-Sicherheitsstrategie überarbeitet.
Die EU-Richtlinie zur Erhöhung der Netz- und Informationssicherheit (NIS) ist im August 2016 verabschiedet worden. Sie verpflichtet die Mitgliedsstaaten beispielsweise zur Umsetzung von Mindeststandards zur IT-Sicherheit in nationales Recht (Frist: Mai 2018).
Kritische Infrastrukturen sind Organisationen oder Einrichtungen mit großer Bedeutung für das staatliche Gemeinwesen, bei deren Ausfall oder Beeinträchtigung nachhaltig wirkende Versorgungsengpässe oder erhebliche Störungen der öffentlichen Sicherheit eintreten würden. Darunter fallen unterschiedliche Anlagentypen, z.B. in den Sektoren Energie, Wasser und Ernährung.