19.11.2012 Deutscher Industrie- und Handelskammertag 3 Zentrale Regelungsinhalte zur Verbesserung der IT-Sicherheit Wir bedanken uns für die Möglichkeit, zu den Eckpunkten des Bundesministeriums des Innern zu zentralen Regelungsinhalten zur Verbesserung der IT-Sicherheit Stellung zu nehmen. Im Zuge der zunehmenden Digitalisierung ganzer Wertschöpfungsprozesse gewinnen Fragen der IT-Sicherheit an Bedeutung für viele Branchen. Internetpräsenzen, aber auch DV-Anlagen von Unternehmen können manipuliert und wichtige Kundendaten, Betriebsgeheimnisse, Inhalte der Finanzbuchhaltung oder Softwareprodukte verändert, gelöscht oder gestohlen werden. Unternehmen werden zunehmend zum Angriffsziel national und international agierender Täter bzw. Tätergruppen. Die Bedrohungspotenziale in den Unternehmen sind unterschiedlich und erfordern somit auch differenzierte Maßnahmen. a) Der Großteil der Produktions- oder Dienstleistungsbetriebe nutzt die IT bzw. Datenlogistik lediglich als Teil der Lieferkette und sichert diese berechtigterweise genauso wie andere Produktionsteile ab. b) Darüber hinaus gibt es weitere Unternehmen, deren Geschäftsmodell in nennenswertem Maße auf dem Einsatz von IT-basiert, um die Produktion und die Dienstleistung überhaupt möglich zu machen. c) Bei einer weiteren Kategorie handelt sich um so genannte kritische Infrastrukturen im engeren Sinne wie Energie- oder Telekommunikationsnetze. In diesen Bereichen gibt es hochsicherheitsbedürftige Daten, die per se durch ihre Existenz Ziel von Attacken sind. Die Nichtbeachtung von IT-Sicherheit und Datenschutz kann hier schnell zu einem existenzbedrohenden Risiko werden mit Auswirkungen auf andere Wirtschaftsbereiche, Nachfrager und zum Teil der gesamten Volkswirtschaft. Unternehmen in diesem Bereich müssen sich deshalb naturgemäß schon seit vielen Jahren mit möglichen Formen von Angriffen auf deren Systeme und Infrastrukturen auseinandersetzen. - 1 -
Prinzipiell gehen wir davon aus, dass ein Eigeninteresse der Unternehmen besteht, die Sicherheit und Transparenz gegenüber ihren Kunden und den Sicherheitsbehörden zu erhöhen. Sie werden deshalb freiwillige Aktivitäten entfalten auch ohne gesetzliche Vorgaben. Angesichts zahlreicher Initiativen zur Verbesserung der IT-Sicherheit in der Wirtschaft und des bestehenden Eigeninteresses der relevanten Unternehmen an Sicherheitsmaßnahmen müsste unserer Ansicht nach jedoch vor einer gesetzlichen Regelung gemeinsam mit den Betroffenen besprochen werden, ob eine solche Regelung überhaupt notwendig ist und wie sie gegebenenfalls konkret ausgestaltet sein könnte. Wir stellen in Zweifel, dass ein solches Gesetzesvorhaben noch in dieser Legislaturperiode gründlich mit allen Beteiligten diskutiert und verabschiedet werden kann. Diskussionsbedarf sehen wir insbesondere im Hinblick auf die Frage, wer die Kosten solcher Verpflichtungen tragen soll. Gegen eine schnelle Verabschiedung eines Gesetzes spricht zudem, dass die EU-Kommission zur Zeit eine Internet Security Strategy ausarbeitet. Darin sollen der Aufbau eines europäischen Frühwarnsystems, der Umgang mit Sicherheitsvorfällen sowie entsprechende Förderschwerpunkte im kommenden Forschungsrahmenprogramm konkretisiert werden. Wir empfehlen, bei eventuellen gesetzgeberischen Maßnahmen auf den europäischen Aktivitäten aufzusetzen. Zu den Eckpunkten im Einzelnen: Pflicht zur Erfüllung von Mindestanforderungen für Betreiber kritischer Infrastrukturen Offen bleibt die Frage, was genau die wichtigsten kritischen Infrastrukturen sind und wann genau ein Unternehmen eine "kritische Infrastruktur" ist und damit unter das Gesetz fiele. Das BMI hat im Rahmen der KRITIS-Strategie Wirtschaftssektoren identifiziert und sicher gibt es Unternehmen, die eindeutig im Definitionsbereich liegen. Bei anderen dürfte eine Abgrenzung, ob sie vom Anwendungsbereich erfasst sind, schwerer fallen. Hier ist eine klare Definition gefragt. Geprüft werden sollte, wie auf freiwilliger Basis eine breitere Umsetzung der Nationalen Strategie zum Schutz kritischer Infrastrukturen (KRITIS) über die bislang eingebundenen Beteiligten hinaus erreicht werden könnte. - 2 -
Ein direkter Ansatz, Sicherheit auf alle Branchen zu übertragen, wäre, die IKT-Infrastrukturen und -Dienste insgesamt sicherer zu machen. Denn IT-Sicherheit fängt bereits bei der Produktion von Hard- und Software an. Hier steht der jeweilige Hersteller, die IT-Industrie, in der Pflicht, Schwachstellen-Meldungen in IT-Systemen und entsprechende Sicherheitsmaßnahmen (z. B. der Bereitstellung von Sicherheits-Software-Updates) zeitnah über einen dezidierten Informationsdienst zu liefern. Pflicht zur Meldung erheblicher IT-Sicherheitsvorfälle für Betreiber kritischer Infrastrukturen Verständlicherweise sind Unternehmen sehr zurückhaltend mit der Meldung erlittener Angriffe. Offensichtlich besteht hier eine Vertrauenslücke zwischen Wirtschaft und staatlichen Ermittlungsbehörden. Statt einer gesetzlichen Verpflichtung, Attacken zu melden, besteht ein richtiger Schritt darin, erst eine Vertrauensbasis herzustellen, die Grundlage für eine Diskussion und Zusammenarbeit privater Unternehmen und öffentlicher Stellen ist. Eine Meldepflicht von Cyber-Attacken ist nach Ansicht des DIHK auch aufgrund der hohen Angriffszahlen und der unterschiedlichen Qualitäten praktisch schwer umsetzbar. Für viele Unternehmen gestaltet sich bereits eine Kategorisierung schwierig. Zudem wäre eine Kontrolle der gesetzlichen Vorgabe in der Praxis kaum möglich. Eine derartige Verpflichtung hätte einen erheblichen bürokratischen Aufwand bei den Unternehmen zur Folge, dessen Mehrwert in Frage steht. Aus dem Eckpunktepapier geht nicht hervor, ob und wie die Unternehmen, die Meldungen abgegeben, gegebenenfalls unterstützt werden. Hilfreich wären sicher zielgerichtete, verständlich aufbereitete und aktuelle Informationen von BSI, BMI und dem Cyber-Abwehrzentrum. Der Weg der freiwilligen Meldungen im Sinne einer Selbstregulierung der Wirtschaft ist unserer Ansicht nach der richtige Ansatz. Die Allianz für Cyber Sicherheit steht erst am Anfang und sollte weiter ausgebaut werden. Wir gehen davon aus, dass dies ein sinnvoller Ansatz für eine Zusammenarbeit und einen Austausch unterhalb einer gesetzlichen Meldepflicht oder normierter Informationsstrukturen darstellt. - 3 -
Pflicht zur Erfüllung von Mindestanforderungen und Pflicht zur Meldung erheblicher IT- Sicherheitsvorfälle für Telekommunikationsanbieter In der IKT-Branche gehört die Befassung mit Sicherheitsfragen zum Tagesgeschäft. Ohne spezielle Sicherheitsvorkehrungen würden die Geschäftsmodelle kaum mehr funktionieren. Deshalb ist davon auszugehen, dass gerade die IKT-Branche in Bezug auf Sicherheitsthemen per se vorbildhaft aufgestellt ist und sich zusätzliche Verpflichtungen erübrigen. Auch die Energie- und Wasserwirtschaft haben in der Vergangenheit bereits zahlreiche Maßnahmen zur IT-Sicherheit ihrer Kraftwerke, Kläranlagen oder Netze unternommen. Schon heute bestehen auf Grundlage unterschiedlicher Gesetze Melde- und Transparenz-Pflichten sowie spezielle Sicherheitsvorschriften für die IKT-Branche. So enthalten 109 und 109a Telekommunikationsgesetz klare Regelungen für technische Schutzmaßnahmen von Telekommunikationsanbietern. Diese unterliegen auch bereits einer Meldepflicht allerdings gegenüber der Bundesnetzagentur. Eine zusätzliche Meldepflicht gegenüber dem BSI würde einen nicht zu rechtfertigenden bürokratischen Mehraufwand für diese Unternehmen bedeuten. Insofern sehen wir keinen zusätzlichen Regelungsbedarf für Unternehmen im Anwendungsbereich des TKG, wohl aber Bedarf an klaren Zuständigkeitsregelungen bzw. zumindest Abstimmungsbedarf zwischen den Aufsichtsbehörden. Verpflichtung der Telekommunikationsanbieter, ihre Nutzer bzgl. Schadprogrammen zu informieren und zu helfen Schon heute bestehen auf freiwilliger Basis Initiativen der Wirtschaft, z. B. mit dem Anti-Botnet- Beratungszentrum oder der Initiative S, die die Nutzer direkt unterstützen. Solche Initiativen ließen sich auch ohne gesetzliche Vorgaben im marktlichen Umfeld weiter ausbauen. Eine gesetzliche Verpflichtung für Anbieter, entsprechende Hilfsmittel zur Verfügung zu stellen, wirft automatisch die Frage auf, wer die Kosten dafür trägt. Unklarheit besteht auch in Bezug auf damit einher gehende Haftungsfragen. Wenn vor Schadsoftware gewarnt wird, dürfen damit keine Haftungsansprüche verbunden sein. Im Übrigen wären auch in diesem Fall sicher zielgerichtete, verständlich aufbereitete und aktuelle Informationen von BSI, BMI und dem Cyber-Abwehrzentrum eine sinnvolle Ergänzung. - 4 -
Die BMWi-Taskforce für Sicherheit in der Wirtschaft liefert bereits wertvolle Anstöße. In diesem Rahmen sollte über die Einführung weiterer Hilfsangebote auf freiwilliger Basis diskutiert werden. Pflicht zur Erfüllung von Mindestanforderungen an IT-Sicherheit für Telemedienanbieter Sollte eine solche Verpflichtung als ein Hebel zur Verbesserung der IT-Sicherheit genutzt werden, müsste der "zumutbare Umfang" weiter konkretisiert werden. Befugnis des BSI zur Untersuchung von Hard- und Softwarekomponenten und Veröffentlichung der Ergebnisse Zu dem hier genannten Eckpunkt lassen sich momentan keine konkreten Aussagen treffen, da nicht abschätzbar ist, inwieweit damit Eingriffe in die technischen Systeme der Unternehmen verbunden wären. Wir behalten uns Konkretisierungen vor, sobald detailliertere Vorgaben zur Diskussion gestellt werden. Ansprechpartner im DIHK: Dr. Sebastian Bolay, E-Mail: bolay.sebastian@dihk.de, Telefon; 030 20 308 2202 Dr. Katrin Sobania, E-Mail: sobania.katrin@dihk.de, Telefon 030 20 308 2109-5 -