Mit der digitalen Durchdringung unserer Gesellschaft wächst die Abhängigkeit von IT-Systemen im wirtschaftlichen, gesellschaftlichen und persönlichen Bereich und damit die Bedeutung der Verfügbarkeit und Sicherheit der IT-Systeme sowie des Cyberraums insgesamt.

In Deutschland ist schon heute quer durch alle Branchen mehr als die Hälfte aller Unternehmen vom Internet abhängig – mit steigender Tendenz. Die Bundesregierung hat am 20. August 2014 die Digitale Agenda für Deutschland beschlossen. Sie ist strategische Leitlinie für das netzpolitische Handeln der Bundesregierung. Mit dem Entwurf eines IT-Sicherheitsgesetzes hat die Bundesregierung Ende 2014 eines der ersten konkreten Vorhaben aus der Digitalen Agenda auf den Weg gebracht. Der Gesetzentwurf sieht in seinem Kern IT-Mindeststandards und Meldepflichten für Betreiber Kritischer Infrastrukturen vor.

IT-Sicherheitslage

Die Verfügbarkeit von IT-Systemen ist keine Selbstverständlichkeit. Wie sehr die Sicherheit unserer IT-Systeme tagtäglich bedroht wird, belegen eindrucksvoll die Zahlen aus dem kürzlich vorgestellten Lagebericht des Bundesamtes für Sicherheit in der Informationstechnik (BSI). Über 250 Millionen Varianten von Schadprogrammen befinden sich danach heute im Umlauf – und täglich kommen 300 000 neue Varianten hinzu. Das BSI geht davon aus, dass allein in Deutschland bereits mehr als eine Million Internetrechner Teil eines Botnetzes sind und damit jederzeit für IT-Angriffe missbraucht werden können. Und auch die Anzahl schwerer Sicherheitslücken in den meistverbreiteten IT-Systemen bewegt sich insgesamt auf einem sehr hohen Niveau.

In Deutschland gibt es bislang keine Verpflichtung für Unternehmen, gravierende IT-Sicherheitsvorfälle an das BSI zu melden. Ein entsprechender Austausch über Sicherheitsvorfälle findet, etwa im Rahmen des UP KRITIS oder der Allianz für Cyber-Sicherheit, allenfalls auf freiwilliger Basis statt. Über die bekannte Bedrohungslage hinaus muss daher mit einem hohen Dunkelfeld gerechnet werden. Bekannt ist aus dem letzten Jahr etwa der Fall eines gezielten Cyber-Angriffs auf ein Stahlwerk in Deutschland. Mittels eines Phishing-Angriffs und ausgefeiltem Social Engineering, also dem Versuch, das Opfer dazu zu verleiten, eigenständig Daten preiszugeben, Schutzmaßnahmen zu umgehen bzw. selbständig Schadprogramme auf seinem System zu installieren, erlangten die Angreifer dort zunächst Zugriff auf das Büronetz des Stahlwerks und arbeiteten sich dann sukzessive bis in die Produktionsnetze vor. In der Folge häuften sich die Ausfälle einzelner Steuerungskomponenten oder ganzer Anlagen, was dazu führte, dass ein Hochofen nicht geregelt heruntergefahren werden konnte. Die Folge waren massive Beschädigungen der Anlage. Aber nicht nur Internetrechner sind das Ziel von Angriffen: Der Computerwurm Stuxnet im Juni 2010 hat gezeigt, dass auch vom Internet abgekoppelte Prozesse und Systeme angreifbar sind und derartige Angriffe aufgrund des weitverbreiteten Einsatzes gleicher Systeme weitreichende Folgen haben können.

Die Gewährleistung von IT-Sicherheit hat dabei viele Facetten: Nüchtern betrachtet geht es um den Schutz elektronisch gespeicherter Informationen und deren Verarbeitung. In der Sache geht es aber um deutlich mehr. Es geht um den Schutz der Privatheit und Selbstbestimmung und um das, was die Menschen dem Internet anvertrauen. Für Unternehmen geht es um ihre Funktionsfähigkeit, den Schutz ihres Know-hows und ihr Bestehen am Markt. Und für die Gesellschaft als Ganzes sind sichere IT-Infrastrukturen das Rückgrat, ohne das das öffentliche Leben massiv beeinträchtigt würde.

Abb. 2:Anzahl Windows-Schadsoftwarevarianten.

Abb. 2:Anzahl Windows-Schadsoftwarevarianten.

IT-Sicherheitsgesetz

Der am 17. Dezember 2014 von der Bundesregierung verabschiedete Entwurf eines IT-Sicherheitsgesetzes richtet den Fokus auf die für das Wohl unserer Gesellschaft elementaren Bereiche, von der Energieversorgung bis zum Verkehr, vom Gesundheitswesen bis zu Banken und Versicherungen. Wie die Gespräche des Bundesinnenministers im Jahr 2012 mit Vertretern der verschiedenen KRITIS-Sektoren gezeigt haben, ist das IT-Sicherheitsniveau in diesen Sektoren noch sehr unterschiedlich. Und das, obwohl Ausfälle der von den Kritischen Infrastrukturen genutzten IT-Systeme weitreichende, schlimmstenfalls sogar dramatische Folgen für die Gesellschaft haben könnten. Es leuchtet daher unmittelbar ein, dass hier höhere Anforderungen an die IT-Sicherheit gelten müssen als in anderen Bereichen unseres gesellschaftlichen Lebens.

Nach dem Gesetzentwurf sollen die Betreiber Kritischer Infrastrukturen künftig einen Mindeststandard an IT-Sicherheit einhalten und erhebliche IT-Sicherheitsvorfälle an das BSI melden. Die beim BSI zusammenlaufenden Informationen werden ausgewertet und den Betreibern Kritischer Infrastrukturen sowie den zuständigen Behörden von Bund und Ländern schnellstmöglich zur Verfügung gestellt. Dadurch sollen die Betreiber in die Lage versetzt werden, Maßnahmen zum Schutz ihrer Infrastrukturen zu ergreifen, noch bevor sie möglicherweise selbst Opfer eines entsprechenden Angriffs werden. Die Betreiber Kritischer Infrastrukturen leisten so einen eigenen Beitrag zur IT-Sicherheit und bekommen dafür, da sie auch von den Meldungen der anderen Betreiber und der Auswertung dieser Meldungen durch das BSI profitieren, im Gegenzug ein Mehrfaches an Informationen und Know-how zurück. Es heißt oft, dass Informationen die Währung der digitalen Welt sind. In diesem Sinne zahlt der Staat in bar zurück – eine typische Win-win-Situation.

Abb. 3: Anzahl aller Schwachstellen der gelisteten Softwareprodukte. *Die Werte für das Jahr 2014 wurden auf Basis der ermittelten Anzahl der Schwachstellen bis September hochgerechnet.

Abb. 3: Anzahl aller Schwachstellen der gelisteten Softwareprodukte. *Die Werte für das Jahr 2014 wurden auf Basis der ermittelten Anzahl der Schwachstellen bis September hochgerechnet.

Neben dem gezielten Schutz der für das Funktionieren unserer Gesellschaft wesentlichen Einrichtungen geht das IT-Sicherheitsgesetz zudem in die „digitale Fläche“: Um die Internetnutzung insgesamt sicherer zu machen, wird das Sicherheitsniveau im Bereich der Telekommunikations- und Telemediendienste allgemein angehoben und das BSI in seiner Aufgabenerfüllung weiter gestärkt.

Arbeiten auf europäischer Ebene

Auch auf europäischer Ebene werden im Jahr 2015 die Weichen im Bereich IT-Sicherheit in entscheidender Weise gestellt. Dort wird der Entwurf einer Richtlinie zur Netz- und Informationssicherheit (NIS-Richtlinie) verhandelt. Wie beim IT-Sicherheitsgesetz steht auch hier der Schutz der IT Kritischer Infrastrukturen im Zentrum der Überlegungen. Deutschland wird seine Vorreiterrolle nutzen, um die national entwickelten Lösungsansätze des IT-Sicherheitsgesetzes auch in diesem Vorhaben fruchtbar zu machen.

Zusammenfassung

Mit der zunehmenden Digitalisierung und Vernetzung unserer Lebens- und Arbeitsbereiche ist eine dynamische Gefährdungslage für die IT-Sicherheit verbunden. IT-Sicherheit erreichen wir vor allem durch sichere IT-Systeme. Mit dem von der Bundesregierung Ende letzten Jahres verabschiedeten Entwurf eines IT-Sicherheitsgesetzes werden die nötigen Rahmenbedingungen geschaffen, damit die wichtigsten IT-Systeme in Deutschland so sicher wie möglich sind.

Den Entwurf des IT-Sicherheitsgesetzes finden Sie unter www.bmi.bund.de, den Bericht zur Lage der IT-Sicherheit in Deutschland unter www.bsi.bund.de.

Martin Schallbruch

SAMSUNG DIGITAL CAMERAAnschrift des Verfassers:
Bundesministerium des Innern
Leiter der Abteilung Informationstechnik, Digitale Gesellschaft
und ­Cybersicherheit
Alt-Moabit 101 D
10559 Berlin
E-Mail: ITII1@bmi.bund.de

Dipl.-Inform. Martin Schallbruch

geb. am 30. September 1965
Studium der Informatik, Rechtswissenschaft und Soziologie
1992 – 1998: Humboldt-Universität zu Berlin, wissenschaftlicher Mitarbeiter, Leiter eines IT-Servicezentrums
1998 – 2001: Bundesministerium des Innern, persönlicher Referent der Staats­sekretärin Brigitte Zypries
Seit Anfang 2002: IT-Direktor im Bundesministerium des Innern
Seit 2014: Leiter der Abteilung Informationstechnik, Digitale Gesellschaft und Cybersicherheit im Bundesministerium des Innern

Aufmacherbild: Abb. 3: Überblick: Ursachen und Wirkung der Gefährdungslage und der Vorfälle. (Bundesamt für Sicherheit in der Informationstechnik, Lagebericht „Die Lage der IT-Sicherheit in Deutschland 2014“)