Die digitale Infrastruktur schützen

Die digitale Infrastruktur, die Systeme der Information und Telekommunikation, sind das Rückgrat unserer modernen Gesellschaft. Um diese auch in Zukunft zu schützen, hat der Deutsche Bundestag das IT-Sicherheitsgesetz beschlossen.

 Wirtschaft und Bürger profitieren hiervon in vielfältiger Weise. Gleichzeitig wächst aber auch die Abhängigkeit von ihnen. Deshalb ist es wichtig, dass diese Systeme jederzeit verfügbar und sicher sind. Dies gilt ganz besonders für die sogenannten kritischen Infrastrukturen, die für das Gemeinwesen von zentraler Bedeutung sind.

Das Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme, das der Bundestag am Freitag, den 12. Juni 2015 verabschiedete, soll dazu einen Beitrag leisten. Das Bundesamt für Sicherheit in der Informationstechnik geht davon aus, dass allein in Deutschland mehr als eine Million Internetrechner Teil eines sogenannten Botnetzes sind, dass also auf ihnen unerkannt ein ferngesteuertes Programm abläuft. Damit können diese Rechner jederzeit für IT-Angriffe missbraucht werden, ohne dass ihr Betreiber es bemerkt. Mehr als 250 Millionen Varianten von Schadprogrammen sollen schon in Umlauf sein, und täglich kommen über 300.000 neue Varianten hinzu. Alle Experten sind sich einig: Die Bedrohung ist nicht zu unterschätzen.

Das IT-Sicherheitsgesetz enthält mit Blick auf diese Bedrohungslage zwei wichtige Bestandteile. Zum einen sieht es Maßnahmen zum Schutz kritischer Infrastrukturen vor, das sind neben der Versorgung mit Energie, Wasser oder Geld auch die Verkehrsinfrastruktur und die Gesundheitsversorgung. Sicherheit bedeutet hier, dass diese Netze jederzeit verfügbar sind und ohne Störungen betrieben werden können. Deshalb werden
die Betreiber solcher kritischer Infrastrukturen künftig verpflichtet, Mindeststandards an IT-Sicherheit einzuhalten. Erhebliche Sicherheitsvorfälle müssen sie an das Bundesamt für Sicherheit in der Informationstechnik melden. Diese Informationen werden ausgewertet und anschließend anderen Betreibern kritischer
Infrastrukturen zur Verfügung gestellt, damit diese Abwehrmaßnahmen treffen können.

Weiterverbreitung von Viren oder Trojanern unterbinden

Zum anderen enthält das Gesetz Vorschriften, damit auch andere IT-Systeme sicherer werden. So werden die Betreiber von Webseiten – etwa Onlineshops – verpflichtet, ihre IT-Systeme jederzeit wirksam vor unerlaubten Zugriffen zu schützen. So soll verhindert werden, dass über unzureichend geschützte Webserver Viren, Trojaner und andere Schadprogramme weiter verbreitet werden. Telekommunikationsunternehmen werden verpflichtet, ihre Kunden zu warnen, wenn sie bemerken, dass deren Anschluss für Angriffe missbraucht wird. Gleichzeitig sollen sie ihre Kunden auf mögliche Wege zur Beseitigung der schädlichen Software hinweisen. Zwar machen das schon heute viele Telekommunikationsunternehmen, aber eben nicht alle. Schließlich erhält das Bundesamt für Sicherheit in der Informationstechnik die Erlaubnis, bestimmte IT-Produkte auf deren Sicherheit zu überprüfen und die Ergebnisse bei Bedarf zu veröffentlichen. Das erhöht für die Kunden die Transparenz. Außerdem erhält die Sicherheit als eines von vielen Merkmalen eines IT-Produktes so einen höheren Stellenwert. Mit dem IT-Sicherheitsgesetz wird ein wesentlicher Baustein der Digitalen Agenda umgesetzt.