Berlin. Nach den jüngsten weltweiten Cyber-Attacken fordert der Bundesminister für digitale Infrastruktur, Alexander Dobrindt, eine Verschärfung des IT-Sicherheitsgesetzes. Die IT-Sicherheit sei nur gewährleistet, wenn die Bedrohungslage ständig beobachtet und die Sicherheitsarchitektur ständig weiterentwickelt werde. „Dabei ist wichtig, dass bei IT-Störungen zwingend die Ereignisse an das Bundesamt für Sicherheit in der Informationstechnik gemeldet werden, um daraus Schlüsse zu ziehen und im Zweifel Gegenmaßnahmen zu entwickeln“, erklärte der CSU-Politiker in der „Passauer Neuen Presse”. „Dazu müssen im IT-Sicherheitsgesetz die Vorkehrungen getroffen werden“, machte er deutlich. Zuvor hatte bereits Innenminister Thomas de Maiziere (CDU) gefordert, sein Verordnungsentwurf zu verbesserter IT-Sicherheit in Transport- , Gesundheits- und Finanznetzen müsse nun beschlossen werden.
Das IT-Sicherheitsgesetz ist bereits seit Mitte 2015 in Kraft. Es fehlt aber noch die zweite Kritis-Verordnung, die genauere Vorgaben zur Umsetzung in den Wirtschaftzweigen Transport und Verkehr, Gesundheit sowie Finanz- und Versicherungswesen macht. Im IT-Sicherheitsgesetz geht es um den Schutz von Bereichen, in denen ein Ausfall der Systeme schwere Folgen für die Bevölkerung hätte. Dazu gehören auch Unternehmen des Transport- und Verkehrsgewerbes. Mit der Umsetzung des gesetzlichen Mindeststandards sind mitunter nicht nur zusätzliche Kosten verbunden, sondern auch Umstellungen im Betriebsablauf. Denn das Gesetz verpflichtet die Betreiber kritischer Infrastrukturen, erhebliche Störungen ihrer Computer oder Netzwerke – etwa durch Schadprogramme oder Hacker-Angriffe – anonym dem Bundesamt für Sicherheit in der Informationstechnik (BSI) zu melden.
Verkehrsverbänden ging Verordnungsentwurf zu weit
Die zweite Kritis-Verordnung sollte eigentlich schon im Frühjahr vorliegen. Die Verbände des Speditions- und Logistikgewerbes hatten aber gegen den hohen Aufwand und die bisweilen zu strengen Anforderungen an ihre Mitgliedsunternehmen protestiert und praxisnähere Bestimmungen gefordert. Daraufhin wollte das zuständige Bundesinnenministerium die zweite Kritis-Verordnung noch einmal überarbeiten. Am Rande der Messe Transport Logistic berichteten IT-Sicherheitsexperten aus der Verkehrsbranche nach der Änderung stehe eine Veröffentlichung nun unmittelbar bevor. Wie aus Verbands- und Ministeriumskreise zu hören war, wird die Forderungen der beiden Minister aber nicht dazu führen, dass die Regelungen für Verkehrs- und Transportunternehmen weiter verschärft werden oder der ursprüngliche Entwurf wieder zum Tragen kommt. (ag)
