WiFo-Vizepräsidentin Ines Zenke in der EID-Chronik über Cybersicherheit: "Mehr als nur Fachchinesisch"

In der Chronik 2019 des Energie Informationsdienstes (EID) äußert sich WiFo-Vizepräsidentin Prof. Dr. Ines Zenke über Cybersicherheit:

„Cybersicherheit? Ja klar, dafür haben wir eine Fachabteilung.“ Wenn Geschäftsführer und Vorstände so oder so ähnlich auf die Frage antworten, wie ihr Unternehmen auf Cyberangriffe vorbereitet ist, ähnelt dies dem Paradoxon Schrödingers Katze: Die Antwort ist richtig und falsch zugleich. Richtig, denn natürlich braucht ein Unternehmen Fachexperten, die sich mit dem Thema auskennen und die IT-Strukturen dem technischen State of the Art anpassen. Falsch deshalb, weil dies allein dem komplexen Thema Cybersicherheit nicht gerecht wird.

Unternehmensführung juristisch verantwortlich

Für die Maßnahmen zum Schutz des Unternehmens gegen Cyber-Angriffe ist der CEO verantwortlich. Das bedeutet umgekehrt, dass es eben nicht ausreicht, einen Chief Information Security Officer anzuheuern (den nicht jedes Unternehmen hat), Aufträge in die Fachabteilung zu delegieren und auf die Expertise der Mitarbeiterinnen und Mitarbeiter zu vertrauen. Die juristische Verantwortlichkeit führt heutzutage direkt zur Unternehmensführung, sowohl in zivilrechtlicher als auch in strafrechtlicher Hinsicht. Mal ganz abgesehen von finanziellen Risiken und Image-Schäden für das Unternehmen selbst, die ein Cyber-Angriff mit sich bringen kann.

Ganzheitlich und nachhaltig bekommt man die Cybersicherheit deshalb nur in den Griff, wenn sie Teil der unternehmerischen Compliance wird. Dazu gehört die Organisation von Verantwortungsketten, die Implementierung von Regeln mit regelmäßi- gen Tests auf Wirksamkeit und die Schulung der Mitarbeiter – Stichwort Human Firewall. Denn wenn es hart auf hart kommt, muss der CEO Rechenschaft darüber ablegen, dass sein Unternehmen wirklich alles getan hat, um sich bestmöglich vor Cyberangriffen zu schützen. Selig sind diejenigen, die in diesem Fall auf ihr gut aufgestelltes Com- pliance Management System verweisen können.

Besonders hohe Ansprüche gelten für Vertreter der kritischen Infrastrukturen, darunter Energieversorger und Netzbetreiber, durch das BSI-Gesetz und die BSI-Kritisverordnung. Diese Infrastrukturen sind für das Gemeinwohl unverzichtbar; ein Ausfall dürfte die öffentliche Ordnung empfindlich stören. Dass der Gesetzgeber diese Infrastrukturen gesondert betrachtet, ist daher sinnvoll. Ein Blick in die wirtschaftliche Realität zeigt nämlich: An Versuchen, sich in das IT-System von Energieversorgern zu hacken, mangelt es nicht. Man hört von Unternehmen, dass über hundert Angriffe am Tag auf die externen Gateways keine Seltenheit sind. Darunter sind Angriffe, die ganz gezielt auf die Maschinen- und Anlagensteuerung gehen.

Aktuell befindet sich das IT-Sicherheitsgesetz, dessen Version 2.0 unter anderem Änderungen für das BSI-Gesetz vorsieht, in der Novellierung – mit teils gravierenden Neuerungen für die betroffenen Unternehmen. Zum einen sieht der Referentenentwurf eine Ausweitung des Adressatenkreises vor: Entsorgung, Kultur und Medien, die Rüstungsindustrie und allgemein börsennotierte Unternehmen im ‚prime standard‘ sollen künftig mit in die Pflicht genommen werden.

Cybersicherheit „echtes Haftungsrisiko“

Aber nicht nur die Sektoren selbst werden erweitert, sondern auch die IT-Dienstleister und Diensteanbieter in den Kreis aufgenommen: Sie müssen in Form einer Erklärung die Vertrauenswürdigkeit der Kritis-Kernkomponenten über ihre gesamte Lieferkette hinweg bescheinigen. Treten Störungen der Verfügbarkeit, Integrität, Authentizität und Vertraulichkeit in den Produkten auf, sind die Dienstleister verpflichtet, das BSI unverzüglich in Kenntnis zu setzen. Im Sektor Energie zählen zu den Kernkomponenten: IT-Produkte für die Kraftwerksleittechnik, für die Netzleittechnik oder für die Steuerungstechnik, zum Betrieb von Anlagen oder Systemen zur Stromversorgung, Gasversorgung, Kraftstoff- oder Heizölversorgung oder Fernwärmever- sorgung. Da die Bußgeldtatbestände und die möglichen Geldbußen auf bis zu 20 Millionen Euro oder 4 Prozent des gesamten weltweit erzielten jährlichen Unternehmensumsatzes des vorangegangenen Geschäftsjahrs außerdem erweitert werden sollen, wird das Thema Cybersicherheit ein echtes Haftungsrisiko für Kritis-Unternehmen und deren Dienstleister.

BSI darf „offensiv eingreifen“

Das IT-Sicherheitsgesetz 2.0 soll also Umfang und Empfängerkreis deutlich erweitern. Um Cyber-Sicherheitsvorfällen insgesamt zu begegnen, sollen aber auch die Befugnisse des BSI erhöht werden. Und spätestens hier wird es richtig kritisch: Besteht Grund zur Annahme, dass in öffentlich erreichbaren IT-Systemen Sicherheitslücken bestehen, darf das BSI laut Referentenentwurf Maßnahmen zur Detektion und Auswertung von Schadprogrammen, Sicherheitslücken und anderen Sicherheitsrisiken durchführen. Das Bundesamt darf also in die IT-Systeme eines Großteils der deutschen Wirtschaft offensiv eingreifen. Überspitzt gesagt würde das BSI so zum größten legalen Hacker in Deutschland werden. Und noch überspitzter gefragt: Wird das BSI so nicht selbst zum Sicherheitsrisiko?