|
Berlin, 31.10.2014
Ist das neue IT-Sicherheitsgesetz mehr als sein Papier wert?
Durch ein neues IT-Sicherheitsgesetz will die Bundesregierung ihre Bürger schützen. Angesprochen sind hierzu insbesondere die Betreiber Kritischer Infrastrukturen. Offen bleibt jedoch, welche Unternehmen gemeint sind und warum das Gesetz nicht für Behörden gilt.
„Wer durch den Einsatz von IT Risiken für andere schafft, hat auch die Verantwortung für den Schutz vor diesen Risiken“, so der Innenminister Thomas de Maiziere wörtlich. Und weiter: „Die IT-Systeme und digitalen Infrastrukturen Deutschlands sollen die sichersten weltweit werden“.
Unklar jedoch ist, welche Unternehmen zu diesen Kritischen Infrastrukturen zu zählen sind, das soll erst noch per Verordnung bestimmt werden. Laut dem Gesetzesentwurf müssen Unternehmen aus folgenden Branchen damit rechnen, zu den Verpflichteten zu gehören: Energie, Informationstechnik und Telekommunikation, Transport und Verkehr, Gesundheit, Wasserversorgung, Ernährung sowie Finanz- und das Versicherungswesen.
Die Öffentliche Verwaltung ist außen vor, im Entwurf heißt es bezüglich der „Begriffsbestimmungen“: „Die Kommunikationstechnik von Regierung, Parlament und öffentlicher Bundesverwaltung ist von den Kritischen Infrastrukturen ausgenommen. Die Verwaltungen der Länder und Kommunen sowie der Sektor Kultur und Medien sind ebenfalls ausgenommen, da der Bund für sie keine Gesetzgebungskompetenz besitzt.“
Dabei ist der Staat der größte Betreiber Kritischer Infrastrukturen. Auch bei der Auswahl der Wirtschaftsbereiche, die unter das Gesetz fallen sollen, scheint es an einer durchgängigen Systematik zu mangeln.
Das neues IT-Sicherheitsgesetz fokussiert sich auch auf den Sektor Finanz- und Versicherungswesen insbesondere den „Wertpapier- und Derivatshandel". Der Sozialwissenschaftler Klaus-Peter Saalbach von der Universität Oldenburg nennt stattdessen in einer Untersuchung über „Cyberwar Grundlagen-Methoden-Beispiele" „Technologien, die die Angriffsfläche für Angriffe erheblich vergrößern“:
| • |
|
„Das Next oder New Generation Network NGN, bei dem Fernsehen, Internet und Telefon über das Internetprotokoll (Triple-Play) mit paketweiser Verschickung von Daten arbeiten |
| • |
|
Das Internet of Things IoT, bei dem Gegenstände Internetadressen erhalten, was in Zukunft ihrer Nachverfolgung, Lokalisation und der Übermittlung von Zustandsmeldungen dienen kann bzw. soll. Im IoT kommunizieren Maschinen und mit Radiofrequency Identification Chips (RFID) versehene Gegenstände mit Computern und auch miteinander. Eine erhebliche geplante Erweiterung ist auch die Vernetzung von Kraftfahrzeugen zur Car-to-Car-communication. |
| • |
|
Die Fernwartung und –steuerung von Industriemaschinen über speicherprogrammierbare Steuerungen, auch als Industrial Control Systems ICS bzw. Supervisory Control and Data Acquisition SCADA bezeichnet. SCADA-Systeme ermöglichen die Kommunikation mit Maschinen über das Internet. |
| • |
|
Die Vernetzung von Waffen und Geräten in der vernetzten Kriegführung schafft bis dahin unbekannte Probleme, etwa die Absicherung und Stabilisierung fliegender Computernetzwerke in der Luftwaffe
|
| • |
|
Weitere geplante Erweiterungen des Netzes sind intelligente Haushaltsgeräte und Stromzähler (Smart Grid) und die Nutzung externer Rechenzentren über das Internet anstelle der Vorhaltung eigener Kapazitäten (Cloud Computing) |
| • |
|
Die Einführung internetfähiger Mobiltelefone (Smartphones), die nun auch die Funktionen von Navigationsgeräten (GPS-Standortangaben, Global Positioning System) integrieren.“ |
Schlussfolgerung von Prof. Klaus-Peter Saalbach: „Die Kombination aus machine-to-machine communication, Internet of Things und SCADA-Systemen ist ein zentrales Element cyber-physischer Systeme CPS, in denen Produktionsprozesse zunehmend durch Netzwerke von Maschinen, Produkten und Materialien gemanagt und ggf. auch modifiziert werden." (zi)
|
