Mehr Fragen als Antworten
Seit bald einem Jahr gilt das IT-Sicherheitsgesetz, das Betreiber kritischer Infrastrukturen (Kritis), dazu verpflichtet, „angemessene organisatorische und technische Vorkehrungen zur Vermeidung von Störungen“ ihrer ITSysteme zu treffen.
Denn auch jene Wirtschaftssektoren, die für die Aufrechterhaltung der gesellschaftlichen Funktionsfähigkeit unerlässlich sind, hat die Digitalisierung in einem Ausmaß erfasst, dass ein Ausfall der IT-Systeme schnell zum weltweiten Katastrophenfall führen könnte. Ohne Informations- und Kommunikationstechnik keine Bankgeschäfte, ohne Strom kein elektrisches Licht, keine Operationen, keine industrielle Produktion, keine motorisierte Mobilität mehr.
Deutschlands IT-Systeme und digitalen Infrastrukturen sollten deshalb die sichersten weltweit werden, forderte einst Bundesinnenminister de Maizière, als er um die Akzeptanz des IT-Sicherheitsgesetzes warb. Doch was ist seitdem geschehen? Ein Jahr danach ist noch nicht einmal vollständig geklärt, welche Wirtschaftsbereiche das Gesetz betrifft beziehungsweise welche Branchen als „kritische Infrastrukturen“ definiert werden. Unzweifelhaft zählen hierzu die Bereiche Energie, Wasser, Gesundheit oder Telekommunikation. Doch was ist beispielsweise mit Bildung oder Strafvollzug? Sind Schulen und Justizvollzugsanstalten für moderne Gesellschaften nicht auch unerlässlich? Auch was die Umsetzung des Gesetzes betrifft, besteht bisher relativ wenig Anlass zu Optimismus.
Laut einer aktuellen Studie des Unternehmens CSC, das einhundert Führungskräfte in Deutschland befragte, sehen die mit öffentlichen Infrastrukturen befassten Unternehmen in Deutschland gravierende Lücken bei der Leistungskontrolle von Energienetzen, Bahntrassen oder der Wasserversorgung. Nur gut jedes fünfte Unternehmen hat demnach ein vollständiges Anlagen-Controlling implementiert beziehungsweise mit den strategischen Zielen abgestimmt. Und die im Auftrag des Bundeswirtschaftsministeriums durchgeführte Studie „IT-Sicherheit für Industrie 4.0“, kommt zu dem ernüchternden Ergebnis, dass die Mehrheit der Unternehmen den Bedrohungen durch Cyber-Angriffe derzeit noch weitgehend orientierungslos gegenüber stehen.
Auch ein Jahr nach Inkrafttreten des IT-Sicherheitsgesetzes gibt es dazu mehr Fragen als Antworten. Dennoch passiert bisher vergleichsweise wenig. Wir duschen morgens immer noch, wir gehen zum Arzt, fahren Auto. Selbstverständlichkeiten, die eigentlich keine sind. Hoffen wir, dass das so bleibt.
Andreas Albrecht
Passend zu diesem Artikel
Auf den Kritis-Tagen 2024 erfahren Teilnehmende, welche rechtlichen Entwicklungen bald für wen verpflichtend sein werden. Was müssen Betroffene künftig leisten können?
Seit dem 1. Januar 2024 hat sich die Schulte-Schlagbaum-Gruppe (SAG) im Zuge einer organisatorischen Neuausrichtung in ihrer Führungsstruktur neu aufgestellt.
Blackouts, wachsende Cyberbedrohung und KI. Die neue Ausgabe des PROTECTOR dreht sich ganz um den Schutz Kritischer Infrastrukturen.