Wegen der IT-Panne vom Wochenende ist es vielleicht ein wenig in Vergessenheit geraten, doch die größte Gefahr droht Krankenhäusern, Flughäfen oder Banken in Deutschland nicht von Cybersicherheitsunternehmen, sondern von ihren Gegnern. Cyberkriminelle nutzen seit mehreren Jahren gezielt Schwachstellen aus, menschliche und technische, verschlüsseln IT-Systeme und erpressen von Unternehmen Millionen an Euro. Die tatsächlichen Kosten solcher Vorfälle gehen über diese Summen noch weit hinaus, oft genug sind auch Bürger betroffen, weil ihnen die Dienste der Unternehmen oder Behörden nicht mehr zur Verfügung stehen.
Aber es ist nicht nur Ransomware, die Unternehmen aus der Cyberwelt bedroht. Auch Hacktivismus hat in den vergangenen Jahren wieder zugenommen. Politisch motivierte Angriffe werfen wichtige Internetseiten aus dem Netz und nicht zuletzt tummeln sich chinesische, russische und andere Spione in den Netzen vieler Unternehmen auf der Suche nach nützlichen Informationen. Vor dieser Folie hat das EU-Parlament bereits Ende 2022 die NIS2-Richtlinie zur Stärkung der EU-weiten Cybersicherheit beschlossen. Nun, ziemlich knapp vor der Frist zur Umsetzung der Richtlinien in den EU-Staaten im Oktober, startet auch Deutschland mit dem Kabinettsbeschluss des deutschen Gesetzes den offiziellen Umsetzungsprozess dazu.
Schon jetzt gibt es zahlreiche Pflichten für einige besonders wichtige Unternehmen. Sogenannte Betreiber kritischer Infrastruktur (Kritis) ab einer gewissen Größe müssen ein gesundes Level an Cybersicherheit aufweisen, das gilt etwa für Kraftwerke, Wasserversorger oder Krankenhäuser. Sie brauchen Verteidigungsanlagen und müssen Störfälle ans Bundesamt für Sicherheit in der Informationstechnik (BSI) melden.
Mehr Pflichten für mehr Firmen
Doch kommt das Gesetz, wie aktuell geplant, durch den Bundestag, dann wird ein Großteil der bestehenden Pflichten auf andere Betriebe ausgeweitet. Statt nur Kritis-Unternehmen sollen sie dann auch für sogenannte „besonders wichtige“ und „wichtige“ Unternehmen gelten.
Praktisch bedeutet das, dass die Zahl der betroffenen Unternehmen von rund 1000 auf 30 000 anwachsen wird. Manuel Atug von der AG Kritis, einer unabhängigen Initiative, die sich für den Schutz kritischer Infrastruktur engagiert, glaubt, dass das Gesetz sogar noch für deutlich mehr Unternehmen relevant werden wird. „Es wird auch die Sicherheit der Lieferkette explizit erwähnt. Das heißt, die Anforderungen gelten für alle Security-Dienstleister, die die betroffenen Unternehmen nutzen. Du kannst die Dienstleistung auslagern, aber nicht die Verantwortung, auch nicht, wenn die Dienstleister außerhalb der EU sitzen“, so Atug.
Der Vorstand des Verbands der Internetwirtschaft Eco, Klaus Landefeld, sorgt sich, dass angesichts dieser Ausweitung die Umsetzungsfristen für die Unternehmen zu kurz sein könnten: „Sie haben sich noch nicht auf die künftigen Anforderungen der NIS2-Richtlinie vorbereitet und scheitern teilweise schon daran, ihre eigene Betroffenheit zu ermitteln“, so Landefeld.
Eine Sorge, die angesichts der dem Gesetzesentwurf zufolge möglichen Strafen verständlich scheint. Bußgelder in Höhe von zehn Millionen Euro oder in Ausnahmen auch zwei Prozent des Jahresumsatzes können die Behörden für Nichtbeachtung der neuen Vorschriften verhängen.
Experte Atug findet das Gesetz im Prinzip gelungen. Wenig Verständnis hat er allerdings für den langen Entstehungsprozess. Vergleiche man die erste Version des Gesetzes von März 2023 mit der aktuellen Version, dann werde deutlich, dass die Verzögerung fast ausschließlich darauf zurückzuführen sei, dass einzelne Ministerien, Länder und Kommunen für sich Ausnahmeregelungen erkämpft haben. Nicht nur, dass das den Prozess enorm verlangsamt hat, irritiert Atug, er sieht auch keinen Grund, warum etwa das Auswärtige Amt weniger Pflichten haben sollte für Sicherheit zu sorgen als wichtige Unternehmen. 2018 wurde das Außenamt von mutmaßlich russischen Hackern infiltriert.
Außerdem seien Haftungsregelungen für Manager immer mehr verwässert worden. Wären Manager in der ersten Version noch persönlich haftbar gewesen für Cybervorfälle, genüge in der nun geplanten Version im Prinzip der Abschluss einer zusätzlichen Versicherung für die Geschäftsführer. Dennoch bleibe, dass das Gesetz Deutschland und die Welt ein Stück sicherer machen könnte.