Mitteilungen

Thomas Jarzombek MdB » Mitteilungen » Rede zur Umsetzung der NIS-Richtlinie zur Erhöhung der IT-Sicherheit

Rede zur Umsetzung der NIS-Richtlinie zur Erhöhung der IT-Sicherheit

Zu Protokoll gegebene Rede von Thomas Jarzombek MdB zur Beratung des von der Bundesregierung eingebrachten Entwurfs eines Gesetzes zur Umsetzung der Richtlinie (EU) 2016/1148 des Europäischen Parlaments und des Rates vom 6. Juli 2016 über Maßnahmen zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz- und Informationssystemen in der Union. Tagesordnungspunkt 23 der Sitzung des Bundestag am 27. April 2017.

Thomas Jarzombek (CDU/CSU): Ende November 2016 gab es den wahrscheinlich zahlenmäßig größten Angriff auf IT‑Infrastruktur in Deutschland. Nur mit viel Glück im Unglück sind 900 000 Internetrouter der Deutschen Telekom nicht Bestandteil eines weltumspannenden Botnetzes geworden. Daneben gibt es immer wieder Meldungen zum Verlust von Nutzerdaten bei großen Internetplattformen; Spielzeug überträgt mitgeschnittene Unterhaltungen der Kinder mit einer Spielzeugpuppe an den Hersteller. Die Gefahren aus dem Internet sind allgegenwärtig. Nicht alles ist ein Hackerangrif, nicht immer steckt eine Cyberarmee hinter entwendeten Nutzerdaten. Für alle erdenklichen Szenarien gibt es ausreichend Beispiele tatsächlicher Fälle im Netz. Einen Kulturwandel zu mehr Sicherheit im Internet gibt es aber immer noch nicht. Das weltweit beliebteste Passwort des vergangenen Jahres war „123456“, in Deutschland lagen „hallo“; „passwort“ und „hallo123“ auf den ersten drei Plätzen.

Mit der Digitalen Agenda hat sich die Bundesregierung im Jahr 2014 vorgenommen, die IT-Sicherheit durch den Ausbau von Partnerschaften mit Betreibern kritischer Infrastrukturen und durch gesetzliche Vorgaben zu Mindestsicherheitsstandards und eine Meldepflicht für erhebliche IT-Sicherheitsvorfälle im Rahmen eines IT-Sicherheitsgesetzes zu stärken. Im Rückblick kann man sagen, dass hier nicht nur versprochen, sondern auch geliefert wurde. Natürlich ist es Augenwischerei eine, hundertprozentige Sicherheit im Internet zu versprechen; man muss aber den Blick darauf richten: Was ist kritisch, und was ist nicht kritisch?

Deutschland war Vorreiter mit dem IT-Sicherheitsgesetz, war Blaupause für europäische Verhandlungen. Die deutsche Position wurde in Verhandlungen auf europäischer Ebene erfolgreich eingebracht. Die EU hat mit der NIS-Richtlinie nachgezogen. Das Gesetz erhöht die Sensibilität messbar, denn Betreiber kritischer Infrastrukturen müssen sich spätestens jetzt auf Mindeststandards verpfichten. Wichtig ist hier immer, dass die Sicherheitsmaßnahmen auch immer realistisch sein müssen, der Widerspruch zwischen Nutzerkomfort und Sicherheit muss immer wieder neu austariert werden. Es bringt nichts, die Maßnahmen hochzuschrauben, wenn der Nutzer von IT-Infrastruktur sich quasi zum Ausweichen auf unsichere Lösungen gezwungen sieht.

Das IT-Sicherheitsgesetz hat aber auch konkret das Bundesamt für Sicherheit in der Informationstechnik (BSI) gestärkt – sowohl finanziell als auch personell. Im letzten Haushaltsjahr gab es insgesamt 88,7 Millionen Euro bei 661,5 Planstellen. Das IT-Sicherheitsgesetz war wichtig, um für die Gefahren erfolgreicher Angriffe auf die IT-Systeme kritischer Infrastrukturen zu sensibilisieren und auch die Abwehrfähigkeiten zu verbessern. Kritische Infrastrukturen fnden sich nicht nur in Atomkraftwerken und in Wasserwerken, sondern auch der Ausfall von Flughäfen, Krankenhäusern, Banken und Versicherungen kann schwerwiegende Folgen für das Funktionieren unseres Alltags und die öffentliche Sicherheit haben. Bisher haben wir immer Glück gehabt, wenn Verschlüsselungstrojaner, sogenannte Ransom-Ware, die IT in Krankenhäusern lahmgelegt haben. Zwar mussten Operationen verschoben werden, aber es gab keine weiteren lebensbedrohlichen Folgen. Gerade weil es immer wieder diese Beispiele gibt, die zum Glück ohne schwerwiegende Folgen geblieben sind, bin ich mir sicher, wir haben den richtigen Weg beschritten, und es ist richtig, dass sich die deutschen Vorschriften auch in der NIS-Richtlinie der Europäischen Union wiederfinden.

Die betroffenen Anbieter werden verpflichtet, ihre IT-Systeme auf Schwachstellen zu überprüfen und gegebenenfalls zusätzliche Schutzmaßnahmen zu ergreifen. Außerdem erstreckt sich die Meldepficht auf Sicherheitsvorfälle mit erheblichen Auswirkungen, wobei auch anonyme Meldungen erfolgen können, sofern nicht ein Systemausfall droht. Hier zeigen sich deutlich die Parallelen zum IT-Sicherheitsgesetz.

Ich begrüße außerdem sehr, dass der Bundesminister des Innern Thomas de Maizière das nationale Gesetz zur Umsetzung der Richtlinie (EU) 2016/1148 des Europäischen Parlaments und des Rates vom 6. Juli 2016 über Maßnahmen zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz- und Informationssystemen in der Union so schnell vorgelegt hat. Das zeigt: Die Sicherheit der kritischen Infrastrukturen in unserem Land hat in diesem Haus eine hohe Bedeutung, und dank des IT-Sicherheitsgesetzes ergibt sich nur ein geringer Anpassungsbedarf für deutsches Recht. Außerdem sollen die von der Richtlinie erfassten Betreiber und Diensteanbieter so früh wie möglich Rechtssicherheit erhalten.

Mit dem neuen § 5a des BSI-Gesetzes werden Unterstützungsleistungen des BSI zur Wiederherstellung der Sicherheit oder Funktionsfähigkeit von IT-Systemen in herausgehobenen Fällen durch Mobile Incident Response Teams (MIRT) geregelt. In der Vergangenheit haben einige IT‑Vorfälle ofen gezeigt, dass die betroffenen Unternehmen teilweise nur auf unzureichende Unterstützung zurückgreifen können. Operativ einsetzbare Experten für solche Fälle sind rar. Das Bundesinnenministerium und das BSI haben daher an einem Konzept zum Ausbau von Mobile Incident Response Teams (MIRT) beim BSI gearbeitet. Der Bundestag hat dazu bereits entsprechende Haushaltsmittel für das laufende Jahr bewilligt, jetzt schaffen wir die rechtlichen Voraussetzungen für den Einsatz. Experten aus der Wirtschaft können also mit ihrem Know-how und als zusätzliches Personal zur Verfügung stehen und die Response Teams des BSI unterstützen.

Gelegentlich werden diese Teams als Cyberwehr bezeichnet. Diese Cyberwehr soll aus freiwillig und kostenlos zur Verfügung stehenden Spezialisten von Unternehmen bestehen, die bei der schnellen Beseitigung technischer Folgen eines erfolgreichen IT‑Angriffs zur Verfügung stehen. Das BSI soll dazu mit entsprechenden Unternehmen Kooperationsvereinbarungen abschließen. Angesichts des hohen Wettbewerbs auf dem Markt von IT-Fachkräften ist das ein nachvollziehbarer Schritt.

Gleichzeitig möchte ich hier die Möglichkeit nutzen, mit Befürchtungen und Halbwahrheiten aufzuräumen: Schon jetzt unterliegen nach den geltenden Vorschriften qualifzierte Dritte, die im Auftrag des BSI tätig werden, denselben Vertraulichkeits- und Unabhängigkeitsanforderungen wie das BSI selbst. Der heute zu debattierende Gesetzentwurf ist aber mitnichten nur die Umsetzung der NIS-Richtlinie, sondern er wird durch einen wichtigen Änderungsantrag ergänzt. Die Koalition hat sich darauf verständigt, das Telekommunikationsgesetz zu ergänzen.

Der massenhafte Angrif auf die Internetrouter der Deutschen Telekom Ende November 2016 hat die Bedeutung von Maßnahmen zur IT-Sicherheit auch einer breiten Öffentlichkeit deutlich gemacht. Leider sind Angrife von Botnetzen nichts Neues, sie sind aber Anlass zu großer Sorge. Nicht mehr nur der infizierte Laptop oder PC kann Ausgangspunkt solcher Attacken werden, sondern auch IP-Kameras, Drucker mit Internetverbindung, Router oder andere mehr oder weniger smarte Geräte, die mit dem Internet verbunden sind. Gleichzeitig wird prognostiziert, dass die Zahl von Nutzern ohne technische Erfahrung zunimmt, die Geräte in der Standardkonfguration ins Netz bringt. Die Gefahren, die aus solchen Botnetzen erwachsen, sind vielfältig. Schon jetzt ein häufges Problem sind DDoS-Attacken auf Zahlungssysteme, Webshops oder andere Plattformen. Deshalb ist es richtig, dass wir mit dem Änderungsantrag neu regeln, wie Internetanbieter zukünftig mit dem Datenverkehr in ihren Netzen umgehen können, um von Netzseite die IT-Sicherheit zu verbessern. Denn nicht nur die Nutzer haben die Verantwortung für ein sicheres Netz. Zukünftig sollen Diensteanbieter Teile des Datenverkehrs von und zu einem Nutzer, von denen eine Störung ausgeht, zum Zwecke der Information der Nutzer umleiten können (sogenanntes Sinkholing). So können noch im eigenen Netz Nutzer mit schadhaften Systemen identifziert und in die Lage versetzt werden, die Störung zu beseitigen. Wird ein Nutzer nicht tätig, soll der Netzbetreiber das Recht erhalten, den Datenverkehr eines Nutzers bei Vorliegen einer Störung einzuschränken, umzuleiten oder zu unterbinden oder den Datenverkehr zu filtern, um Gefahren, insbesondere für die Verfügbarkeit von Informations- und Kommunikationsdiensten, durch IT‑Angriffe abzuwehren.

Wir müssen auch nach diesem Gesetz weiterarbeiten. In der nächsten Periode müssen wir den gesetzlichen Rahmen für das Internet of Things verschärfen. Das bedeutet Produkthaftungsregeln für IT-Sicherheitsmängel und Sicherheitsvorgaben für Hard- und Softwarehersteller im Internet der Dinge. Leider konnten wir das Thema IT-Produkthaftung in diesem Gesetzgebungsvorhaben nicht mehr aufgreifen, da Teile des Hauses zu der Auffassung gekommen sind, dass dies Gegenstand europäischer Regelungen ist. Ich bedaure das, denn seit Jahren lässt sich ein gewisses Laissez-faire bei bestimmten Herstellern beobachten. Die Cyber-Sicherheitsstrategie der Bundesregierung 2016 stellt daher Vorgaben für eine angemessene Verteilung von Verantwortlichkeiten und Sicherheitsrisiken im Netz in Aussicht. Das müssen der neue Bundestag und die nächste Bundesregierung mit der notwendigen Aufmerksamkeit wieder aufgreifen. Ich persönlich kann mir vorstellen, dass hier Schadenersatzansprüche im Rahmen von Rücknahmepflichten der Hersteller diskutiert werden sollten, wenn während des üblichen Nutzungszeitraums eines Produktes keine Sicherheitsupdates mehr zur Verfügung gestellt werden oder wenn Hersteller nichts gegen bekannte Sicherheitslücken unternehmen. Hier sehe ich klare Defzite. Das muss auf EU-Ebene flankiert werden, um verbindliche IT-Sicherheitseigenschaften für internetfähige Produkten zu schaffen.

In meinen Augen kann das freiwillige Gütesiegel ein weiterer Schritt zur Verbesserung der IT-Sicherheit sein. In der aktuellen Cyber-Sicherheitsstrategie der Bundesregierung heißt es deshalb richtigerweise, dass die Sicherheit von IT-Produkten und Dienstleistungen insbesondere für die Bürgerinnen und Bürger sowie kleine und mittelständische Unternehmen transparenter dargestellt werden kann. Dazu wird die Bundesregierung ihre Aktivitäten auf dem Gebiet der Gütesiegel und Zertifkate für IT-Sicherheit ausbauen und geeignete Vorschläge unterbreiten, insbesondere hinsichtlich übergreifender Systeme für die Zertifzierung und einer einheitlichen Kennzeichnung. Die Anwender sollen künftig auf Basis eines einheitlichen Gütesiegels bei der Kaufentscheidung für neue IT-Produkte und bei der Inanspruchnahme entsprechender Dienstleistungen leicht und schnell feststellen können, welches Angebot sicher ausgestaltet ist und hierdurch zum Schutz der Daten beiträgt. Der Hersteller eines IT-Produktes sollte zum Beispiel im Rahmen eines Gütesiegels seinen zukünftigen Umgang mit Sicherheitsupdates offenlegen müssen. Cybersicherheit soll dadurch für jedermann verständlicher und leichter realisierbar gemacht werden. Das erhöht das Vertrauen in die sichere Digitalisierung von Wirtschaft und Gesellschaft.

 

Auf Facebook teilen Auf Twitter teilen Auf Google+ teilen Auf XING teilen