Cybersicherheit ist Chefsache – Über den Parlamentarischen Abend 2019 von BBH
Was haben Energie, Gesundheit, Verkehr, Wasser, Ernährung, Telekommunikation, Finanzwesen und Verwaltung gemeinsam? Fällt eine oder mehrere dieser Infrastrukturen aus, hat dies gravierende Konsequenzen für das Funktionieren des Gemeinwohls. Für den Schutz dieser Infrastrukturen greifen rechtliche, technische und unternehmerische Handlungsstränge ineinander. Wie vielschichtig, aber auch akut das Thema für KRITIS-Unternehmen tatsächlich ist, zeigte BBH im Rahmen eines ausgebuchten Parlamentarischen Abends am 4. November in Berlin, der unter der Schirmherrschaft von MdB Bernd Westphal stattfand.
„Digitalisierung und Cyberkriminalität sind eng miteinander verbunden.“, stellte BBH-Partnerin Prof. Dr. Ines Zenke, die zum 13. Mal für BBH zum Parlamentarischen Abend geladen hatte, schon in ihrer Eröffnungsrede fest. „Erstere ist unfreiwillige Geburtshelferin und leider auch fruchtbarer Nährboden für Zweitere. Das zeigen die aktuellen Kriminalstatistiken.“ Für die KRITIS-Unternehmen stellt der Gesetzgeber zu Recht und schon heute besondere Anforderungen an die Cybersicherheit. Mit dem Ressort-Entwurf des IT-Sicherheitsgesetzes 2.0 soll der Anwendungsbereich nun noch einmal deutlich erweitert werden, was – abseits des common senses, dass Cybersecurity Chefsache und für jedes Unternehmen wichtig ist – doch Fragen aufwirft. Denn das Gesetz sieht vor, auch den Medien- und Kulturbereich, die Rüstungsindustrie und generell im prime standard börsennotierte Unternehmen in den Adressatenkreis aufzunehmen. Damit würde, und das soll es nach den Entwurfsverfassern auch, ein Großteil der deutschen Wirtschaft erfasst werden: „Um als kritische Infrastruktur zu gelten, bräuchte man auch keine kritische Infrastruktur mehr zu sein.“ Borussia Dortmund, der Futterlieferant für den Schäferhund und die Nabelschnurblutbank Vita 34. Alle würden kritische Infrastruktur werden, weil sie unter § 48 der Börsenordnung der Frankfurter Wertpapierböse fallen und so als ökonomisch wichtige Unternehmen gelten. „Wenn man bedenkt, welche Handlungsbefugnisse das BSI künftig bekommen soll, muss man sich fragen, warum der Staat in Selbstbestimmtheit, Freiheit und Datenschutz für nicht KRITIS-Unternehmen derart eingreifen darf. Dass das Gemeinwohl gefährdet wird, wenn der BVB seine Cybersecurity ohne das BSI organisiert, leuchtet nicht unmittelbar ein. Das Kind nicht mit dem Bade auszuschütten. Das wird der Gesetzgeber justieren müssen. Dazu gehört auch, wirklich kritische Infrastrukturen optimal für die Cybersicherheit zu präparieren.“
Ein Ausfall von kritischen Infrastrukturen jedenfalls kann katastrophale Folgen haben, warnte der Vize-Präsident des BKA Peter Henzler. KRITIS-Unternehmen seien zwar verpflichtet, Cyberangriffe an das BSI zu melden, nicht aber an die Strafverfolgung. Er appellierte deshalb an die Unternehmen, dem BKA die Möglichkeit zu geben, Cyberangriffe aufzuklären. Sein Überblick über die Cyber-Szene zeigte, dass mittlerweile „customized“ Schadsoftware verfügbar ist, die gezielt minimale Sicherheitslücken ausnutzen und großen Schaden verursachen kann. Unter dem Schlagwort „crime as a service“ können Personen ohne eigene IT-Kenntnisse Straftaten begehen, indem sie die jeweilige Dienstleistung im Internet „bestellen“. Angriffe können dann z.B. auch über die Versorgungskette erfolgen, indem über die Infizierung von Zulieferern das Zielunternehmen indirekt zum Opfer wird. Eine interdisziplinäre Vernetzung sei daher notwendig, um effektiv gegen Cyberkriminialität vorgehen zu können. Eine solche Plattform ist neben dem Nationalen Cyber-Abwehrzentrum das G4C, das die Wirtschaft mit den Sicherheitsbehörden zusammen bringt.
Aus der Sicht der Prävention von Cyber-Straftaten sprach Bernhard Witthaut. Es gebe eine unzureichende Sicherheitskultur in den Unternehmen, so der Präsident des Niedersächsischen Verfassungsschutzes. Neben den technischen Voraussetzungen ist es demnach auch der Faktor Mensch, der durch Unwissenheit oder Unachtsamkeit Cyberangriffe erst möglich macht. Die Chefetage müsse hier aber voran gehen und sich diesem Thema annehmen: Mitarbeiterschulungen, Notfallpläne entwickeln und Routinen überwachen, um die Readiness zu erhöhen.
Damit wurde deutlich, dass Cybersicherheit kein Nischenthema für eine untergeordnete Abteilung im Unternehmen ist, sondern ein zentrales Thema für die Geschäftsführer- und Vorstandsebene. Denn sie ist es schließlich, die im Rahmen der Compliance dafür sorgen muss, dass ihr Unternehmen so aufgestellt ist, dass es auf cyberkriminelle Handlungen vorbereitet ist und entsprechend reagieren kann. Und sie ist es auch, die zur Rechenschaft gezogen wird, wenn dies nicht der Fall ist.
Dass IT-Sicherheit compliance-getrieben ist, konnte auch Hendrik Heyn, Geschäftsführer der Xiting GmbH bestätigen. Die Implementierung effektiver Sicherheitskonzepte sieht er letztlich als Wettbewerbsvorteil für Unternehmen.
Zurück zu den kritischen Infrastrukturen: Neben dem BSI ist auch die Bundesnetzagentur für IT-Sicherheitsthemen zuständig. Um ein höheres Sicherheitsniveau im Energiebreich zu erreichen, hat die Regulierungsbehörde ihren IT-Sicherheitskatalog entwickelt, der noch bis Ende November zur Konsultation steht. Allerdings betonte Vize-Präsident Dr. Wilhelm Eschweiler im Rahmen des Parlamentarischen Abends, dass es sich bei der BNetzA um eine „rechtsanwendende Behörde“ handelt. Er verwies die Frage nach einem möglichen Einstieg des chinesischen Technologiekonzerns Huawei in den deutschen 5G-Markt deshalb an die Politik.
Laut MdB Alexander Müller, Obmann des Verteidigungsausschusses, müsse man sich grundsätzlich die Frage stellen, wie stark ein Unternehmen mit der Regierung verwoben sein dürfe. Die Grenzen seien hier fließend. In Europa habe man es nicht geschafft, eigene Kompetenzen in diesem Bereich aufzubauen, sagte MdB Bernd Westphal. Wenn man nun Huawei ausschließen würde, würde sich das allerdings negativ auf den Wirtschaftsstandort Deutschland auswirken können. Er plädierte stattdessen dafür, geeignete Sicherheitsstandards zu etablieren.
Wie immanent ein Cyberangriff in der Energiewirtschaft ist, wusste Dr. Götz Brühl, Geschäftsführer der Stadtwerke Rosenheim aus erster Hand zu berichten. Ein kürzlich erfolgter Hackerangriff hatte das konkrete Ziel, die Maschinensteuerung der Stadtwerke lahmzulegen. Besonders gefährlich seien „schlafende“ Angriffe, bei denen einige Monate gar nichts geschieht, anschließend zunächst die Back-Ups verschlüsselt werden und erst dann das System lahmgelegt wird. Wird ein Netz korrumpiert und bricht dann zusammen, könne es Wochen dauern, bis alles wieder steht. „In dieser Zeit muss von den Mitarbeitern per Hand geschaltet werden!“, sagte Brühl.
Aber wie sieht es auf Behördenseite aus? Sind wir hier in Deutschland gut aufgestellt, um Cyberangriffe zu verhindern bzw. Straftaten aufzuklären? MdB Alexander Müller ist sich hier nicht so sicher und bemängelte die zersplitterte Struktur beim Thema Cybersicherheit. Tatsächlich gehören zum Cyber-Abwehrzentrum neben dem BSI das Bundeskriminalamt, die Bundespolizei, das Bundesamt für Verfassungsschutz, der Bundesnachrichtendienst, die Bundeswehr, das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe, das Zollkriminalamt sowie die aufsichtsführenden Stellen über die Betreiber der kritischen Infrastrukturen. Den Vorwurf eines Kompetenzgerangels lassen Peter Henzler und Bernhard Witthaut dennoch nicht gelten. Es gebe hier klare Zuständigkeiten und feste Ansprechpartner bei den einzelnen Behörden.
Im Tenor waren sich die Gäste des Parlamentarischen Abends nach dem Resümee von Joachim Weide, Inhaber der Operatis Business Technology Consulting UG, aber einig: Wachsam sein, Achtsamkeit, Bewusstsein, Vernetzung, Cybersicherheit ernst nehmen, das waren die Ratschläge von den Referenten. Zenke fasst wie folgt zusammen: Passen Sie auf Ihre Daten auf! – und immer wieder: Cybersicherheit ist Chefsache!
Mit freundlicher Unterstützung/Kooperation:
DELL Technologies, Xiting GmbH, G4C German Competence Centre against Cybercrime e. V., Rubicon GmbH, Operatis Business Technology Consulting UG
Becker Büttner Held ist ein führender Anbieter von Beratungsdienstleistungen für Energie- und Infrastrukturunternehmen und deren Kunden. Den Kern der Mandantschaft bilden zahlreiche Energie- und Versorgungsunternehmen, vor allem Stadtwerke, Kommunen und Gebietskörperschaften, Industrieunternehmen sowie internationale Konzerne. Diese und viele Unternehmen und Institutionen aus anderen Bereichen unterstützt BBH sowohl in allen Rechts- und Steuerfragen als auch betriebswirtschaftlich und strategisch.
Kontakt:
Prof. Dr. Ines Zenke
Rechtsanwältin, Partnerin
Tel +49 (0)30 611 28 40-179
ines.zenke@bbh-online.de
Becker Büttner Held finden Sie im Internet unter www.bbh-online.de, www.derenergieblog.de oder twitter.com/BBH_online.