Schaden durch Hackerangriffe Wann kommt mehr Cybersicherheit in deutschen Firmen?
Eigentlich müsste von heute an eine EU-Richtlinie umgesetzt werden, die Firmen vor Cyberangriffen schützen soll. Doch die Bundesregierung hinkt hinterher, die Bedrohungslage bleibt hoch.
Knapp 110.000 Haushalte versorgt der Anbieter Technische Werke Ludwigshafen mit Strom, Gas, Wasser und Wärme. Der hohen Bedrohungslage durch Cyberangriffe ist sich der Energieversorger bewusst. "Als Betreiber kritischer Infrastruktur sind wir besonders gefährdet", sagt Thomas Mösl, Technischer Vorstand der TWL. "Die angespannte Weltpolitik und die fortschreitende Digitalisierung führen dazu, dass Unternehmen wie wir verstärkt ins Visier von Cyberangriffen geraten." Gerade im Energiesektor seien solche Angriffe besonders brisant.
"Sämtliche Systeme werden quasi laufend von außen auf Schwachstellen und Angriffspunkte gescannt", erklärt Michael Georgi, der beim Energieversorger für den Bereich Informationstechnik zuständig ist. Deshalb sei ein schnelles Schließen von Sicherheitslücken sehr wichtig. Die Umsetzung der EU-Richtlinie für mehr Cyber- und IT-Sicherheit - die Netzwerk- und Informationssicherheitsrichtlinie, kurz NIS-2 - und die damit einhergehenden Verschärfungen halten die Verantwortlichen des mittelständischen Unternehmens daher für "äußerst notwendig".
Vor vier Jahren war der Energieversorger TWL bereits einmal Opfer eines schweren Hackerangriffs. Eine große Menge an Daten wurde damals entwendet und im Darknet veröffentlicht. Danach haben die Verantwortlichen die Sicherheitsstrategie grundlegend überarbeitet und stark in die IT-Sicherheit investiert. "Wir haben ein gut etabliertes Informationssicherheitsmanagement." Daher sieht sich der Energieversorger gerüstet für die Vorgaben, die durch das Gesetz eingeführt werden sollen. "Wir haben eine solide Grundlage und können daher die erforderlichen Anpassungen relativ problemlos vornehmen, um den neuen Pflichten gerecht zu werden", sagt TWL-Vorstand Mösl.
Neues Gesetz betrifft viel mehr Unternehmen
Kern des Umsetzungsgesetzes zur Stärkung der Cybersicherheit sind umfangreiche Neuregelungen für Unternehmen. So müssen Betreiber kritischer Infrastruktur künftig regelmäßig Tests durchführen, um zu gewährleisten, dass ihre Systeme geschützt sind. "Diese Tests simulieren Angriffe auf die IT-Infrastruktur, um Schwachstellen zu identifizieren und zu beheben, bevor sie von Kriminellen ausgenutzt werden können", erklärt Holger Berens, Vorstandsvorsitzender des Bundesverbandes für den Schutz Kritischer Infrastrukturen. Außerdem wird das Gesetz die Meldepflicht bei sicherheitsrelevanten Vorfällen verschärfen. So müssen Unternehmen künftig das Bundesamt für Sicherheit in der Informationstechnik (BSI) über einen Vorfall dreimal unterrichten, das erste Mal innerhalb von 24 Stunden.
Das BSI soll bei der Durchsetzung der Neuregelungen eine entscheidende Rolle spielen. Es werde die Einhaltung der Vorgaben durch die Unternehmen überwachen, erklärte Bundesinnenministerin Nancy Faeser (SPD), als das Kabinett Ende Juli den von ihrem Haus vorgelegten Gesetzentwurf zur Stärkung von Cybersicherheit auf den Weg brachte. Das BSI soll durch das Gesetz neue Aufsichtsinstrumente erhalten, auch die Möglichkeit, Bußgelder zu verhängen.
Nicht nur Betreiber kritischer Infrastruktur wie die Technischen Werke Ludwigshafen oder Anbieter digitaler Dienste sind von dem Gesetz betroffen. Rund 30.000 Unternehmen aus verschiedenen Bereichen werden künftig zur Umsetzung von Cybersicherheitsmaßnahmen verpflichtet. Der Kreis der Betroffenen erweitert sich deutlich; beispielsweise auch Maschinenbau- und Raumfahrtunternehmen sowie industrielle Lebensmittelproduzenten fallen unter die neuen Vorgaben. Sie betreffen künftig auch kleinere und mittlere Unternehmen.
Prävention schützt vor wirtschaftlichen Schäden
Der Digitalverband Bitkom begrüßt die anstehende Umsetzung der EU-Richtlinie in nationales Recht. "Dadurch wird das Sicherheitsniveau in deutschen Unternehmen gestärkt", sagt Felix Kuhlenkamp, zuständiger Referent für Sicherheitspolitik. So müssten die betroffenen Unternehmen unter anderem Fortbildungsmaßnahmen umsetzen und Notfallpläne aufstellen, die regeln, was passiert, wenn Systeme ausfallen.
Der wichtigste Punkt des Gesetzes ist aus Sicht des Digitalverbandes die Ausweitung der Sicherheitsanforderungen auf eine größere Anzahl von Unternehmen. "Dies stellt sicher, dass auch kleinere Unternehmen, die oft das Ziel von Cyberangriffen sind, in das harmonisierte Schutzniveau integriert werden."
Durch das neue Gesetz werden auf die betroffenen Unternehmen insgesamt finanzielle Belastungen in Milliardenhöhe zukommen. Je nach Unternehmensgröße und Branche wird die Höhe variieren. Der Digitalverband Bitkom schätzt den Nutzen der Sicherheitsmaßnahmen aber als höher ein als deren Kosten - "da der wirtschaftliche Schaden durch erfolgreiche Cyberangriffe deutlich höher ist als die Investitionen in präventive Maßnahmen", wie Kuhlenkamp sagt.
"Für die Unternehmen erhebliche Kosten"
Auch die CompuGroup Medical aus Koblenz, ein Anbieter von Software für Krankenhäuser, Ärzte und Apotheken, kennt die Bedrohungslage durch Cyberkriminalität. "Unsere digitalen Schutzschilde wehren pro Jahr etwa 30.000 Angriffe ab", schätzt Frank Brecher von CGM. Schon jetzt investiert das Unternehmen daher jährlich einen zweistelligen Millionenbetrag in die Sicherheit seiner Systeme. "Wir unterstützen die neue Gesetzgebung, wobei wir mit einem siebenstelligen Eurobetrag an Mehrkosten pro Jahr für die vollständige Erfüllung aller Auflagen rechnen."
Der Bundesverband der Deutschen Industrie hält das neue Gesetz zwar grundsätzlich für notwendig, weil es einen entscheidenden Beitrag leisten werde, um die Cyberresilienz in Deutschland zu erhöhen und damit auch den Standort zu stärken. Aber vom BDI kommt auch Kritik. "Durch die sehr umfangreichen und unnötig vielen Melde- und Nachweispflichten entstehen für die Unternehmen erhebliche Kosten", sagt Iris Plöger, Mitglied der BDI-Hauptgeschäftsführung. Diese Ressourcen könnten Unternehmen dann nicht in den aktiven Schutz vor Cyberkriminalität investieren.
Der Bundesverband für den Schutz Kritischer Infrastrukturen fordert für die betroffenen Unternehmen mehr finanzielle Unterstützung durch den Staat, damit sie die neuen Anforderungen erfüllen können. Der Verband geht davon aus, dass die Kosten zumindest teilweise an die Kunden weitergegeben werden.
Noch längst nicht durch Bundestag und Bundesrat
Nun läuft die Frist aus, zu der die EU-Richtlinie in nationales Recht umgesetzt werden sollte. Die Bundespolitik hängt dem Zeitplan hinterher. Die zweite und dritte Lesung im Bundestag stehen noch aus. Und auch der Bundesrat muss sich noch einmal mit dem Gesetzentwurf befassen. Der BDI erwartet nun von der Politik, die Beratungen zum Umsetzungsgesetz zur Stärkung der Cybersicherheit zumindest bis zum Frühjahr kommenden Jahres abzuschließen. "Die Unternehmen brauchen rasch Rechtssicherheit darüber, wie sie ihre internen Cybersicherheitsmaßnahmen rechtskonform ausgestalten müssen", sagt Iris Plöger.
Kritik äußert der Digitalverband Bitkom nicht nur an der verzögerten Umsetzung, sondern auch daran, dass Teile der Bundesverwaltung von den neuen Anforderungen ausgenommen sind. "Dadurch bleiben kritische Bereiche von öffentlichem Interesse ungeschützt", sagt Felix Kuhlenkamp. "Wir sehen hier ein Ungleichgewicht." Während die Privatwirtschaft bereits notwendige Maßnahmen ergreife, kämen staatliche Stellen ihrer Verantwortung nicht in vollem Umfang nach. Die kommunalen Verwaltungen fallen zudem gar nicht in den Anwendungsbereich des neuen Gesetzes. "So bleiben Angriffsflächen in den Gemeinden und Städten bestehen, selbst wenn alle Unternehmen aufrüsten", kritisiert der Bundesverband für den Schutz Kritischer Infrastrukturen.
Der Energieversorger TWL setzt bereits auf umfassende Maßnahmen, um sich gegen Cyberangriffe zu schützen. Die neuen Vorgaben will das Unternehmen auch mit Unterstützung spezialisierter externer Dienstleister umsetzen. "Die werden rund um die Uhr mögliche Angriffe überwachen und im Ernstfall sofort reagieren", sagen die Verantwortlichen in Ludwigshafen. Ein eigenes umfangreiches Team zur Abwehr von Cyberangriffen vorzuhalten, sei für ein mittelständisches Unternehmen wie die TWL nicht realistisch.