Navigation und Service

IT und Netzpolitik IT- und Cybersicherheit Interview 19.02.2013 Star­ke Al­li­anz- In­stru­men­te zur IT-Si­cher­heit

Bundesinnenminister Dr. Friedrich zum Thema IT-Sicherheit
Interview mit Bundesinnenminister Dr. Hans-Peter Friedrich in W&S Das Sicherheitsmagazin am 19.02.2013

Wie bewerten Sie die jüngste Initiative der EU-Kommissarin Neelie Kroes, die in der EU eine Meldepflicht für Hackerattacken – beispielsweise für Rechenzentrums-betreiber - einführen will?

Dies ist eine Einzelmaßnahme aus einem großen Gesamtpaket der EU: Die EU-Kommission plant, Anfang 2013 gemeinsam mit einem Rechtsakt zur Netz- und Informationssicherheit eine Cybersicherheitsstrategie vorzulegen.

Dass in diesem Bereich Handlungsbedarf besteht, haben wir in Deutschland frühzeitig erkannt. Mit der Nationalen Cyber-Sicherheitsstrategie haben wir bereits 2011 die Grundlagen gelegt, um Cybersicherheit auf einem hohen Niveau zu gewährleisten. Dass auch die EU ihre Aktivitäten strategisch bündelt, begrüße ich ausdrücklich. Wenn es um Cybersicherheit geht, ziehen wir alle an einem gemeinsamen Strang. Welche Maßnahmen auf EU-Ebene oder besser auf nationaler Ebene getroffen werden sollten, werden die Verhandlungen zeigen.

Frau Kroes greift damit ja eigentlich eine Idee auf, die Sie bereits vor einigen Monaten formuliert haben: eine Meldepflicht für Betreiber kritischer Infrastrukturen. Wie sieht dieser Vorschlag genauer aus?

Ja, das ist richtig. Eine schnelle gegenseitige Information zu aktuellen IT-Sicherheitsvorfällen ist für alle Beteiligten unabdingbar. Da sich dieses Ziel auf Basis freiwilliger Meldungen nicht vollständig erreichen lässt, möchte ich Betreiber der wichtigsten kritischen Infrastrukturen verpflichten, dem Bundesamt für Sicherheit in der Informationstechnik (BSI) unverzüglich erhebliche IT-Sicherheitsvorfälle über hierfür bereits etablierte beziehungsweise noch zu etablierende Wege zu melden.

Nur so kann gewährleistet werden, dass das Bundesamt ein valides nationales Lagebild erstellen, potentiell ebenfalls gefährdete Betreiber informieren und diese - soweit erforderlich - auch bei der Bewältigung des Vorfalls unterstützen kann.

Welche Bereiche sehen Sie dabei als besonders angriffsgefährdet?

IT-Angriffe stellen heute für jeden von uns eine reale Gefahr dar. Die rasante Fortentwicklung der IT und die zunehmende Vernetzung sind ohne Frage ein wichtiger Baustein für Produktivität, wirtschaftliches Wachstum und Wohlstand in unserem Land.

Die Risiken einer zunehmenden Informations- und Kommunikationstechnik (IKT)-Abhängigkeit dürfen wir dabei aber nicht aus dem Blick verlieren. An oberster Stelle steht für mich der Schutz wichtiger Versorgungsinfrastrukturen und damit derjenigen Bereiche, auf die wir existenziell angewiesen sind, zum Beispiel Energieversorgung, Kommunikation oder Logistik. Ausfälle können hier weitreichende Folgen für die Versorgung der Bevölkerung oder die öffentliche Sicherheit haben.

Deshalb setze ich mich dafür ein, dass sich Betreiber kritischer Infrastrukturen verstärkt um den Schutz der von ihnen eingesetzten Informationstechnik bemühen müssen und habe Vorschläge für entsprechende gesetzliche Regelungen in die Diskussion gebracht.

Auf welche Resonanz sind Sie mit diesen Vorschlägen gestoßen?

Um ein möglichst breites Meinungsbild zu erhalten, habe ich die betroffenen Wirtschaftsunternehmen und Verbände um Stellungnahme zu meinen Vorschlägen gebeten. Über 60 Rückmeldungen liegen bereits vor. Die Stellungnahmen bestätigen ausnahmslos die Wichtigkeit des Themas und begrüßen die Initiative.

Die Vorschläge zur Stärkung der IT-Sicherheit kritischer Infrastrukturen durch flächendeckende Mindestanforderungen und zur Einführung von Meldepflichten bei erheblichen IT-Sicherheitsvorfällen scheinen durchaus konsensfähig zu sein. Das liegt meines Erachtens auch daran, dass wir zentrale Forderungen der Wirtschaft umsetzen wollen und beispielsweise die Erarbeitung von branchenspezifischen Standards durch die Wirtschaft selbst und die Möglichkeit der anschließenden Anerkennung durch das BSI vorsehen. Auch die Tatsache, dass wir die über die Meldungen beim BSI zusammenkommenden Erkenntnisse dazu nutzen wollen, um die Betreiber kritischer Infrastrukturen mit den für sie maßgeblichen Informationen zu versorgen und so besser aufzustellen, dürfte für eine breite Akzeptanz sorgen.

Es gab aber nicht nur positive Rückmeldungen. Was sagen Sie zu Skeptikern, vor allem aus der IT-Branche, die von "Überregulierung" sprechen?

Eine "Überregulierung" sehe ich so nicht. Nein, auch die IT-Branche begrüßt die Initiative, sich der Cybersicherheit verstärkt anzunehmen. Naturgemäß kommt den Netzbetreibern und Providern eine Schlüsselrolle und damit eine besondere Verantwortung hinsichtlich der Sicherheit der Basisinfrastruktur Internet zu. Die IT-Branche ist in weiten Teilen schon heute gut aufgestellt. Es ist deshalb wichtig, auf Vorhandenem aufzubauen und eine Regulierung mit Augenmaß vorzunehmen, um gut aufgestellte Betreiber nicht weiter zu belasten und Doppelungen - etwa hinsichtlich etablierter Verfahrenswege - zu vermeiden.

Wir müssen aber auch auf möglichst einheitliche Bedingungen für alle Wettbewerber achten. Die geltenden Vorschriften setzen maßgeblich auf die Kooperation und Eigenverantwortung der Netzbetreiber und Provider bei der Ausgestaltung und Umsetzung von Sicherheitsmaßnahmen. Dies soll auch in Zukunft so bleiben. Ganz ohne eine Anpassung des rechtlichen Rahmens werden wir aber nicht auskommen, weil dieser selbst die IT-Sicherheit stärker in den Fokus nehmen muss. Ich bin aber zuversichtlich, dass dies von der IT-Branche mitgetragen und gemeinsam gelingen wird.

Vor kurzem hatten Sie ja die Gelegenheit, Ihre Ideen auf dem IT-Gipfel 2012 mit Vertretern der Wirtschaft zu diskutieren. Gab es da neue Erkenntnisse?

Wir haben im IT-Gipfelprozess mit der Arbeitsgruppe 4 "Vertrauen, Datenschutz und Sicherheit im Internet" eine Plattform, die sich mit den hier relevanten Fragestellungen beschäftigt. Im Rahmen einer Veranstaltung der Arbeitsgruppe zum Thema Cybersicherheit habe ich meine Vorstellungen zum Schutz kritischer Infrastrukturen mit den anderen Teilnehmern intensiv diskutiert.

Wie stehen Sie zu dem im Rahmen dieser Veranstaltung formulierten Vorstoß der Deutschen Telekom, eine IT-Eingreiftruppe, quasi eine "digitale GSG9", zu schaffen? Manchen Unternehmen geht anscheinend Ihr Vorschlag zur Meldepflicht nicht weit genug.

Grundsätzlich halte ich es für eine gute Idee, Fachwissen zu bündeln und unter Federführung des BSI schwere IT-Vorfälle zu lösen. Das entspricht unserer Linie des "Multi-Stakeholder" Ansatzes, wonach alle Beteiligten zusammenwirken müssen, um die weiterhin zunehmende Bedrohungslage in den Griff zu bekommen. Das eine zu tun, heißt aber nicht, das andere, nämlich die Meldeverpflichtung für Betreiber kritischer Infrastrukturen, zu lassen.

Bedeutet das nicht auch, dass man die Wirksamkeit des Nationalen Cyber-Abwehrzentrums bezweifelt?

Nein, das sehe ich nicht so. Das Nationale Cyber-Abwehrzentrum wurde als Informationsdrehscheibe für die staatlichen Stellen konzipiert, die einen Beitrag zur Abwehr von Cyberangriffen leisten können. Es hat die Aufgabe, die operative Zusammenarbeit aller staatlichen Stellen zu optimieren und die Schutz- und Abwehrmaßnahmen zu koordinieren. Hierzu gehört auch, Träger von besonderem Fachwissen in der Wissenschaft und den Unternehmen zu kennen.

Besteht bei all diesen genannten Aktivitäten und Initiativen verschiedener Ministerien und der Wirtschaft nicht die Gefahr, dass das Thema zu sehr "zerfleddert"? Wäre es nicht besser, alle interessierten Kräfte zu bündeln?

Mit der Nationalen Cyber-Sicherheitsstrategie haben wir aber eine Orientierungsbasis für alle Aktivitäten bei diesem Thema geschaffen. Zentrale Einrichtungen wie das Nationale Cyber-Abwehrzentrum oder der Nationale Cyber-Sicherheitsrat dienen der Bündelung der Aktivitäten und Initiativen in diesem Bereich. Dem Nationalen Cyber-Sicherheitsrat unter Verantwortung der Beauftragten der Bundesregierung für Informationstechnik kommt hierbei eine besondere Rolle zu. Er setzt sich aus Vertretern aller für die Bekämpfung von Cyber-Sicherheitsvorfällen wichtigen Ressorts sowie aus Vertretern der Länder und der Wirtschaft zusammen. Vertreter aus der Wissenschaft können bei Bedarf hinzugezogen werden.

Wie sieht es mit der internationalen Zusammenarbeit aus? Geht es da sehr kollegial zu oder stehen doch die nationalen Einzelinteressen im Vordergrund?

Eine internationale Vernetzung und Abstimmung ist unverzichtbar. Die Bundesregierung arbeitet daher eng mit den internationalen Partnern zusammen. Auch wenn es im Detail immer wieder Differenzen gibt, eint am Ende doch alle Staaten das Interesse an einem robusten und verlässlichen Internet. Es wird aber wohl noch einige Jahre dauern, bis die internationalen Institutionen ihren Platz in der Cyberwelt gefunden haben.

(Das Gespräch führte Annabelle Schott-Lung)

Weitere Nachrichten zum Thema
IT und Netzpolitik

Alle anzeigen

Schwerpunktthemen

Mediathek

Icon: Kamera

Hier gelangen Sie zur Mediathek

Zur Mediathek

Publikationen

Icon: Publikation

Hier gelangen Sie zur Gesamtübersicht der Publikationen

Zu den Publikationen