I. Problem­au­friss

1

Die Verhand­lungen über das IT-Sicher­heits­gesetz 2.0¹ (IT-SiG 2.0) gehen in die nächste Runde. Eine zweite Version des Referen­ten­ent­wurfs zum IT-SiG 2.0 wurde Anfang Mai 2020 veröf­fent­licht² und befindet sich derzeit in der Ressortab­stimmung sowie der öffent­lichen Kommen­tierung.

2

Der Gesetz­ge­bungsakt kostet viel Zeit; Zeit, die aus Sicht der Wirtschaft nicht besteht. Laut einer Studie des IT-Branchen­ver­bandes BITKOM e.V. aus November 2019 gaben 88 % der befragten Unter­nehmen an, in den letzten zwei Jahren von Daten­dieb­stahl, Indus­trie­spionage oder Sabotage betroffen gewesen zu sein.³ Allein die Höhe dieses Anteils ist bereits alarmierend, umso bedenk­licher ist sie aber aus dem Grund, dass bei der gleichen Umfrage 2017 nur 79 % angaben, Ziel von Cyber­at­tacken gewesen zu sein. Die Bedrohung steigt stetig und betrifft mittler­weile nahezu alle Unter­nehmen.

3

Die Wirtschaft erwartet angesichts der mit den steigenden Zahlen der Attacken einher­ge­henden wachsenden Schäden Reaktionen der Politik. Wie die Studie des BITKOM e.V. zeigt, wünschen sich die befragten Wirtschafts­un­ter­nehmen eine engere Zusam­men­arbeit in Form eines verbes­serten Infor­ma­ti­ons­aus­tau­sches mit staat­lichen Behörden bei IT-Sicher­heits­themen.⁴ Zudem sollen die zustän­digen Behörden die Unter­nehmen bei Fragen der IT-Sicherheit besser unter­stützen.⁵

4

Dass staat­licher Handlungs­bedarf besteht, ist auch Ergebnis der Cyber­se­curity-Studie des Verbandes der Techni­schen Überwa­chungs­vereine (VdTÜV) aus November 2019. So verlangen die befragten Unter­nehmen sogar mehr staat­liche Regulierung und strengere gesetz­liche Vorgaben auf dem Gebiet der IT-Sicherheit.⁶ Der VdTÜV fordert basierend auf diesen Ergeb­nissen die Aufgabe des Fokus des IT-Sicher­heits­rechtes auf die Betreiber von Kriti­schen Infra­struk­turen (KRITIS). Eine auf dem Know-how von Cyber­si­cher­heits­fach­kun­digen basie­rende digitale Sicher­heits­ar­chi­tektur sei zielführend, um die Cyber­re­si­lienz der deutschen Wirtschaft zu stärken. Hierfür sei eine „enge Verzahnung von Wirtschaft, Wissen­schaft und staat­lichen Stellen wie dem BSI“ erfor­derlich.⁷

5

Zentrale Rolle nimmt bei allen Forde­rungen aus der Privat­wirt­schaft der Austausch von Infor­ma­tionen über Cyber­be­dro­hungen ein. Nur infor­mierte Unter­nehmen können recht­zeitig auf Bedro­hungen reagieren und so einen Schaden­sein­tritt verhindern.

6

Nicht zuletzt die erwähnten Studien zeigen, dass eine Vernetzung der Wirtschaft unter Einbindung von staat­lichen Stellen notwendig ist. Dies kann insbe­sondere erreicht werden durch den Aufbau von Cyber-Threat-Platt­formen, um Infor­ma­tionen über Cyber-Threats in einem vertrau­ens­vollen Umfeld in Echtzeit zugunsten der Wirtschaft austau­schen zu können. Ansatz­punkte zur Errichtung der Platt­formen finden sich bereits im IT-SiG 2.0 RefE 2019⁸ und bestehen auch unver­ändert im modifi­zierten IT-SiG 2.0 RefE 2020 fort.

7

Im Folgenden wird aufge­zeigt, wie eine Imple­men­tierung des Cyber-Threat-Platt­formen-Modells insbe­sondere unter Berück­sich­tigung der staat­lichen Ressourcen durch­ge­führt werden könnte. Hierbei soll auf das rechtlich bereits etablierte System der Einbindung Privater bei der Erfüllung staat­licher Aufgaben, insbe­sondere in der Form der Beleihung, einge­gangen werden. Zentral ist bei diesem partner­schaft­lichen Modell, dass die zuständige staat­liche Behörde, das Bundesamt für Sicherheit in der Infor­ma­ti­ons­technik (BSI), weiterhin ihre gesetzlich zugewiesene Aufgabe beibehält und in seiner Stellung in der Cyber­si­cher­heits­ar­chi­tektur des Staates darüber hinaus gestärkt werden soll. Hierfür kann (...)