Großteil deutscher Stromversorger muss keine hohen IT-Sicherheitsstandards erfüllen
"Report Mainz" am 7.7., 21:45 Uhr im Ersten
Mainz (ots)
"Grünen"-Politiker Konstantin von Notz in "Report Mainz": "Das Haus brennt lichterloh im Bereich der IT-Sicherheit"
Die meisten kommunalen Stromanbieter in Deutschland müssen keine hohen IT-Sicherheitsstandards vorweisen und sind damit möglicherweise leichter angreifbar für Hacker. Das hat eine Auswertung des ARD-Politikmagazins "Report Mainz" ergeben. Untersucht wurden die kommunalen Stromversorger in den hundert größten Städten Deutschlands. Das Ergebnis zeigt, dass über 90 Prozent der Stromversorger per Verordnung ihre IT-Systeme nicht in besonderem Maße vor Cyberangriffen schützen müssen.
Schwellenwerte in der "Kritisverordnung" festgelegt Das Bundesamt für Sicherheit in der Informationstechnik (BSI) legt in der sogenannten "Kritisverordnung" Schwellenwerte fest, ab denen öffentliche Institutionen oder Unternehmen als sogenannte kritische Infrastrukturen (Kritis) gelten. Darunter werden Systeme verstanden, die für die Aufrechterhaltung wichtiger gesellschaftlicher Funktionen essenziell sind. Dazu gehören z. B. die Gerichtsbarkeit, die medizinische Versorgung oder auch die Energieversorgung. Diese Institutionen sind dann dazu verpflichtet, dass ihre IT-Systeme bestimmte Sicherheitsstandards erfüllen, um besser vor Cyberangriffen geschützt zu sein. Der Schwellenwert für Energieunternehmen beispielsweise in der Sparte Strom liegt bei 3.700 Gigawattstunden verkauftem Strom pro Jahr. Recherchen von "Report Mainz" haben ergeben, dass diesen Schwellenwert über 90 Prozent der öffentlichen Stromversoger in den bundesweit hundert größten Städten nicht erreichen und somit hohe Standards in der IT-Sicherheit nicht erfüllt werden müssten.
Konstantin von Notz kritisiert sehr hoch angesetzten Schwellenwert Gegenüber dem ARD-Politikmagazin "Report Mainz" kritisierte der Datenschutzexperte von Bündnis '90/Die Grünen, Konstantin von Notz, den sehr hoch angesetzten Schwellenwert: "Wenn Sie sagen würden, der TÜV für das Auto, das auf der Straße fahren darf, gilt erst ab Leuten, die vier Autos besitzen, dann fällt eben ein Großteil der Leute raus. Und die Autos haben dann eben nicht die Verkehrssicherheit, die sie brauchen." Der Rechtswissenschaftler Dennis-Kenji Kipker von der Universität Bremen fand im Interview mit dem ARD-Politikmagazin "Report Mainz" eine Erklärung für das strukturelle Defizit. Die Schwellenwerte seien zu hoch angesetzt. IT-Sicherheit koste viel Geld und das möchten die meisten Unternehmen an dieser Stelle sparen: "Natürlich besteht auch ein Interesse der Unternehmen, diese Schwellenwerte möglichst hochzuhalten, damit man nicht in diese Schwelle reinfällt. Und man kann durchaus sagen, dass manche Unternehmen sicherlich versucht haben dürften, eben unter dieser Schwelle zu liegen, dass eben diese IT-Sicherheitsmaßnahmen nach Gesetz nicht umzusetzen sind."
Cyberangriff auf Technische Werke Ludwigshafen macht Folgen deutlich Welche Konsequenzen es haben es kann, wenn Hacker Einfallstore bei Energieunternehmen finden, zeigt jüngst ein Cyberangriff auf die Technischen Werke Ludwigshafen (TWL). Laut dem Unternehmen wurde im Februar in das IT-System eingebrochen, im April begann dann der Diebstahl von insgesamt über 500 GB Daten. Die Daten aller rund 150.000 Kunden seien betroffen und wurden zum Großteil auch ins Darknet hochgeladen. Anschließend sei das Unternehmen von der professionellen Hackergruppe um einen zweistelligen Millionenbetrag erpresst worden. Thomas Mösl, TWL-Geschäftsführer, bestreitet im Interview mit "Report Mainz", dass sein Unternehmen an der IT-Sicherheit gespart habe. "Ich persönlich bin zum Beispiel auch betroffen mit meinen Daten als Kunde. Ich kann verstehen, dass die Kunden verärgert und auch verunsichert sind, dass die Daten im Darknet zu finden sind. Aber wir haben unsere Daten und unser System so geschützt, wie es im Durchschnitt ein Unternehmen in Deutschland tut", so Mösl gegenüber dem ARD-Politikmagazin.
Neuer Gesetzesvorschlag bringt keine Änderungen Ein neues Gesetz, das sogenannte "IT-Sicherheitsgesetz 2.0", könnte nun die Anforderungen an die IT-Sicherheit von Kritis-Unternehmen verbessern. Seit Kurzem liegt eine zweite Ausarbeitung des Bundesinnenministeriums vor. Der Rechtswissenschaftler Dr. Dennis-Kenji Kipker von der Universität Bremen kritisierte im Interview mit dem ARD-Politikmagazin "Report Mainz", dass darin die Schwellenwerte, die aktuell die kritische Infrastruktur definieren, nicht geändert werden sollen. Anstatt diese herabzusetzen, damit nicht nur die größten Betreiber ihre Schutzmechanismen in der IT anpassen müssen, werde an anderer Stelle angesetzt, sagte der Wissenschaftler: "Im Kern plant eben dieses neue Gesetz, der IT-Sicherheitsgesetz-Entwurf 2.0, die Befugnisse des Bundesamts für Sicherheit in der Informationstechnik (BSI) ganz erheblich auszubauen, neue Kompetenzen zu schaffen, neue Planstellen zu schaffen - also eine Art Superbehörde zur IT-Sicherheit in Deutschland." Der Grünen-Politiker Konstantin von Notz kritisierte diese Vorgehensweise des Bundesinnenministeriums: "Das Ministerium hat eben vielerlei Interessen. Es hat auch einen Verfassungsschutz im Haus, der durchaus am Hacken und am Gewinn von eigenen Informationen im Digitalen auch ein Interesse hat. Und wenn jetzt eben Unternehmen ihre Sicherheitslücken dem BSI in das Innenministerium sozusagen melden sollen, dann ist nicht immer das Vertrauen da, was es für so etwas braucht." Notz fordert deshalb vom Innenministerium ein unabhängiges BSI.
Auf diese Kritik und die Fragen von "Report Mainz" reagierte das Bundesinnenministerium nicht.
Zitate gegen Quellenangabe frei.
Bei Rückfragen rufen Sie bitte in der Redaktion "Report Mainz" an, Tel.: 06131/929-33351/2
Weitere exklusive Informationen auf der Internet-Seite http://x.swr.de/s/12y2
Newsletter "SWR vernetzt" http://x.swr.de/s/swrvernetztnewsletter
Original content of: SWR - Das Erste, transmitted by news aktuell