NIS2-Gesetz soll IT-Sicherheit erhöhen, aber nicht für Kommunen gelten

Der Staat erlässt Gesetze für die Privatwirtschaft, die für Gemeinden und Kommunen nicht gelten sollen? Bei NIS2 ist das, Stand heute, so vorgesehen. Ein völlig falsches Zeichen mit gefährlichen Folgen, sind sich Experten für IT-Sicherheit einig.

Reinhard Brandl, MdB in der CDU/CSU-Fraktion, wird seine Änderungswünsche anbringen, wenn die Regierung den NIS2-Gesetzesentwurf endlich vorlegt.

Image:
Reinhard Brandl, MdB in der CDU/CSU-Fraktion, wird seine Änderungswünsche anbringen, wenn die Regierung den NIS2-Gesetzesentwurf endlich vorlegt.

Das Aufreger-Thema Nummer eins dominiert die Diskussion um das kommende Gesetz NIS2, das den Kreis der Firmen erheblich ausweitet, die ab 17. Oktober verpflichtet werden, höhere IT-Sicherheitsstandards nachweisen zu müssen: Kommunen und Gemeinden sollen außen vorbleiben bei NIS2. Bei der Eset-Partnerkonferenz in Berlin wurde dieser Punkt mit Kopfschütteln quittiert und eifrig diskutiert.

Zumal das Beispiel des Landkreises Bitterfeld zur Sprache kam. Im Juli 2021 wurde die Verwaltung der für rund 160.000 Einwohner zuständigen Behörde von einem Hackerangriff über Wochen lahmgelegt. Noch zweit Jahre danach waren nicht alle Schäden des Cyberangriffs beseitigt. Angriffe auf kommunale Verwaltungen und Krankenhäuser sind an der Tagesordnung. Der Hackerangriff auf den deutschen Bundestag im Frühjahr 2021 ist nur durch einen Zufall entdeckt worden. Eine IT-Firma hatte auf ausländischen Servern Protokolle des Angriffs auf deutsche Parlamentarier gefunden und die Bundestagsverwaltung informiert. Nun sollen ausgerechnet vulnerable Systeme der öffentlichen Verwaltungen nicht mit einem höheren Niveau für IT-Sicherheit verpflichtend ausgestattet werden, wie aus dem vorliegenden Referentenentwurf hervorgeht.

Falsches Signal - Digitale Vorzeige-Stadt Olpe gehackt

"Der Staat sollte als Vorbild für IT-Sicherheit vorangehen. Es wäre ein fatales Zeichen würden die Verwaltungen von NIS2 ausgenommen", sagt Eset-Manager Maik Wetzel. "Das würde das Vertrauen der Bürger in den Staat schwächen, die Entfremdung vertiefen".

Stadt Olpe im Sauerland. Eine Vorzeige-Gemeinde für Digitalisierung, die als erste Kommune Deutschlands bereits 2004 die elektronische Akte einführte. Nahezu alle Verwaltungsdienste sind digital umgesetzt, ganz so wie es das Onlinezugangsgesetz (OZG) fordert. Jetzt geht seit einer Woche gar nichts mehr in Olpe. Die Stadt wurde gehackt.

Image
Figure image
Description
Kiwiko-Vorständin Sandra Balz plädiert dringend dafür, dass auch für Kommunen NIS2 und damit ein höheres IT-Sicherheitsniveau gelten sollte.

"Wenn die Verwaltungen nicht mit gutem Beispiel vorangehen und obendrein 'verschont' bleiben [von höheren IT-Sicherheitsstandards laut NIS2], warum sollten es die Unternehmen tun, bzw. warum sollten sie das Thema Cybersicherheit [als] Chance und vor allem unumgänglich für den Fortbestand des Unternehmens betrachten?" fragt sich Sandra Balz, Vorständin bei der Systemhaus-Kooperation Kiwiko, in Bezug auf den aktuellen Vorfall in Olpe.

Zumal Eset seine neue MDR-Lösung für die Früherkennung von Hackerangriffen vorstellte, mit der solche Bedrohungen frühzeitig erkannt werden und Abwehrmaßnahmen eingeleitet werden können. NIS2 sieht die Einführung solcher Frühwarnsysteme vor, aber Stand heute eben nicht nur die öffentliche Verwaltung.

Reinhard Brandl ist Bundestagsabgeordneter der CSU, sitzt in den Ausschüssen für Digitalisierung und Verteidigung. In seiner Keynote bei der Eset-Partnerkonferenz setzt er sich für eine stärkte Bündelung der Cybersicherheitskompetenzen des Bundes mit den Ländern ein. Es gäbe hochspezialisierte IT-Experten-Teams im BSI, in der Bundeswehr, beim BKA und in den Verfassungsschutzbehörden der Länder. Aber das Grundgesetz sieht in vielen Fällen die Trennung von Bund und Ländern vor, verbietet den Einsatz der Bundeswehr für den Inlandsschutz. Der föderale Flickenteppich in Punkto Cybersicherheit verhindert ein einheitliches Lagebild für Cyberbedrohungen vor allem ausländischer Bedrohungsakteure. "Bei einem Hackerangriff ist formal die örtliche Polizei zuständig", sagt Brandl.

Brandl, promovierter Informatiker, hört sich die Kritik der Eset-Partner an der NIS2 an, Gemeinden von diesem Gesetz auszuschließen. Er kennt die Sachlage, ist als Oppositionspolitiker aber darauf angewiesen, dass aus dem vorliegenden Referentenentwurf der NIS2 ein Kabinettsbeschluss der Regierungskoalition wird. Wenn dieser vorliegt, wird Brandl in Namen seiner Fraktion Änderungsvorschläge einbringen. Ob die Forderung dabei sein wird, Kommunen doch noch in den Kreis der NIS2-Adressaten einzubeziehen, lässt er offen. Es wäre dringend notwendig, sind sich Balz und Wetzel einig und sprechen wohl für alle IT-Sicherheitsexperten.

Noch liegt NIS2 als Gesetzentwurf nicht vor

Das letzte Wort in Sachen NIS2-Gesetz ist noch nicht gesprochen, aber die Zeit bis zur Geltung des Gesetzes am 17. Oktober und erst recht der technischen Umsetzung für mehr IT-Sicherheit läuft davon. Dass es keine Übergangsfristen geben soll, wie CRN gestern schrieb, ist scheinbar doch nicht in Stein gemeißelt. Politiker Brandl hält NIS2 ohne Übergangsfrist für nahezu ausgeschlossen.

Und wenn BIS2 doch keine Übergangsfrist für die mehr als 40.000 Unternehmen und womöglich Tausenden von Kommunen vorsieht? Negative Rechtsfolgen sieht Brandl keine, zumindest für Kommunen. Er verweist auf das Onlinezugangsgesetz, das Bund, Ländern und Gemeinden vorschreibt, 575 gesetzlich vorgegebene Leistungen und Behördenvorgänge bis Ende 2022 online verfügbar zu machen. Nicht einmal ein Viertel davon ist Stand heute umgesetzt.

Höhepunkte

/news/4340693/netapp-channel-chef-maik-ohne-sagt-servus

/news/4340672/wortmann-macht-eine-milliarde-halbjahresumsatz

/news/4340660/cato-networks-und-die-sase-strategie-mehr-selbstbewusstsein-geht-nicht