Plattner zum BSI-Portal: „Werden nicht die ganze Republik retten können“

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat sein neues „BSI-Portal“ gestartet, das nun als zentraler Anlaufpunkt für Betroffene von IT-Sicherheitsvorschriften des Bundes etabliert werden soll. Die Präsidentin der Bundesbehörde, Claudia Plattner, hofft dabei auf deutliche Effekte durch das deutsche Umsetzungsgesetz zur Netzwerk- und Informationssicherheitsrichtlinie der EU, mit dem das BSI-Gesetz geändert und der Kreis der Betroffenen deutlich ausgeweitet wurde. „NIS2 ist trotz Regierungswechsel vergleichsweise schnell umgesetzt worden und wir sind bereit. „Von uns aus kann es losgehen“, sagt Plattner gegenüber heise online. Die Überarbeitung der alten NIS-Richtlinie und ihre deutsche Umsetzung hatten zuvor Jahre gedauert.

Mit der Website sollen nun Verpflichtete, also nach bisherigen Schätzungen knapp 30.000 Unternehmen, Behörden und andere Institutionen, die als kritisch im Sinne des Gesetzes gelten, künftig mit dem BSI-Portal nur noch eine Anlaufstelle benötigen, einen sogenannten „One-Stop-Shop“. Neben der gesetzlich verpflichtenden Registrierung sollen dort relevante Informationen zu den anwendbaren Cybersicherheitspflichten auffindbar sein. In den kommenden Monaten sollen dann weitere funktionale Features ergänzt werden. Vor allem der Austausch von Echtzeitdaten soll künftig das Bewusstsein für akute Vorfälle erhöhen, aber auch die Reaktionszeiten verringern. Bislang gibt es kein zentrales Meldeportal in standardisiertem Format, aus dem sich strukturiert Auffälligkeiten ablesen lassen würden.

BSI setzt bei Portal auf AWS

Für Stirnrunzeln und Kritik dürfte die Wahl des Anbieters sorgen, auf den das BSI dabei für sein Portal setzt: Amazons Web Services. „AWS bietet hierfür eine passende Infrastruktur mit Sicherheitseigenschaften nach dem Stand der Technik, auf die wir aufgesetzt haben“, sagt die BSI-Präsidentin auf Nachfrage von heise online. Das BSI-Portal soll auch anonyme Meldungen von Cybersicherheitsvorfällen und Schwachstellen ermöglichen – diese beiden Features sollen auch ohne Registrierung nutzbar sein.

Dass es nun ein zentrales BSI-Portal für die NIS2-Betroffenen gibt, will BSI-Präsidentin Claudia Plattner jedoch auf keinen Fall missverstanden wissen. Das BSI könne nicht überall sein. „Werden wir die ganze Republik retten können? Nein, das nicht“, sagt sie im Gespräch mit heise online. „Auch wenn wir Hilfestellungen leisten können: Am Ende des Tages müssen sich die Firmen anschauen, wie ihre IT aussieht, wie ihre Backups gemacht werden.“ Sie müssten selbst die Ärmel hochkrempeln, meint Plattner.

Die NIS2-Richtlinie und die jetzt in das BSI-Gesetz überführten Regelungen sehen eine Vielzahl an Pflichten für die Betreiber kritischer Infrastrukturen vor, vom Internetprovider über Energienetzbetreiber bis hin zu Gesundheitsversorgern, Wasserwerken, Lebensmittelherstellern oder anderen relevanten Unternehmen, aber auch Behörden. Dabei wird nicht exakt aufgeführt, was genau getan werden muss. „NIS2 sagt nicht, dass man einen gepatchten Exchange-Server haben muss“, erklärt Plattner. Pflicht sei vielmehr ein Risikomanagement, das zeige, ob dies ein Problem für die Cybersicherheit des eigenen Unternehmens ist. Die Wahrscheinlichkeit, dass ein ungepatchter Exchangeserver ein Problem sei, sei hoch, erklärt die BSI-Präsidentin. Aber das heiße nicht, dass ein solcher Patch genau das eine sei, was zu tun ist. Mit der NIS2 kommen aber auch überarbeitete Meldepflichten für IT-Sicherheitsvorfälle – auch hierbei soll das neue Portal nun eine Hilfestellung leisten.

Plattner hofft auf Geschäftsführerhaftung

Halten sich Anbieter nicht an die Regeln, wären nach § 65 BSI-Gesetz inzwischen bis zu 10 Millionen Euro oder zwei Prozent des Jahresumsatzes als Bußgeld möglich. „Die Menschen müssen sich darauf verlassen können: Eine gewisse Quote wird angeschaut – und irgendwann trifft es dann eben jeden mal“, erklärt Plattner den Ansatz ihrer Behörde.

Dabei spielen die unter dem NIS2-Regime möglichen Strafen nach Ansicht der seit Mitte 2023 amtierenden BSI-Präsidentin aber gar nicht die größte Rolle. „Der große Hebel sind nicht wir“, sagt Plattner. Sie erwartet eine Nebenwirkung der NIS2-Regelungen auf die sogenannten Directors-and-Officers-Versicherungen (D&O). „Der große Hebel sind die Organhaftungen der Geschäftsführer, Vorstände und Aufsichtsräte“, sagt die BSI-Präsidentin, die zumindest einen Großteil ihres Berufswegs selbst in der Wirtschaft verbracht hat. „Wenn die ihren Versicherungen nicht nachweisen können, dass sie sich zumindest um die Basics gekümmert haben, dann können sich je nach Sachlage sogar persönliche Haftungsfragen stellen, die nicht abgedeckt sind.“

BSI-Präsidentin hofft auf Schub für IT-Sicherheitsbranche

Inwieweit die vom Bundesgesetzgeber am Ende getroffenen Formulierungen im jetzigen §38 BSI-Gesetz tatsächlich wirken, bleibt abzuwarten. Bereits heute zeichnet sich aber ab, dass der Markt für Risikomanagement- und IT-Sicherheitsschulungen Fahrt aufnimmt. Geht es nach der BSI-Präsidentin, soll das nicht der einzige Effekt der NIS2 bleiben. „Ich habe die Hoffnung und auch die Erwartung, dass wir durch NIS2 einen ordentlichen Ruck hineinbekommen und auch hierzulande alles rund um IT-Sicherheits-Services wächst“, unterstreicht Plattner gegenüber heise online. „Auch einfach deshalb, weil es lukrativ ist.“

(mack)