IT-Sicherheitsgesetz wird ausgeweitet

01.06.17 11:16

Banken müssen Cyberangriffe melden

Von Sabine Paulus

Wannacry & Co.: Die Bundesregierung reagiert auf die steigende Zahl von Cyberangriffen und verschärft das IT-Sicherheitsgesetz. Weitere Branchen müssen nun schwere Sicherheitsvorfälle melden. Dazu gehören auch Banken.

Angesichts der stetig wachsenden Gefahr von Cyberangriffen verschärft die Bundesregierung das 2015 beschlossene IT-Sicherheitsgesetz.

welcomia/iStock/Thinkstock/Getty Images

Angesichts der stetig wachsenden Gefahr von Cyberangriffen verschärft die Bundesregierung das 2015 beschlossene IT-Sicherheitsgesetz.

In Zukunft müssen mehr Unternehmen schwere IT-Sicherheitsvorfälle melden. Eine entsprechende Verordnung verabschiedete das Kabinett am gestrigen Mittwoch. In ihr wird geregelt, welche Unternehmen aus den Branchen Transport, Verkehr, Gesundheit, Finanzen und Versicherungen unter die Vorgaben des IT-Sicherheitsgesetzes fallen. Im Bankbereich gelten vor allem Zahlungsverkehr, Bargeldversorgung sowie die Verrechnung und Abwicklung von Wertpapier- und Derivategeschäften als „kritische Infrastrukturen“.

Darunter sind Einrichtungen zu verstehen, die wesentlich für das öffentliche Leben sind und deren Störung oder Ausfall dramatische Folgen für Wirtschaft, Staat und Gesellschaft in Deutschland hätten. Konkret sind das beispielsweise Energie-, Telekommunikations- und Informationstechniknetze, Banken, Börsen, Versicherungen, Verwaltungsbehörden, Krankenhäuser, Verkehrsbetriebe und Wasserversorger. Insgesamt sind 918 „kritische Infrastrukturen“ betroffen.

Die Betreiber dieser Einrichtungen müssen nun dem Bundesamt für Sicherheit in der Informationstechnik (BSI) innerhalb von sechs Monaten eine zentrale Kontaktstelle nennen und in den kommenden zwei Jahren die Einhaltung eines Mindeststandards an IT-Sicherheit nachweisen.

IT-Sicherheitsgesetz will Cyberangriffen vorbeugen

Das IT-Sicherheitsgesetz wurde im Juli 2015 beschlossen. Sein Ziel ist es, die „IT-Systeme und digitalen Infrastrukturen Deutschlands zu den sichersten weltweit zu machen“, heißt es seitens des BSI. Die Regelungen für Unternehmen aus den Branchen Energie, IT, Telekommunikation, Wasser und Ernährung, die laut Bundesregierung insgesamt 730 Anlagen betreffen, sind seit Anfang Mai 2016 in Kraft. Der zweite Teil der BSI-Verordnung, der sich auf die Sektoren Finanz- und Versicherungswesen, Transport und Verkehr sowie Gesundheit bezieht, war für dieses Frühjahr erwartet worden und ist jetzt mit der Kabinettsentscheidung auf den Weg gebracht worden.

Damit reagiert die Bundesregierung auf die stetig größer werdende Gefahr der Internetkriminalität. Immer wieder werden Fälle von Cyberangriffe bekannt. Aktuelles Beispiel ist die weltweit größte Cyberattacke, die Mitte Mai bei Behörden, Unternehmen und Einzelpersonen erheblichen Schaden angerichtet hat. Die Schadsoftware „WannaCry“ soll über 230.000 Computer in 150 Ländern infiziert haben. Lösegeldzahlungen wurden verlangt. In Deutschland konnten die Reisenden der Deutschen Bahn die Folgen des Cyberangriffs auf den Bahnhöfen sehen, da Anzeigetafeln und Fahrkartenautomaten betroffen waren.

Gerade der Zahlungsverkehr ist anfällig für Cyberangriffe

Doch nicht nur das operative Geschäft ist von Cyberattacken betroffen, auch Treasury-Abteilungen sehen sich immer häufiger Cyberangriffen und Betrugsattacken ausgesetzt. „Die Frage ist nicht ob, sondern wann es ihr Unternehmen trifft“, sagte der Treasury-Chef eines SDax-Unternehmens kürzlich auf einer Veranstaltung des Verbands Deutscher Treasurer (VDT). Der Fall des fränkischen Automobilzulieferers Leoni hat für großes Aufsehen gesorgt. Kriminellen war es mit Hilfe der sogenannte Fake-President-Masche gelungen, im vergangenen Sommer 40 Millionen Euro zu entwenden.

Auch Swift unternimmt einige Anstrengungen, um sein Netzwerk und die darin übermittelten, hochsensiblen Zahlungsinformationen vor Cyberangriffen zu schützen. Der Finanznachrichtendienstleister bietet seinen Nutzern seit April dieses Jahres eine Lösung an, die es vor allem Banken mit kleineren bis mittleren Zahlungsvolumina ermöglichen soll verdächtige Zahlungsanweisungen rechtzeitig zu identifizieren und zu stoppen.

Paulus[at]derTreasurer.de

Die Bedrohung durch Cybercrime greift zunehmend auch auf die Finanzabteilungen über. Mit unserer Themenseite „Cybercrime im Treasury“  bleiben Sie auf dem Laufenden.