Dr. Hans-Jürgen Hillmer
Umsetzungsappell des TÜV-Verbands
Nachdem am 12.11.2024 das Bundesamt für Sicherheit in der Informationstechnik (BSI) auf die aktuell zunehmende Gefährdungslage im Cyberraum hingewiesen hatte, wurde nur einen Tag später der TÜV-Verband tätig und appellierte an die Politik, bereits ausgearbeitete Gesetzentwürfe nicht auf die lange Bank zu schieben. Insbesondere sollten neben der Umsetzung der Nachhaltigkeitsrichtlinie (CSRD, siehe dazu den gesonderten Bericht im BC-Newsletter vom 14.11.2024) das sog. NIS2-Gesetz für mehr Cybersicherheit und das Umsetzungsgesetz für den AI Act (Europäische KI-Verordnung) auf der Agenda weit oben stehen.
Praxis-Info!
Problemstellung
Die weiterhin angespannte Sicherheitslage im Cyberraum geht aus dem aktuellen Bericht des Bundesamts für Sicherheit in der Informationstechnik (BSI) zur Lage der IT-Sicherheit in Deutschland hervor (https://www.bsi.bund.de/SharedDocs/Downloads/DE/BSI/Publikationen/Lageberichte/Lagebericht2024.html?nn=132646). Dieser wurde am 12.11.2024 vorgestellt. Das hob die BSI-Präsidentin Claudia Plattner wie folgt hervor: „Die IT-Bedrohungslage ist weiterhin angespannt, und das ist und bleibt besorgniserregend. Insbesondere Ransomware, Spionage und Desinformation bedrohen unseren Wohlstand und gefährden unsere Demokratie.“
Lösung
Immerhin wurde aber auch festgestellt, dass sich Staat, Wirtschaft und Gesellschaft stärker als bisher auf die Bedrohungen einstellen und ihre Resilienz (Widerstandsfähigkeit) erhöht haben. Insoweit ergriffene Schutzmaßnahmen wirken. Deshalb sei man in der Lage, den Angriffen effektiv entgegenzutreten. Allerdings dürfe man jetzt nicht nachlassen, um in einer gesamtstaatlichen Anstrengung die Resilienz weiter zu erhöhen. In diesem Zusammenhang ist es für die BSI-Präsidentin von entscheidender Bedeutung, die NIS-2-Richtlinie (Netzwerk- und Informationssicherheitsrichtlinie) schnellstmöglich in nationales Recht umzusetzen.
Das wurde am Tag danach vom TÜV-Verband mit dem Appell aufgegriffen, die NIS2-Umsetzung zu beschließen. Die NIS2-Richtlinie hat das Ziel, die Cybersicherheit in der EU zu erhöhen und vor allem die kritischen Infrastrukturen besser vor Cyberangriffen zu schützen. Das Gesetz für die nationale Umsetzung hat bereits die erste Lesung im Bundestag passiert.
Im BSI-Berichtszeitraum von Mitte 2023 bis Mitte 2024 wurden täglich durchschnittlich 309.000 neue Schadprogramm-Varianten bekannt – das entspricht einem Anstieg von 26% im Vergleich zum Vorjahr. Dieser ist insbesondere auf eine Zunahme von Schadprogramm-Varianten zurückzuführen, die Schwachstellen in 64-Bit-Varianten von Windows ausnutzen. Zudem legten Android-Schadprogramm-Varianten im Berichtszeitraum überdurchschnittlich zu.
Seitens des BSI wird weiterhin darauf hingewiesen, dass nach wie vor Ransomware-Angriffe (u.a. Erpressungs- und Verschlüsselungstrojaner) Unternehmen und Institutionen vor große Herausforderungen stellen. Die Zahl der Opfer von Datenleaks nach Ransomware-Angriffen ist demnach weiter gestiegen. Gleichzeitig ist der Anteil der Ransomware-Opfer, die Lösegeld bezahlen, gesunken. Betroffene, die über funktionierende Sicherungskopien (Back-ups) ihrer Daten verfügen, sind nicht auf die Entschlüsselung ihrer Systeme durch die Angreifer angewiesen. Zudem gehen immer mehr Unternehmen transparent mit Cyberangriffen um, informieren die Öffentlichkeit und ihre Kundinnen und Kunden. Dies trägt dazu bei, dass potenzielle Schwachstellen schneller geschlossen und Schäden von weiteren Unternehmen abgewendet werden können.
Ein weiterer Vorstoß des TÜV-Verbands galt der Künstlichen Intelligenz (KI): Hier kommt es darauf an, die nationale Umsetzung des AI Act (Europäische KI-Verordnung) auf den Weg zu bringen. Geplant war, dass der Referentenentwurf für die Umsetzung des AI Act im ersten Quartal 2025 vorgelegt wird. Der Verbandsgeschäftsführer Bühler appelliert: „Die Arbeiten an dem Gesetz sollten jetzt nicht gestoppt und der Referentenentwurf wie geplant vorgelegt werden, damit das Verfahren nicht ins Stocken gerät.“ In dem Umsetzungsgesetz wird u.a. geregelt, welche Behörden die Aufsicht für die Anwendungen der Vorgaben des AI Act übernehmen und welche Stellen besonders sicherheitskritische KI-Anwendungen („Hochrisiko-KI“) überprüfen können. Dazu zählen u.a. innovative Medizinprodukte und Fahrzeuge. Bühler betont: „Anbieter von KI-Anwendungen und Prüforganisationen brauchen Planungs- und Rechtssicherheit, damit der deutschen Wirtschaft keine Wettbewerbsnachteile entstehen.“
- Die NIS2-Richtlinie hätte gemäß den EU-Vorgaben bis zum 17.10.2024 in deutsches Recht umgesetzt werden müssen. Zuletzt hatten aber Unstimmigkeiten innerhalb der Ampelkoalition das Gesetzgebungsverfahren gebremst. Meinungsverschiedenheiten gibt es nach Angaben des TÜV-Verbands vom 13.11.2024 zur Rolle des Bundesamts für Sicherheit in der Informationstechnik (BSI), den Meldepflichten bei erfolgreichen Cyberangriffen und bei der Ausgestaltung des Chief Information Security Officers (Beauftragten für Informationssicherheit) für den Bund (Bundes-CISO).
- Hinsichtlich des KI-Einsatzes kommt hinzu, dass nach einer am 14.11.2024 vom TÜV-Verband bekanntgegebenen Forsa-Umfrage die Mehrheit der Deutschen (68%) bisher wenig Vertrauen hat, dass die Politik mögliche KI-Risiken begrenzen wird. Deshalb sei es umso wichtiger, die EU-Verordnung über Künstliche Intelligenz (AI Act) nicht nur schnell und unbürokratisch umzusetzen, sondern auch die Vertrauenswürdigkeit durch unabhängige KI-Prüfungen zu stärken.
- Handlungsbedarf sieht der TÜV-Verband ferner insbesondere hinsichtlich der Nachhaltigkeitsberichte und fordert nochmals zur Öffnung der Prüfungsmärkte auf; siehe dazu das Thesenpapier unter https://www.tuev-verband.de/positionspapiere/8-gruende-fuer-die-oeffnung-des-csrd-pruefmarktes sowie den Vorbericht im BC-Newsletter vom 14.11.2024.
|
Dr. Hans-Jürgen Hillmer, BuS-Netzwerk Betriebswirtschaft und Steuern, Coesfeld
BC 12/2024
BC20241222