Keine IT-Mindeststandards für den Lebensmittelhandel

Berlin, 10.03.2016 — Besonders sensible Bereiche der Wirtschaft müssen für zusätzliche Sicherheitsvorkehrungen in ihrer Informationstechnologie sorgen. Dass schreibt das im Juli 2015 geänderte BSI-Gesetz ("Gesetz über das Bundesamt für Sicherheit in der Informationstechnik") vor. Im Gesetzestext wird auch der Ernährungssektor aufgeführt. Welche Anlagen als relevant angesehen werden, soll in einer Verordnung genauer bestimmt werden.

Sicherheitsrisiko: Versorgungsanlagen für 500.000 Menschen

Dafür hat das Bundesinnenministerium nun einen Entwurf vorgelegt. Darin werden für die Bereiche Energie, Wasser, Ernährung sowie Informationstechnik und Telekommunikation Kriterien vorgeschlagen, ab wann Anlagen als kritisch einzustufen sind. Das Ziel der Bundesregierung ist es, im Falle massiver IT-Vorfälle die bestehende wirtschaftliche Infrastruktur aufrechtzuerhalten. Letztlich soll somit auch sichergestellt werden, dass die Allgemeinheit im Falle von bewusst herbeigeführten IT-Störungen mit entsprechenden Gütern versorgt werden kann.

Das Ministerium geht davon aus, dass Anlagen in den genannten Bereichen als kritisch eingestuft werden, wenn sie mit ihrer Kapazität mehr als 500.000 Menschen versorgen können. Dabei legt das Ministerium eine binäre Betrachtungsweise zugrunde, d.h. eine Anlage wird entweder als komplett funktionierend oder als komplett ausgefallen angesehen, ohne jede qualitative Zwischenstufe. Außerdem wird davon ausgegangen, dass die Dienstleistungen einzelner Anlagen nicht austauschbar sind.

Bestimmungen sind realitätsfern

Für den MITTELSTANDSVERBUND ist eine solche pauschale Regelung mit Blick auf den Lebensmittelhandel realitätsfern. "Anders als bei netzgebundenen Dienstleistungen wie z.B. der Stromversorgung kann der Verbraucher bei Ausfall eines Lebensmittelhändlers sich unproblematisch bei der Konkurrenz versorgen. Außerdem besitzen Lebensmittelhändler voneinander unterschiedliche IT-Steuerungen", erklärt Paul Maeser, MITTELSTANDSVERBUND-Referent für Steuern und Finanzen. Ein zeitgleicher Ausfall mehrerer Systeme sei deshalb äußerst unwahrscheinlich. Dadurch seien für die Bevölkerung Ausweichmöglichkeiten gegeben.

Deswegen fordert der Spitzenverband des kooperierenden Mittelstandes, den Sektor Ernährung von der Regelung auszuschließen. Zumindest die Besonderheiten der Branche sollten dahingehend berücksichtigt werden, dass hier nur besonders relevante Anlagen erfasst werden, mit z.B. deutlich höheren Schwellenwerten als in den anderen Branchen. 

Versorgung ist weiterhin sichergestellt

Da im Lebensmittelhandel unabhängig von Fragen zur IT-Sicherheit regelmäßig Bestände vorgehalten werden, kann eine Versorgung der Bevölkerung über einen gewissen Zeitraum aufrechterhalten werden. "Das ist anders als bei Strom oder Wasser", so Maeser. Diese Lebensmittelbestände müssten nach einem IT-Ausfall zunächst aufgebraucht werden. Darüber hinaus käme es im Falle einer Systembeeinträchtigung nicht zwingend zu einem Totalausfall.

"Das sogenannte binäre Prinzip, nachdem eine Anlage entweder einwandfrei läuft oder komplett stillgelegt ist, mag auf andere Bereiche zutreffen. Im Lebensmittelhandel gibt es da Grauzonen", so der Finanzexperte. Im Ernährungsbereich sei eine Versorgung mit Einschränkungen möglich.

Bestehende IT-Sicherheitssysteme

Darüber hinaus gehe das BSI-Gesetz in seiner derzeitigen Fassung über EU-Regelungen hinaus. Die dort vorbereitete, entsprechende Richtlinie erwähnt den Lebensmittelsektor nicht. Aber eine Übererfüllung der Brüsseler Vorgaben wollten die Koalitionäre eigentlich vermeiden. "Die Bundesregierung würde damit dem Koalitionsvertrag zuwider handeln", heißt es in der Stellungnahme des Verbandes.

Stattdessen verweist DER MITTELSTANDSVERBUND auf existierende Bestimmungen für IT-Sicherheitssysteme. Zur Steuerung operativer Risiken müssen Lebensmittelbetriebe bereits heute Pläne für vergleichbare Notfälle vorhalten. Die Bundesregierung soll "die Anforderungen zum Schutz kritischer Infrastruktur in die bestehenden Vorschriften zur Organisation und IT-Sicherheit im Lebensmittelhandel einbetten", fordert der Spitzenverband.

Sicherheitsstandards unter Aufsicht des BSI

Sollte es bei dem derzeitig vorliegendem Referentenentwurf bleiben, haben Betreiber kritischer Infrastrukturen und auch Branchenverbände die Möglichkeit, dem BSI entsprechende Sicherheitsstandards für einen Sektor vorzuschlagen (§8a II BSIG). Letztlich beschlossene Sicherheitsstandards müssen in jedem Falle alle zwei Jahre auf deren Einhaltung geprüft werden.

Dazu müssen die betroffenen Unternehmen z.B. Prüfungen oder Zertifizierungen vornehmen lassen. Außerdem müssen die betroffenen Unternehmen dem BSI relevante IT-Vorfälle zeitnah melden. Hierzu muss auf Betriebsseite eine sogenannte Kontaktstelle eingerichtet werden, über die das BSI den Betreiber jederzeit erreichen kann. Auf diesem Weg sollen Unternehmen vom BSI über für die relevanten Vorkommnisse unverzüglich unterrichtet werden.

Das Innenministerium plant, einen abschließenden Entwurf für die Verordnung Anfang April ins Bundeskabinett einzubringen, so dass der Rechtsakt noch vor der Sommerpause in Kraft treten kann. Bereits sechs Monate darauf sind die betroffenen Unternehmen gehalten, signifikante IT-Zwischenfälle dem BSI kurzfristig zu melden.